我在这里看
现在,能够限制执行程序的地方听起来很有希望,确保它们只能从%PROGFILES%和%WINDIR%执行,但是我不得不想知道如何执行和locking程序。 假设页面被遵循,并且没有当前的漏洞(仅用于我的问题)。
你可以确保程序不能从%TEMP%执行,程序不能从cmd或启动命令启动,或从其他程序启动。 基本上,有没有什么办法可以解决这个问题,如果是的话,你怎么能把它们locking呢?
我认为在Windows XP和Windows Server 2003中引入的软件限制策略是防止有害程序运行的有效工具。
如果您所描述的path规则不够安全,您可以随时添加散列规则(无论文件名或位置如何,可执行文件的encryption“指纹”保持不变)和证书。
(我知道)绕过Windows XP中的软件限制策略的唯一方法是使用辅助login帐户(以“运行方式”开头)。
即将在Windows 7企业和服务器2008 R2: AppLocker
我在最近的TechNet大会上看到了这个演示。 您可以根据可执行文件的以下特征来限制/允许:
path规则
哈希规则
– 发布者规则
一起使用上面的规则,你可以“确保程序不能从%TEMP%执行,程序不能从cmd或启动命令启动,或者从其他程序启动。
更多信息在这里。
Anapologetos
我们大学的一个公共实验室显然在Vista环境下使用这个策略,但似乎并没有完全限制。 我不确定规则是什么。 便携式腻子从我的桌面上运行,例如。 有一次,我想从我的桌面运行简单的可执行文件来编码一个波形文件,它不会运行。
我个人不是一个很大的粉丝,但McAfee Enterprise 8.5i(和其他人)将允许您轻松创build自定义规则,以限制.exe从哪里启动。