Windows下的NTFS上的'noexec'选项?

Modified on: Mon, 19 Aug 2019 12:00:02 +0800

Windows上有等效的文件系统选项,比如Linux上的'noexec'挂载选项吗?如果我设置“读取”权限,但在根目录(整个驱动器)上取消设置“读取和执行”权限,它是否相同?对于本地用户,还有LAn用户访问Windows Server机器上的共享目录。

我想知道我是否可以禁用从数据驱动器/分区运行程序的任何类型或可能性,包括不能创建它自己的子目录并设置它的执行权限。因此用户必须能够读写,但不能执行任何程序,包括BAT。当然,这是关于恶意软件的安全性。有可能吗?

作者:igustin

最佳答案

Windows中的文件系统没有模拟“noexec”安装。微软对简单“读取”权限的概念包括执行权(因为执行实际上只是加载器将图像读入内存)。

您可以修改删除(或拒绝)“遍历文件夹/执行文件”权限的权限的“高级”版本。这将阻止.EXE文件的双击或命令行执行。 .BAT和.CMD文件不会在资源管理器中双击执行,但它们仍将从命令提示符或使用开始/运行中的语法“CMD / c”执行。

更改权限会破坏“noexec”安装的“类比”,因为“noexec”不需要对已安装卷的权限进行任何修改。

你最好还是关注软件限制政策作为一种完成你所寻找的方式。此工具更改用于执行程序的API的行为,以限制可以执行程序的路径(或通过数字签名或加密哈希)。假设您的本地用户没有“管理员”权限,则此功能在某种程度上是有效的。

但最终,如果计算机上有任何文件系统位置允许用户同时写入文件并执行,则用户可以将程序从受限执行路径复制到此位置并从那里执行程序。您需要非常勤奋以确保没有这样的位置。

或者,软件限制策略可以在“默认拒绝”模式下使用,其中只有指定的路径(或数字签名或加密哈希)才允许执行。这也很难设置,因为您需要测试所有应用程序以确保它们的执行成功。

您没有提到您正在谈论的Windows版本。对于Windows 7和Windows Server 2008 R2,软件限制策略是AppLocker和功能类似。


相关问答

添加新评论