可执行文件被锁定后，如何在公司网络内下载该文件？

乍看起来这似乎是一个愚蠢（或邪恶）的问题，但请允许我详细说明...

我们已经在公司网络和代理上实施了各种措施，以防止某些文件类型下载到公司机器上。单击下载那些文件时，大多数文件，甚至包含exe的zip文件都将被阻止。

但是一些“有进取心”的用户仍然设法使下载生效。例如，我站在某个人（不认识我或我在哪个部门工作）的后面，那个人在我们眼前将以“ .exe”结尾的URL更改为“ .exe？”，然后浏览器转到了立即下载“未知”文件类型。从那时起，我们就填补了这一漏洞，但我想知道是否有人知道绕过网络安全性和检查软件的任何恶意下载文件的方法。

或者，如果您知道可以使用的某些商业软件是防弹的，那么我们可以试用一段时间。

任何帮助表示赞赏...

无论您提出什么技术解决方案，都会有人找到解决方法。如果您对此很认真（并且不只是为了阻止随意下载或履行某些隐蔽的政策要求），请，

与您的用户交谈！

解释为什么要阻止您要阻止的内容。帮助他们了解它的重要性。然后，当他们告诉您为什么仍然需要下载可执行文件时，听听他们的声音，并帮助他们找到一种在不增加工作难度的情况下完成工作的方法。

多年以来，我们的一个供应商拥有与您类似的系统。不幸的是，他们还负责为我们提供定价软件的定期更新，并且在测试过程中，可执行文件经常在我们的网络之间来回移动。由于使用了筛选器，我们所有人都习惯了重命名文件（.exe-> .ear等），压缩它们，压缩然后重命名它们，甚至使用个人计算机来传输它们的习惯……不仅破坏了限制扩大了对两家公司的潜在危险，但同时也破坏了我们对这些限制背后的人的尊重。

最后，有人得到了消息并设置了安全的FTP服务器供我们使用。

专注于事物的技术方面太过常见，而忘记了必须应对事物后果的机智的人。自然，如果您已经在执行此操作，则可以为您带来更多动力！

如果您可以在外部访问，则最简单的方法是：加密文件，下载文件，解密文件。您可能需要将文件扩展名更改为扫描仪无法识别的名称，但是基本上，假设您使用合理的加密，则内容将是“无法扫描的”。

哎呀，如果没有明确阻止，只有受密码保护的zip文件可能会起作用。

如果您只允许您理解和认可的内容，那可能会更有效-由于误报，也会使所有相关人员感到痛苦。

将文件扩展名更改为.pdf。根据我所看到的，大多数检查人员都将假定这是一个pdf（因为pdf是二进制文件），并使其通过。

因此，[智能]用户非常容易设置和使用外部代理。安装类似Proxifier和Http-Tunnel Client之类的东西，您就很好了。免费的代理服务器速度很慢，但是每年的订阅费用却很便宜，而且性能良好。该解决方案有效地通过您的HTTP通道创建了一个私有的，加密的，不安全的隧道，您对此无能为力。

我们已经在公司网络和代理上实施了各种措施，以防止某些文件类型下载到公司机器上。

您可能会走错路了。Windows Active Directory将允许您设置一个策略来阻止特定的可执行文件，或更实际地，它仅允许某些可执行文件运行。您必须花费一些时间来确保所有应用程序都在例外列表中，但是您可以简单地停止所有其他可执行文件的运行。

我知道像Websense这样的顶级Web过滤解决方案可以做到这一点。您可以设置一个过滤器扩展，并且由于它可以执行正则表达式，因此您可以停止这些简单的小技巧。

但是，有志者事竟成。因此，您需要制定一个强有力的Internet使用策略，并由管理链实际支持和执行，并且需要挖掘Web筛选的结果，以查看是否有人在想出其他绕过您选择的解决方案的方法。

另一种方法是通过被动 FTP。大多数网络允许所有出站连接从内部离开防火墙并返回。常规FTP将使用一个连接端口，然后使用一个数据传输端口，该端口很容易在防火墙上阻止，因为第二个数据端口是在外部启动的。但是，被动FTP从内部PC启动数据传输端口，这在大多数默认防火墙配置下都是允许的……至少在Cisco世界中如此。

您可能能够从LiveCD引导并使用wget下载受客户端Windows措施阻止的文件。如果文件仍然被网络阻止，则您可以启动到另一台计算机的VPN隧道并通过该隧道下载它们。