Ограничить доступ к приложениям

Question

Я бы хотел, чтобы конкретный пользователь не мог выполнять приложения (.exe, .msi, .vbs) на каждом диске ПК (включая съемные), за исключением папок C:\ProgramFiles\ и C:\ Windows. Это из-за вирусов; особенно если кто-то скачает .exe и случайно запустит его.

У меня Windows 7 Professional. Я нашел очень похожую тему (Applocker), но Applocker у меня не работал. Я скопировал putty.exe в C:\Temp\ и выполнил шаги для пользователя Foo (также запустил AppIDSvc), описанный по ссылке, перезагрузка компьютера, но это не дало никакого эффекта; Фу смог выполнить putty.exe.

Не могли бы вы помочь мне решить это?
Есть ли еще какие-нибудь альтернативы? Это не должно быть Applocker ...

Answer 1

Вы можете заблокировать выполнение программ из определенных папок, отказав NTFS в разрешении Traverse folder/execute file . Я сделал это на определенных папках, таких как папка «Загрузки» с хорошим успехом. Однако я бы с осторожностью применил такое запрещающее разрешение ко всему дереву каталогов.

Если вы решите сделать это, сделайте это следующим образом, чтобы можно было легко отключить ограничение или ограничить доступ к различным пользователям по желанию:

1. Создайте локальную группу с именем Disable NTFS execute users
2. Запретить разрешения для этой группы
3. Сделайте своих пользователей членом этой группы

Чтобы снять ограничение, просто удалите пользователя из группы.

Помните, что пользователь, не являющийся администратором, может редактировать разрешения NTFS для любой папки, владельцем которой он является. Кроме того, администраторы всегда могут редактировать разрешения и победить эту стратегию.

Обратите внимание, что этот подход работает только для реальных исполняемых файлов. Например, файлы сценариев .vbs не являются программами сами по себе и не блокируются этим. Они читаются, затем выполняются исполняемыми файлами wscript.exe или cscript.exe, которые находятся в структуре каталогов Windows. То же самое касается других типов сценариев, включая PowerShell.