1

Есть ли способ запретить запускать в Windows неподписанный двоичный файл? Я понимаю, что это будет серьезной болью с точки зрения пользователя, но есть ли такой механизм в окнах, который бы удерживал эту политику?

1 ответ1

4

Насколько я знаю, невозможно ограничить подписанные двоичные файлы вообще. Тем не менее, если вы хотите , чтобы иметь возможность определить конкретные файлы и / или издатель (т.е. подписал двоичные файлы от конкретного поставщика), что возможно. Это можно сделать через AppLocker. По-видимому, он применяется только в Windows 7 Enterprise и Ultimate и Windows Server 2008.

Хотя вы можете создавать правила AppLocker на компьютерах под управлением Windows 7 Professional, они не будут применяться на этих компьютерах. Однако вы можете создать правила на компьютере под управлением Windows 7 Professional, а затем экспортировать политику для реализации на компьютере под управлением Windows, поддерживающей применение правил AppLocker.

По сути, это устанавливается через групповую политику. Я проведу вас через относительно простую настройку здесь.

  1. Откройте редактор групповой политики (требуется Professional, Enterprise или Ultimate). gpedit.msc в стартовом меню сделает.

  2. Разверните и перейдите к Local Computer Policy > Computer Configuration > Windows Settings > Security Settings > Application Control Policies > AppLocker слева.

  3. Создайте новое правило через меню Action или правый клик. Сначала вы захотите создать правила по умолчанию. Все исполняемые файлы в Windows и Program Files разрешены по умолчанию, используйте разрешения NTFS, чтобы убедиться, что только администраторы (и системные и т.д., Но не обычные пользователи) имеют разрешения на запись в эти папки, в противном случае пользователи могут выгружать туда свои неподписанные исполняемые файлы и запускать их. , Мы должны разрешить все, что уже есть, иначе ваша ОС сломается.

    Действие правила по умолчанию - запускать только те приложения, которые специально разрешены в коллекции правил AppLocker. Несмотря на то, что нет параметров для настройки поведения правил по умолчанию, вы можете использовать коллекцию правил AppLocker по умолчанию, чтобы переопределить поведение правил по умолчанию. Для этого создайте разрешающее правило с условием пути, установленным на *. Эта конфигурация позволит всем файлам работать. Затем вы можете создать запрещающие правила для блокировки определенных файлов.

  4. Создайте новое правило. Используйте его, чтобы разрешить издателю или хэшу файла. Вам нужен пример для любого из них.

    Цитируя часто задаваемые вопросы о статье Microsoft:

    • Условия правила издателя могут использоваться только для файлов с цифровой подписью издателя программного обеспечения. Этот тип условия использует цифровой сертификат (имя издателя и название продукта) и свойства файла (имя файла и версия файла). Этот тип правила может быть создан для всего набора продуктов, что позволяет в большинстве случаев применять правило при обновлении приложения.

    • Условия правила пути основаны на пути установки файла или папки определенных приложений.

    • Условия правила хеширования файлов основаны на уникальном хеше файлов, который Windows криптографически вычисляет для каждого файла. Этот тип условия уникален, поэтому каждый раз, когда издатель обновляет файл, вы должны создавать новое правило.

    • Я бы не использовал путь, если доступ к записи запрещен тем, кого вы пытаетесь заблокировать.
  5. У меня нет текущей установки Enterprise или Ultimate для проверки, но я считаю, что вы должны включить AppLocker, а не «Исполняемые правила» («Настроить AppLocker Enfocement?»).


Альтернативный метод - разрешить запуск только неподписанных исполняемых файлов от имени обычного пользователя, т.е. отключить повышение прав UAC для неподписанных файлов. Это также делается с помощью групповой политики « Контроль учетных записей»: повышать только те исполняемые файлы, которые подписаны и проверены.

Это присуще слабости пользователей, которые могут подписывать файлы самостоятельно. Вредоносное ПО также может быть подписано общим сертификатом, поэтому AppLocker (и Политика ограниченного использования программ до 7-й версии) намного безопаснее

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .