阻止执行 Windows 可执行文件

Question

有什么方法可以告诉 Windows（XP 及更高版本）不要执行文件（*.exe 文件），这些文件存在于我提到的某些文件夹以外的驱动器/文件夹中？简而言之，我只希望执行来自“白名单”的可执行文件。

我认为这比要求用户不要从他们从家里带来的任何垃圾 CD 中运行任何可执行文件要好。

Answer 1

你想要软件限制政策。现代 Windows 的这一未充分利用的功能允许管理员基于路径甚至基于加密签名来允许或限制可执行文件运行。顺便说一下，您想要的不仅仅是 EXE。软件限制策略列出了您需要限制的 30 或 40 种其他类型的文件，例如 CMD 和 SCR、屏幕保护程序。此外，您可以阻止 DLL。

我认为它的有效性比防病毒软件要好得多。此外，很难让用户了解现代恶意软件使用的社会工程攻击，例如让用户点击 ListenToThisMusic.mp3.exe。

Answer 2

我会小心的。您将无法 100% 锁定所有内容，而且您将使用户几乎无法使用这些机器。您应该考虑对用户进行教育，并将流程、政策和教育落实到位。您需要在限制操作和最终用户生产力之间找到正确的平衡点。

我看到很多公司浪费了美元，他们让用户过着绝对地狱般的生活，只是为了让支持人员的工作更容易一些。