Windows実行可能ファイルの実行を防止する

これには気をつけます。すべてを100％ロックダウンすることはできず、ユーザーがマシンを使用することはほぼ不可能になります。ユーザーを教育し、プロセス、ポリシー、および教育を実施することを検討する必要があります。アクションの制限とエンドユーザーの生産性の間の適切なバランスを見つける必要があります。

サポート担当者にとって物事を少し簡単にするためだけに、ユーザーの生活を完全に地獄にする企業では、多くの無駄な$$$が見られます。

GPOのソフトウェア制限ポリシーを使用してホワイトリストに登録できますが、それがどれほど効果的かはわかりません。私はほとんどの場所でほとんどの悪意のないユーザーと一緒に動作することに小さなドーナツを賭けますが、どこでも動作することに私のキャリアを賭けたり、攻撃を受けると予想した場所でそれを期待したりしません（例：教育環境）。

ACLとソフトウェア制限を組み合わせることで、ディスクの特定のデバイスや領域からのコードの実行を確実にブロックできます。これは便利なセキュリティツールですが、セキュリティポリシーの基礎ではなく、セキュリティポリシーの一部にします。 。

ホワイトリストよりもブラックリストの方がはるかに簡単です。ほとんどの場合、ユーザーに実行させたくないものについての考えがあります。 Windowsがこれを処理する方法は、GPOのソフトウェア制限ポリシーを使用することです。ソフトウェア制限ポリシーは、ソフトウェアの実行を許可するだけでなく、ソフトウェアを拒否するためにも使用できます。使用できる方法は4つあり、ハッシュルール、証明書ルール、パスルール、インターネットゾーンルールです。

ハッシュルールルールは、一致するファイルのMD5またはSHA-1ハッシュを使用します。これは困難な戦いになる可能性があります。ハッシュルールだけを使用してpwdumpのようなものをブロックしようとすると、pwdumpの異なるバージョンごとに、多数のエントリが生成されます。また、新しいバージョンがリリースされたら、それも追加する必要があります。

パスルールは、ファイルシステム上のファイルの場所に基づいています。したがって、たとえば「\ programfiles\aol\aim.exe」を制限することもできますが、ユーザーが「\ myapps\aol\aim.exe」にインストールすることを選択した場合は許可されます。ワイルドカードを使用して、より多くのディレクトリをカバーできます。ソフトウェアにレジストリエントリがあるが、インストール先がわからない場合は、レジストリパスを使用することもできます。

証明書ルールは、証明書を含むソフトウェアに役立ちます。これは主に商用ソフトウェアを意味します。システムでの実行が許可されている証明書のリストを作成し、それ以外はすべて拒否することができます。

インターネットゾーンルールは、Windowsインストーラパッケージにのみ適用されます。私はこれを使ったことがないので、あまりコメントできません。

適切なGPOは、これらのルールのいくつかを使用してすべてをカバーします。ソフトウェアを制限するには、それを正しく行うために何を防ぎたいかを本当に考える必要があります。それでも、おそらくまだ正しくありません。Technetソフトウェア制限ポリシーの使用に関するいくつかの優れた記事があります。お気に入りの検索エンジンを介して、Microsoftのサイトから他の優れたドキュメントが見つかると確信しています。

幸運を！

Cisco Security Agentは、（トレーニングの「監視のみ」期間の後）以前に実行されたことのない実行可能ファイルをブロックするルールで使用できます。

必要に応じて、特定のディレクトリからの実行可能ファイルを許可できます。