.exe-Dateien sperren

  • Ich habe hier einen Computer (Win7 Home), den ich "DAU-Sicher" konfigurieren möchte. Selbstverständlich hab ich die Adminrechte an mich genommen, allerdings können weiterhin alle möglichen heruntergeladenen .exe-Dateien mit Userrechten ausgeführt werden und somit auch Schaden anrichten. Das würde ich gerne unterbinden. Die installierten Programme sollen aber weiterhin alle funktionieren.
    Gibt es eine Möglichkeit, das Ausführen von .exe-Dateien, die sich in bestimmten Verzeichnissen (C:\Users\Benutzername; D:\) befinden, zu blockieren und die restlichen zuzulassen?

  • Win7 Professional würde dir die Einrichtung einer „Richtlinie für Softwareeinschränkung“ erlauben, mit der man genau regeln kann, von welchen Orten ausführbare Dateien starten dürfen, für die Home-Variante gibt es keine offizielle Lösung, nur z. B. käufliche Software, die eigentlich zur Verhinderung von Cryptolocker-Ausführungen gedacht ist.

  • Gibt es keine Möglichkeit mit der Registry? Einzelne Dateien (z.B. iexplore.exe, winzip.exe) lassen sich so auch unter Home sperren. Gibt es diese Möglichkeit nicht auch für Pfade?

  • Wäre es nicht besser, ein kleines Linux draufzupacken? Dann wäre ohne Wine keinerlei Möglichkeit da, sich die Windows-Viren einzufangen.


  • Gibt es keine Möglichkeit mit der Registry?

    Hier hat jemand Softwarebeschränkungen als installierbare INF-Datei nachgebaut, müsste man sich erst mal einlesen, wie das genau funktioniert:
    http://home.arcor.de/skanthak/nexgo.html#safer


    Einzelne Dateien (z.B. iexplore.exe, winzip.exe) lassen sich so auch unter Home sperren. Gibt es diese Möglichkeit nicht auch für Pfade?

    Nein. Und die besagte Möglichkeit lässt sich nicht nur durch gleichnamige Programmnamen aushebeln, sondern auch durch indirekten Aufruf (per Batchdatei, Kommandozeile, alternativen Dateimanager etc.), da es nur eine Gruppenrichtlinie für die Windows-Shell (Explorer) ist.


    Dann wäre ohne Wine keinerlei Möglichkeit da, sich die Windows-Viren einzufangen.

    Mal abgesehen von der eventuellen Notwendigkeit bestimmter Windows-Anwendungen ist das auch keine abschließende Lösung, da man selbst auf einer Home/Temp-Partition mit noexec-Mountflag immer noch Skripte per Shell ausführen kann. Dazu müsste man die Benutzer-Sitzung vollständig einer restriktiven MAC-Richtlinie wie AppArmor oder SELinux unterwerfen.

  • Gelegentlich ist das die stressfreieste Lösung.

    Offensichtlich geht es ja hier um Malware-Vorbeugung auch für die Bereiche, auf die der Benutzer Zugriffsrechte hat und braucht. Wenn sich ein biologischer Organismus (z.B. Mensch) keine Krankheiten einfangen soll, muss man ihn auch in der Freiheit beschränken. Es gibt auch kein Gesetz gegen Selbstverstümmelung. Die beste Vorbeugung gegen DAUs ist dann immer noch, sie gar nicht erst an die Technik zu lassen.

    • • • – • – – • – –


  • Offensichtlich geht es ja hier um Malware-Vorbeugung auch für die Bereiche, auf die der Benutzer Zugriffsrechte hat und braucht. Wenn sich ein biologischer Organismus (z.B. Mensch) keine Krankheiten einfangen soll, muss man ihn auch in der Freiheit beschränken. Es gibt auch kein Gesetz gegen Selbstverstümmelung. Die beste Vorbeugung gegen DAUs ist dann immer noch, sie gar nicht erst an die Technik zu lassen.

    Da muss ich dir zustimmen. ;)

    Make the WHF great again!

Jetzt mitmachen!

Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!