阻止执行Windows可执行文件

有没有办法告诉Windows（XP及更高版本）不要执行除某些文件夹以外的驱动器/文件夹中存在的文件（* .exe文件）？简而言之，我希望仅执行“ 白名单 ”中的可执行文件。

我认为这比要求用户不要从他们带回家的垃圾CD中运行任何可执行文件更好。

您需要软件限制策略。现代Windows的这种未充分利用的功能允许管理员基于路径甚至基于密码签名来允许或限制可执行文件的运行。顺便说一句，您不仅需要EXE。软件限制策略列出了需要限制的30或40种其他类型的文件，例如CMD和SCR，屏幕保护程序。此外，您可以阻止DLL。

我认为它的有效性比反病毒软件好得多。此外，很难教育用户有关现代恶意软件使用的社会工程攻击的信息，例如让用户单击ListenToThisMusic.mp3.exe。

我对此要小心。您将无法100％锁定所有内容，并使用户几乎无法使用这些机器。您应该考虑对用户进行教育，并制定流程，政策和教育。您需要在限制操作和最终用户的工作效率之间找到正确的平衡。

我看到一些公司浪费了大量的资金，这些公司让用户生活在绝对的地狱之中，只是使支持人员的工作变得更加轻松。

您可以在GPO中使用软件限制策略将其列入白名单，但我不确定它的效果如何。我敢打赌它会在大多数地方与大多数非恶意用户一起工作，但我不会打赌我的职业会在任何地方工作，并且我不会指望它会受到攻击（例如教育环境）。

您当然可以结合使用ACL和软件限制来阻止代码从磁盘的某些设备和区域运行，这是一个有用的安全工具，但是我将其作为安全策略的一小部分，而不是一个安全策略的基石。 。

您可以将Cisco Security Agent与以下规则结合使用（在“仅观看”训练期之后）阻止以前从未运行过的任何可执行文件。

如果需要，可以允许某些目录中的可执行文件。

黑名单比白名单要容易得多。您很可能对不希望用户运行的内容有所了解。Windows处理此问题的方式是通过GPO中的软件限制策略。软件限制策略可用于允许软件运行以及拒绝软件运行。有四种可用的方法可供使用，它们是：哈希规则，证书规则，路径规则和Internet区域规则。

哈希规则规则在其匹配项中使用文件的MD5或SHA-1哈希。这可能是一场艰苦的战斗。尝试仅使用散列规则来阻止类似pwdump之类的操作，将会导致pwdump的每个不同版本的条目很多。当新版本问世时，您也需要添加它。

路径规则基于文件在文件系统上的位置。因此，例如，您可以限制“ \ program files \ aol \ aim.exe”，但是如果用户选择将其安装到“ \ myapps \ aol \ aim.exe”，则可以使用。您可以使用通配符覆盖更多目录。如果软件具有注册表项，但您不知道将在哪里安装，也可以使用注册表路径。

证书规则对于包含证书的软件很有用。这主要是指商业软件。您可以建立一个允许在您的系统上运行的证书列表，并拒绝其他所有内容。

Internet区域规则仅适用于Windows Installer程序包。我从来没有使用过它，所以我不能对此发表过多评论。

适当的GPO将使用其中一些规则来涵盖所有内容。限制软件要求您真正考虑要防止的错误以使其正确。即使那样，它可能仍然不正确。Technet上有一些有关使用软件限制策略的好文章，而且我确信可以通过您喜欢的搜索引擎在Microsoft网站上找到其他好文档。

祝好运！