Beschränken Sie den Zugriff auf Anwendungen

460
deemon

Ich möchte verhindern, dass ein bestimmter Benutzer Anwendungen (.exe, .msi, .vbs) auf jedem Laufwerk des PCs (einschließlich Wechseldatenträger) ausführen kann, mit Ausnahme der Ordner C: \ ProgramFiles \ und C: \ Windows. Dies liegt an Viren. vor allem wenn jemand eine .exe herunterlädt und versehentlich ausführt.

Ich habe Windows 7 Professional. Ich fand einen sehr ähnlichen Thread ( Applocker ), aber Applocker funktionierte nicht für mich. Ich habe putty.exe unter C: \ Temp \ kopiert und die Schritte für den Benutzer Foo (auch AppIDSvc gestartet), der unter dem Link beschrieben wurde, ausgeführt. Der PC wurde neu gestartet, hatte jedoch keine Auswirkungen. Foo konnte putty.exe ausführen.


Könnten Sie mir helfen, es zu lösen?
Gibt es vielleicht noch andere Alternativen? Es muss nicht Applocker sein ...

0
Nun, Sie fragen nach einem MAC-Sublayer für Windows, aber es gibt keinen. Sie sollten wahrscheinlich auf Emet schauen. Beachten Sie, dass der Win7-Mainstream-Support beendet ist. Wenn Sie sich also über Malware Sorgen machen, sollten Sie ein Upgrade Ihres Betriebssystems in Betracht ziehen. https://en.wikipedia.org/wiki/Mandatory_access_control https://arstechnica.com/information-technology/2017/6/microsoft-bringing-emet-back-as-a-bueb-in-part-of-windows -10 / Frank Thomas vor 6 Jahren 1

1 Antwort auf die Frage

0
Twisty Impersonator

Sie können die Ausführung von Programmen aus bestimmten Ordnern blockieren, indem Sie die NTFS-Berechtigung verweigern Traverse folder/execute file. Ich habe dies bei bestimmten Ordnern wie dem Downloads-Ordner mit gutem Erfolg durchgeführt. Ich würde jedoch vorsichtig sein, wenn Sie eine solche Verweigerungsberechtigung auf einen gesamten Verzeichnisbaum anwenden.

Wenn Sie sich dafür entscheiden, tun Sie dies wie folgt: Sie können die Einschränkung ganz einfach deaktivieren oder andere Benutzer nach Belieben einschränken:

  1. Erstellen Sie eine lokale Gruppe mit dem Namen " NTFS-Ausführungsbenutzer deaktivieren"
  2. Verweigern Sie die Berechtigungen zu dieser Gruppe
  3. Machen Sie Ihre Benutzer zu einem Mitglied dieser Gruppe

Um die Einschränkung aufzuheben, entfernen Sie einfach den Benutzer aus der Gruppe.

Beachten Sie, dass ein Benutzer ohne Administratorrechte NTFS-Berechtigungen für jeden Ordner bearbeiten kann, dessen Eigentümer er ist. Auch Administratoren können das immer Berechtigungen bearbeiten und diese Strategie vereiteln.

Beachten Sie, dass dieser Ansatz nur für tatsächliche ausführbare Dateien funktioniert. VBS-Skriptdateien sind beispielsweise selbst keine Programme und werden dadurch nicht blockiert. Sie werden von den ausführbaren Dateien wscript.exe oder cscript.exe gelesen, die in der Windows-Verzeichnisstruktur gespeichert sind. Gleiches gilt für andere Arten von Skripts, einschließlich PowerShell.

Danke für Ihre Antworten. Ich habe Erfahrung mit der Kindersicherung. Es gibt eine Liste aller aktuell installierten Programme. Ich habe alles geprüft. Danach, wenn ich eine neue .exe-Datei in einen beliebigen Ordner von C: \ kopiere, erhalte ich eine Meldung: "Die Anwendung ist aufgrund von Einschränkungen blockiert." Die NTFS-Berechtigung scheint auch gut zu sein. Ich habe eine Frage: Kann ich die Exec-Berechtigung für das gesamte Laufwerk C: \ deaktivieren? (unter Linux kann ich es für ein Stammverzeichnis tun) Wenn ja, bedeutet das, wenn der Benutzer einen neuen Ordner unter C: \ erstellt, hat dies auch keine Exec-Berechtigung? deemon vor 6 Jahren 0
Wenn Sie die Ausführungsberechtigungen für das gesamte Laufwerk C: deaktivieren, wird der Computer für den betroffenen Benutzer nicht mehr funktionsfähig, da Windows und Anwendungen ihren Code nicht ausführen können. Twisty Impersonator vor 6 Jahren 0
Du hast recht :-) Ich meinte das gesamte Laufwerk C: mit Ausnahme der Ordner Windows \ und ProgramFiles \. Hat dies andere Nebenwirkungen? deemon vor 6 Jahren 0
Es ist eine ziemlich nicht standardisierte Methode, um das zu erreichen, wonach Sie suchen, daher kann ich aus Erfahrung nicht für diesen Ansatz (oder seine Nebenwirkungen) bürgen. Wenn Sie es jedoch so machen, wie ich es hier beschrieben habe, ist es einfach, den betroffenen Benutzer aus der eingeschränkten Gruppe zu entfernen, falls unerwünschte Nebenwirkungen auftreten. Und ja, ich wäre auf sie vorbereitet. Twisty Impersonator vor 6 Jahren 0
Vielleicht wäre dieses Tool das richtige für mich [Inteset Secure Lockdown] (https://www.inteset.com/secure-lockdown-standard-edition)? Leider ist es nicht frei. Gefunden [hier] (https://www.techrepublic.com/blog/windows-and-office/how-do-i-allow-windows-7-users-to-run-only-specific-application/). deemon vor 6 Jahren 0

Verwandte Probleme