Задать вопрос

Закрыть доступ исполняемым файлам через контроллер домена как сделать?

хочу дополнительно добавить защиту от возможного исполнения запускаемых файлов через контроллер домена на компах у пользователей. К примеру, сотрудник скачал с почты .bat думая что это документ, открывает его. Как ограничить запуск подобного с помощью AD и какой путь для исполняемого файла нужно закрыть к примеру %appdata%.exe (не точно насчет прописания такого пути), а так о том какие расширения помимо .exe, bat, vbs нужно закрыть?
  • Вопрос задан
  • 301 просмотр
Подписаться 3 Простой 5 комментариев
Пригласить эксперта
Ответы на вопрос 4
SignFinder
@SignFinder
Wintel\Unix Engineer\DevOps
Вам нужно настроить соответствующие политики AppLocker в GPO.
Ответ написан
Комментировать
@9999_dk
Плохая идея закрывать исполняемые файлы. Времена софта с единственным исполняемым файлом давно канули в лету. под истерики юзеров и громы с молниями от руководства сдашься не пройдя и половины пути формирования белого списка.
Сделай в домене группу подопытных кроликов (по одному безобидному человеку от подразделения) и через gp на максималку UAC - сможешь ощутить на 1 % то, что ожидает.
Закрой лучше почту от исполняемых файлов и rar-архивов.
Ответ написан
Комментировать
@NortheR73
системный инженер
Б = Безопасность
Самый первый шаг - это закрепить на бумаге текущее состояние инфраструктуры и то, что вы хотите получить в результате ваших действий.
Далее должен родиться план мероприятий, по которому вы будете внедрять те или иные инструменты контроля/управления и вводить ограничения и т.д.
По идее - вам надо сначала заняться контролем и ограничением "причин" (точки проникновения подозрительного контента в вашу сеть - почта, флешки и т.д.), средств для этого существует достаточно (GPO, тулзы от Касперского, например).
Далее - внутренний контроль (собственно, то, что вы хотите сделать) с максимальным закручиваем гаек в отношении рядовых пользователей: UAC, GPO, AppLocker, Software Restrictions Policy, тулзы от Касперского и т.д.
Естественно, не забываем про разграничение доступов, полномочий, использование разных учеток для выполнения административных задач и обычной работы и т.д.
Ответ написан
Комментировать
@fpir
Запрет исполняемых файлов из директории пользователя
Следующий вопрос будет как права на папки разовать?
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы