在Windows上有没有等效的文件系统选项,如Linux上的“noexec”挂载选项? 如果我设置“读取”权限,但在根目录(整个驱动器)上取消设置“读取和执行”权限,是否一样? 对于本地用户,对于访问Windows Server计算机上的共享目录的LAn用户也是如此。
我想知道如果我可以禁用任何types的数据驱动器/分区运行程序的可能性,包括不能创build它自己的子目录,并设置执行权限。 所以用户必须能够读写,但不能执行任何程序,包括BAT。 这当然是关于恶意软件的安全性。 这可能吗?
Windows中没有类似于文件系统的“noexec”安装。 微软对简单的“读”权限的概念包括执行的权利(因为执行实际上只是将图像读入内存的装载器)。
您可以修改删除(或拒绝)“遍历文件夹/执行文件”权限的“高级”版本的权限。 这将防止.EXE文件的双击或命令行执行。 .BAT和.CMD文件不会在资源pipe理器中双击执行,但仍然可以从命令提示符执行或使用“开始/运行”中的“CMD / c”语法执行。
更改权限会打破“noexec”挂载的“类比”,因为“noexec”不需要修改已挂载卷的权限。
您最好查看软件限制策略 ,以此来完成您要查找的内容。 这个工具改变了用于执行程序的API的行为,以限制从其执行程序的path(或通过数字签名或encryption哈希)。 假设你的本地用户没有“pipe理员”权限,这个function在一定程度上是有效的。
但是,最终,如果在允许用户写入文件和执行的计算机上存在任何文件系统位置,则用户可以将程序从受限执行path复制到该位置并从那里执行程序。 你需要非常勤奋,以确保没有这样的位置。
或者,可以在“默认拒绝”模式中使用软件限制策略,其中只有指定的path(或数字签名或encryption哈希)才允许执行。 这也是相当困难的设置,因为你需要testing所有的应用程序,以确保他们的执行是成功的。
你没有提到你正在谈论的Windows版本。 对于Windows 7和Windows Server 2008 R2,软件限制策略是AppLocker的一部分,function类似。
转到驱动器的安全选项(右键单击安全选项卡),然后单击“编辑”; 如果要防止标准用户在驱动器上执行任何操作,可以select“用户”条目并取消选中“读取并执行”,并选中“读取”。