3

Привет, я хотел бы, чтобы пользователи загружали любой файл (как они в настоящее время могут), но для исполняемых файлов (exe/com/pif/scr/bat/ps1) я бы хотел, чтобы параметр «Выполнить» был скрыт или отключен.

Если это невозможно, каково самое близкое решение, чтобы запретить пользователям запускать файл .bat, загруженный ими с веб-страницы в Internet Explorer?

Машина не находится в домене, но мы можем использовать gpedit.msc. Я попробовал Политики ограниченного использования программ, но это только блокирует .exe

Большое спасибо

3 ответа3

2

Самое близкое, что вы можете получить, это заблокировать загрузку типов файлов «высокого риска» в Internet Explorer и предоставить пользователям какой-то другой способ их загрузки.

Блокировка может быть выполнена путем включения Конфигурация пользователя групповой политики → Административные шаблоны → Компоненты Windows → Internet Explorer → Панель управления Интернетом → Страница безопасности → Зона Интернета → Показать предупреждение о безопасности для небезопасных файлов. (Политика должна быть включена, а опция отключена.)

См. Информацию о приложении Attachment Manager в Microsoft Windows для получения списка типов файлов, которые IE считает «небезопасными». (Включает в себя все, что вы упомянули, кроме .ps1.)

Обратите внимание, что Chromium и Google Chrome также используют диспетчер вложений Windows для загрузки, поэтому настройка IE также заблокирует загрузки в этих браузерах. Я не знаю о Firefox.

2

Если вы используете корпоративную версию Windows 7, 8/8.1 или 10, вы можете использовать AppLocker для настройки этой политики с помощью локального редактора групповой политики (gpedit).

AppLocker намного превосходит Политики ограниченного использования программ. Вы можете не только настраивать исполняемые правила, как с помощью SRP, вы также можете устанавливать политики для установщиков MSI, сценариев (.bat, .vbs, .ps1 и т.д.) И пакетов Windows Universal (.appx). Вы также можете настроить правила разрешения / запрета на основе путей, хэшей файлов и информации об издателе / версии в сертификате (если приложение / скрипт подписано таковым).

Расположение для настройки политики находится в Конфигурация компьютера -> Параметры Windows -> Параметры безопасности -> Политики управления приложениями.

Недостатком AppLocker является то, что он работает только в корпоративных выпусках Windows, а не в Pro-версиях. Кроме того, вы не можете использовать политики AppLocker и Software Restriction вместе.

Вот документация Microsoft об этой функции. Если у вас есть версия Enterprise, это определенно стоит посмотреть. Обратите внимание, что ссылка ссылается на Windows 8/8.1, но она одинаково хорошо работает и в Win7 и Win10.

1

Internet Explorer: как заблокировать запуск исполняемых файлов (exe/com/pif/scr/bat/ps1) при загрузке

Один из способов сделать это - ограничить или установить явное запрещение разрешения NTFS ACL для Traverse folder / execute file для этой учетной записи пользователя (или группы безопасности, членом которой они являются) в папке, в которую IE 11 загружает файлы, которые может быть выполнен (например, папка /Downloads ).

Таким образом, они могут загружать и сохранять в эту папку просто отлично с IE, но когда они приступят к выполнению, они получат сообщение об отказе в разрешении и т.д., И им будет запрещено выполнять что-либо из этого места.


Добавить новый явный отказ от безопасности

Щелкните правой кнопкой мыши папку, выберите « Свойства», перейдите на вкладку « Безопасность », выберите « Дополнительно», выберите « Добавить», выберите « Показать расширенные разрешения», выберите « Выбрать участника», введите имя пользователя или группу безопасности, чтобы ограничить этот доступ. После выбора участника в поле Тип введите значение « Запретить», а в поле « Применяется к» - значение « Эта папка и файл», затем перейдите в раздел « Дополнительные разрешения », проверьте папку «Переместить» / «Выполнить» и нажмите Хорошо

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .