.exe-Dateien sperren

    Ich habe hier einen Computer (Win7 Home), den ich "DAU-Sicher" konfigurieren möchte. Selbstverständlich hab ich die Adminrechte an mich genommen, allerdings können weiterhin alle möglichen heruntergeladenen .exe-Dateien mit Userrechten ausgeführt werden und somit auch Schaden anrichten. Das würde ich gerne unterbinden. Die installierten Programme sollen aber weiterhin alle funktionieren.
    Gibt es eine Möglichkeit, das Ausführen von .exe-Dateien, die sich in bestimmten Verzeichnissen (C:\Users\Benutzername; D:\) befinden, zu blockieren und die restlichen zuzulassen?

    Win7 Professional würde dir die Einrichtung einer „Richtlinie für Softwareeinschränkung“ erlauben, mit der man genau regeln kann, von welchen Orten ausführbare Dateien starten dürfen, für die Home-Variante gibt es keine offizielle Lösung, nur z. B. käufliche Software, die eigentlich zur Verhinderung von Cryptolocker-Ausführungen gedacht ist.

    Gibt es keine Möglichkeit mit der Registry? Einzelne Dateien (z.B. iexplore.exe, winzip.exe) lassen sich so auch unter Home sperren. Gibt es diese Möglichkeit nicht auch für Pfade?

    Wäre es nicht besser, ein kleines Linux draufzupacken? Dann wäre ohne Wine keinerlei Möglichkeit da, sich die Windows-Viren einzufangen.

    Zitat von chef


    Gibt es keine Möglichkeit mit der Registry?

    Hier hat jemand Softwarebeschränkungen als installierbare INF-Datei nachgebaut, müsste man sich erst mal einlesen, wie das genau funktioniert:
    http://home.arcor.de/skanthak/nexgo.html#safer

    Zitat von chef


    Einzelne Dateien (z.B. iexplore.exe, winzip.exe) lassen sich so auch unter Home sperren. Gibt es diese Möglichkeit nicht auch für Pfade?

    Nein. Und die besagte Möglichkeit lässt sich nicht nur durch gleichnamige Programmnamen aushebeln, sondern auch durch indirekten Aufruf (per Batchdatei, Kommandozeile, alternativen Dateimanager etc.), da es nur eine Gruppenrichtlinie für die Windows-Shell (Explorer) ist.

    Zitat von mrshadowtux


    Dann wäre ohne Wine keinerlei Möglichkeit da, sich die Windows-Viren einzufangen.

    Mal abgesehen von der eventuellen Notwendigkeit bestimmter Windows-Anwendungen ist das auch keine abschließende Lösung, da man selbst auf einer Home/Temp-Partition mit noexec-Mountflag immer noch Skripte per Shell ausführen kann. Dazu müsste man die Benutzer-Sitzung vollständig einer restriktiven MAC-Richtlinie wie AppArmor oder SELinux unterwerfen.

    Zitat von tk1908

    Gelegentlich ist das die stressfreieste Lösung.

    Offensichtlich geht es ja hier um Malware-Vorbeugung auch für die Bereiche, auf die der Benutzer Zugriffsrechte hat und braucht. Wenn sich ein biologischer Organismus (z.B. Mensch) keine Krankheiten einfangen soll, muss man ihn auch in der Freiheit beschränken. Es gibt auch kein Gesetz gegen Selbstverstümmelung. Die beste Vorbeugung gegen DAUs ist dann immer noch, sie gar nicht erst an die Technik zu lassen.

    • • • – • – – • – –

    Zitat von s4ndwichMakeR


    Offensichtlich geht es ja hier um Malware-Vorbeugung auch für die Bereiche, auf die der Benutzer Zugriffsrechte hat und braucht. Wenn sich ein biologischer Organismus (z.B. Mensch) keine Krankheiten einfangen soll, muss man ihn auch in der Freiheit beschränken. Es gibt auch kein Gesetz gegen Selbstverstümmelung. Die beste Vorbeugung gegen DAUs ist dann immer noch, sie gar nicht erst an die Technik zu lassen.

    Da muss ich dir zustimmen. ;)

    Make the WHF great again!

Jetzt mitmachen!

Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!

Benutzerkonto erstellen Anmelden