igu*_*tin 5 windows permissions ntfs mount noexec
Windows 上是否有等效的文件系统选项,例如 Linux 上的“noexec”挂载选项?如果我设置了“读取”权限,但在根目录(整个驱动器)上取消设置“读取和执行”权限,是否相同?对于本地用户,也适用于访问 Windows Server 机器上共享目录的 LAN 用户。
我想知道我是否可以禁用从数据驱动器/分区运行程序的任何种类或可能性,包括无法创建它自己的子目录并对其设置执行权限。因此用户必须能够读写,但不能执行任何程序,包括 BAT。当然,这与恶意软件的安全性有关。有可能吗?
Windows 中的文件系统没有类似于“noexec”挂载。Microsoft 的简单“读取”权限概念包括执行权(因为执行实际上只是加载程序将图像读入内存)。
您可以修改“高级”版本的权限以删除(或拒绝)“遍历文件夹/执行文件”权限。这将防止双击或命令行执行 .EXE 文件。.BAT 和 .CMD 文件不会通过在资源管理器中双击执行,但它们仍会从命令提示符或使用语法“CMD /c”从“开始”/“运行”执行。
更改权限打破了“noexec”挂载的“类比”,因为“noexec”不需要对挂载卷的权限进行任何修改。
您最好将软件限制策略视为实现您正在寻找的内容的一种方式。此工具更改用于执行程序的 API 的行为,以限制可以执行程序的路径(或通过数字签名或加密散列)。假设您的本地用户没有“管理员”权限,此功能在某种程度上是有效的。
但是,最终,如果计算机上存在允许用户写入文件和执行的任何文件系统位置,则用户可以将程序从受限执行路径复制到该位置并从那里执行程序。您需要非常勤奋以确保没有此类位置。
或者,软件限制策略可以在“默认拒绝”模式下使用,其中只有指定的路径(或数字签名或加密哈希)将允许执行。这也很难设置,因为您需要测试所有应用程序以确保它们的执行成功。
您没有提及您所谈论的 Windows 版本。对于 Windows 7 和 Windows Server 2008 R2,软件限制策略是AppLocker 的一部分,功能类似。
| 归档时间: |
|
| 查看次数: |
4063 次 |
| 最近记录: |