Опция noexec в NTFS под Windows?
Есть ли в Windows эквивалентная опция файловой системы, например, опция монтирования noexec в Linux? То же самое, если я установил разрешение "Чтение", но не установил разрешение "Чтение и выполнение" для корневого каталога (всего диска)? Для локальных пользователей, а также для пользователей LAn, имеющих доступ к общему каталогу на компьютере Windows Server.
Я хочу знать, могу ли я отключить любой вид или возможность запуска программ с диска / раздела данных, в том числе не иметь возможности создавать свой собственный подкаталог и устанавливать для него разрешение на выполнение. Таким образом, пользователь должен иметь возможность читать и писать, но не выполнять никаких программ, включая BAT. Конечно, речь идет о защите от вредоносных программ. Возможно ли это?
2 ответа
Аналогов для монтирования noexec для файловых систем в Windows нет. Концепция Microsoft о простом разрешении "Чтение" включает в себя право выполнения (поскольку выполнение - это просто загрузчик, считывающий изображение в память).
Вы можете изменить "расширенную" версию разрешения, чтобы удалить (или запретить) разрешение "Переместить папку / выполнить файл". Это предотвратит двойное нажатие или запуск командной строки.EXE-файлов. Файлы.BAT и.CMD не будут выполняться при двойном щелчке в проводнике, но они все равно будут выполняться из командной строки или с использованием синтаксиса "CMD /c " из "Пуск / Выполнение".
Изменение разрешения нарушает "аналогию" монтирования "noexec", поскольку "noexec" не требует каких-либо изменений в разрешениях монтируемого тома.
Вам было бы лучше взглянуть на Политики ограниченного использования программ как на способ выполнить то, что вы ищете. Это средство изменяет поведение API, используемого для выполнения программ, чтобы ограничить пути (или с помощью цифровой подписи или криптографического хэша), из которых могут выполняться программы. Предполагая, что ваши локальные пользователи не имеют прав "Администратор", эта функция будет в некоторой степени эффективной.
В конечном счете, тем не менее, если на компьютере есть место в файловой системе, где пользователю разрешено как записывать файлы, так и выполнять, пользователь может копировать программы из путей с ограниченным исполнением в это место и выполнять программу оттуда. Вам нужно быть очень прилежным, чтобы убедиться, что таких мест нет.
В качестве альтернативы Политики ограниченного использования программ могут использоваться в режиме "запрет по умолчанию", при котором только указанные пути (или цифровые подписи или криптографические хэши) будут разрешать выполнение. Это также довольно сложно настроить, так как вам нужно протестировать все ваши приложения, чтобы убедиться в их успешном выполнении.
Вы не упоминаете, о какой версии Windows вы говорите. Для Windows 7 и Windows Server 2008 R2 политики ограниченного использования программ являются частью AppLocker, и их функциональность аналогична.
Перейдите в параметры безопасности диска (щелкните правой кнопкой мыши вкладку "Безопасность"), затем нажмите "Изменить"; Если вы хотите запретить обычным пользователям выполнять что-либо на диске, вы можете выбрать запись "Пользователи", снять флажок "Читать и выполнить" и оставить флажок "Читать".