Pouvez-vous réellement restreindre l'endroit où les programmes sont exécutés sur les versions ultérieures de Windows?

Je regardais ici

Maintenant, il semble prometteur de pouvoir restreindre l'exécution des programmes, en s'assurant qu'ils s'exécutent uniquement à partir de% PROGFILES% et% WINDIR%, mais je me request à quel point il est exécutable et verrouillable. En supposant que la page est suivie et qu'il n'y a pas de vulnérabilité actuelle (uniquement pour les besoins de ma question).

Pouvez-vous vous assurer que les programmes ne peuvent pas être exécutés à partir de% TEMP%, que les programmes ne peuvent pas être lancés à partir de commands cmd ou start ou à partir d'autres programmes? Fondamentalement, y a-t-il des façons de le faire et, dans l'affirmative, comment pouvez-vous les verrouiller?

Je pense que les stratégies de ressortingction de logiciel, introduites avec Windows XP et Windows Server 2003, sont un instrument valide pour empêcher les programmes indésirables de s'exécuter.

Si les règles de path que vous décrivez ne sont pas assez sûres à votre avis, vous pouvez toujours append des règles de hachage («empreintes digitales» cryptocharts des exécutables qui restnt identiques quel que soit le nom ou l'location du file) et les certificates.

La seule façon (ce que je sais) de contourner les règles de ressortingction de logiciel dans Windows XP, utilise un count d'ouverture de session secondaire (commencez par «Exécuter sous»).

Windows 7 Enterprise & Server 2008 R2: AppLocker

J'ai vu une démonstration de cela lors d'une récente conférence TechNet. Vous pouvez restreindre / autoriser en fonction des caractéristiques suivantes de l'exécutable:

-Path Rules

-Hash Rules

-Publisher Rules

En utilisant les règles ci-dessus set, vous pouvez «vous assurer que les programmes ne peuvent pas être exécutés à partir de% TEMP%, que les programmes ne peuvent pas être lancés à partir de commands cmd ou start ou à partir d'autres programmes?

Plus d'infos ici.

Anapologetos

Un laboratoire public de notre université utilise apparemment cette politique dans un environnement Vista, mais cela ne semble pas être complètement restreint. Je ne suis pas sûr de ce que sont les règles. Le mastic portable fonctionne à partir de mon bureau, par exemple. Une fois, je voulais exécuter l'exécutable simple et moche de mon bureau pour coder un file wave et il ne fonctionnerait pas.

Personnellement, je ne suis pas un grand fan, mais McAfee Enterprise 8.5i (et testez d'autres) vous permettront de créer facilement des règles personnalisées qui limitent d'où provient .exe.