これは一見するとばかげた(または悪質な)質問のように思えるかもしれませんが、詳しく説明します...
会社のネットワークへのあらゆる種類の対策を実装し、会社のマシンへの特定の種類のファイルのダウンロードを防止するためにプロキシします。それらのファイルをダウンロードするためにクリックすると、ほとんどのファイル、exeが内部にあるZipファイルでさえブロックされます。
しかし、一部の「進取的な」ユーザーは、ダウンロードを機能させることができます。たとえば、目の前にある「.exe」で終わるURLを「.exe?」に変更した人(自分や所属している部署を知らない人)の後ろに立っていると、ブラウザがすぐに「不明な」ファイルタイプをダウンロードしました。それ以来、私たちはこの穴を塞いでいますが、ネットワークセキュリティをバイパスしてソフトウェアをチェックするファイルをダウンロードする悪意のある手段を他の誰かが知っているかどうか知りたいのですが。
あるいは、あなたが誓うことができるいくつかの商用ソフトウェアを知っているなら、それは防弾であり、私たちはしばらくそれを試してみることができます。
助けてくれてありがとう...
どんな技術的解決策を思いついても、誰かがそれを回避する方法を見つけるでしょう。これに真剣に取り組んでいる場合(カジュアルなダウンロードを阻止したり、顔の見えないポリシーの義務を果たすためだけに行うのではなく)、ください、
ユーザーと話してください!
ブロックしているものをブロックしている理由を説明してください。それらの重要性を理解するのを助けます。そして、listenが実行可能ファイルをダウンロードする必要がある理由を彼らに伝え、彼らがあなたの仕事をせずに彼らの仕事をする方法を見つけるのを助けるもっと強く。
何年もの間、私たちのサプライヤーの1つは、あなたのシステムに似たシステムを導入していました。残念ながら、彼らはまた、価格設定ソフトウェアの定期的な更新を提供する責任があり、テスト中、実行可能ファイルが頻繁にネットワーク間を行き来することがよくありました。フィルターが原因で、ファイルの名前を変更(.exe-> .earなど)、圧縮、圧縮して名前を変更する習慣を身につけました。個人のマシンを使用してファイルを転送するだけでも...制限を覆すだけではありません両方の企業への潜在的な危険を増幅するだけでなく、制限の背後にある人々に対する私たちの尊敬の多くを破壊します。
最後に、誰かがメッセージを受け取り、私たちが使用できる安全なFTPサーバーを設定しました。
物事の技術的な側面に焦点を当て、それらの結果に対処しなければならない機知に富んだ人間を忘れることは、あまりにも一般的です。もちろん、これを既に実行している場合は、さらに強力になります。
外の世界で適切なアクセス権を持っている場合の最も簡単な方法:ファイルの暗号化、ダウンロード、復号化。ファイル拡張子をスキャナーが認識できないものに変更する必要があるかもしれませんが、基本的には、妥当な暗号化を使用していると仮定すると、コンテンツは「スキャン不可能」になります。
一体、パスワードで保護されたZipファイルmight機能-明示的にブロックされていない場合。
理解して承認したallowingのコンテンツのみを使用する場合は、誤検知により、より効果的である可能性があり、関係者すべてにとってより苦痛です。
ファイル拡張子を.pdfに変更します。私が見たものから、ほとんどのチェッカーはそれがpdfであると想定し(pdfはバイナリファイルであるため)、それを通過させます。
会社のネットワークへのあらゆる種類の対策を実装し、会社のマシンへの特定の種類のファイルのダウンロードを防止するためにプロキシします。
あなたはこれを間違った方法で行っているかもしれません。 Windows Active Directoryを使用すると、特定の実行可能ファイルをブロックするポリシーを設定できます。より具体的には、特定の実行可能ファイルのみを実行できます。すべてのアプリケーションが例外リストに含まれていることを確認するために少し時間を費やす必要がありますが、その後、実行されている他のすべての実行可能ファイルを単に停止できます。
したがって、[スマート]ユーザーが外部プロキシをセットアップして使用するのは非常に簡単です。 Proxifier や Http-Tunnel Client のようなものをインストールすれば、問題ありません。無料のプロキシサーバーは遅いですが、年間サブスクリプションはかなり安く、パフォーマンスは良好です。このソリューションは、HTTPチャネルを介して、暗号化されたプライベートな安全でないトンネルを効果的に作成しますが、それに対してできることは多くありません。
別の方法はパッシブ FTP経由です。ほとんどのネットワークでは、すべての発信接続がファイアウォールの内側から出て戻ることができます。通常のFTPは1つの接続ポートと1つのデータ転送ポートを使用します。これは、2番目のデータポートが外部で開始されるため、ファイアウォールで簡単にブロックできます。ただし、パッシブFTPは内部PCからデータ転送ポートを開始します。これは、ほとんどのデフォルトのファイアウォール構成で許可されています...少なくともCiscoの世界では。
私はWebsenseのような最上位のWebフィルタリングソリューションがこれを実行できることを知っています。フィルター拡張を設定できます。これは正規表現を実行できるため、これらの単純な小さなトリックを停止できます。
しかし、意志があるところには道があります。したがって、管理チェーンが実際に支援および実施する歯を備えた強力なインターネット使用ポリシーが必要です。また、Webフィルタリングの結果をマイニングして、選択したソリューションをバイパスする他の方法を誰かが考えているかどうかを確認する必要があります。
LiveCDから起動し、wgetを使用して、クライアント側のWindows対策によってブロックされたファイルをダウンロードできる場合があります。それでもファイルがネットワークによってブロックされている場合は、別のマシンへのVPNトンネルを開始し、それを介してダウンロードできる可能性があります。