опция ‘noexec’ на NTFS в соответствии с Windows?
Вы полагали, что обновление до WS2003 Enterprise Edition и использование в своих интересах Windows System Resource Manager содержат ресурсы приложений?
Нет никакого аналога к "noexec", монтируются для файловых систем в Windows. Концепция Microsoft простого разрешения "Чтения" включает право выполниться (так как выполнение действительно является просто загрузчиком, читая изображение в память).
Можно изменить "Усовершенствованную" версию разрешения удалить (или отклонить) "Папка Пересечения / Выполняют Файл" разрешение. Это предотвратит, дважды щелкают или выполнение командной строки.EXE файлов..BAT и.CMD файлы не выполнятся от двойного щелчка в Проводнике, но они все еще выполнят от командной строки или использования синтаксиса "CMD/c" от Запуска / Выполнение.
Изменение разрешения повреждается, "аналогия" "noexec" монтируются, так как "noexec" не требует никаких модификаций к полномочиям смонтированного объема.
Вы были бы более обеспеченным рассмотрением политик Ограничения программного обеспечения как способ выполнить то, что Вы ищете. Это средство изменяет поведение API, используемого для выполнения программ для ограничения путей (или цифровой подписью или криптографическим хешем), от которого могут быть выполнены программы. Принятие Ваших локальных пользователей не имеет права "Администратора", эта функциональность была бы эффективной в некоторой степени.
В конечном счете, тем не менее, если существует какое-либо местоположение файловой системы на компьютере, где пользователю разрешают и записать файлы и выполниться, пользователь мог скопировать программы от путей ограниченного выполнения до этого местоположения и выполнить программу оттуда. Необходимо было бы быть очень прилежными, чтобы обеспечить, чтобы не было таких местоположений.
С другой стороны, политики Ограничения программного обеспечения могут использоваться в "значении по умолчанию, отклоняют" режим, где только указанные пути (или цифровые подписи или криптографические хеши) позволят выполнение. Это также довольно трудно установить, так как необходимо протестировать все приложения, чтобы быть уверенными, что их выполнение успешно.
Вы не упоминаете, о какой версии Windows Вы говорите. Для Windows 7 и Windows Server 2008 R2, политики Ограничения программного обеспечения являются частью AppLocker, и функциональность схожа.
-
1Это неточно. Щелкните правой кнопкой по файлу, перейдите к вкладке безопасности, нажмите Advanced, затем Редактирование, затем Редактирование (снова), и Вы будете видеть полный список полномочий. Отметьте это " папка пересечения / выполняет file" отлично от " папка списка / данные " чтения; – Mark Sowul 23 December 2009 в 03:04
-
2AppLocker улучшен во многих отношениях, хотя, делая развертывание и реализацию намного легче справиться... можно развернуть его в режиме аудита только, например, так it' ll регистрируются, но не на самом деле блок для администраторов для анализа через некоторое время. – Oskar Duveborn 23 December 2009 в 03:43
Перейдите к параметрам безопасности для диска (щелкните правой кнопкой, вкладка безопасности), затем нажмите "Edit"; если Вы хотите препятствовать тому, чтобы типичные пользователи выполнили что-нибудь на диске, можно выбрать "Пользовательскую" запись и снять флажок "С чтением и выполнить" и оставить "Чтение" проверенным.
-
1Я don' t знают о более поздних версиях, но до 2003, по крайней мере, это doesn' t работа. Можно удалить то право все, что Вы любите, но автономные исполняемые файлы (по крайней мере), будут все еще работать. – John Gardeniers 23 December 2009 в 04:51
-
2Я просто протестировал на XP, и он хорошо работал. Щелкните правой кнопкой по exe, не наследуйте полномочия, уезжайте, Read включил, но не Read & Выполниться. Попытайтесь выполнить его, и это даст Вам ошибку доступа запрещен. – Mark Sowul 23 December 2009 в 14:20
-
3+1 - Это ест во мне так I' ve отбросил редактирование на мою исходную регистрацию для создания этого более точным. Я поддерживаю факт это там isn' t аналог к " noexec" смонтируйтесь как плакат, просил, хотя I' ll (счастливо) признают, что можно исказить полномочия NTFS на executibles для предотвращения выполнения. – Evan Anderson 23 December 2009 в 18:11
-
4You' право ре, что во многих, ограничение программного обеспечения является более оптимальным вариантом, но, учитывая вариант использования (файловый сервер) я don' t it' s как полезный, так как всем клиентам должны были бы настроить ограничение, тогда как, изменяя сервер ACLs только должен быть сделан там. Просто удостоверьтесь пользователь doesn' t имеют разрешение изменить полномочия (который имел бы место, если Вы сняли флажок с " Считайте & execute" но оставьте все изменить полномочия. – Mark Sowul 23 December 2009 в 18:46