Windows上是否存在等效的文件系统选项,如
Linux上的“noexec”挂载选项?如果我设置“读取”权限,但在根目录(整个驱动器)上取消设置“读取和执行”权限,它是否相同?对于本地用户,还有LAn用户访问Windows Server机器上的共享目录.
我想知道我是否可以禁用从数据驱动器/分区运行程序的任何类型或可能性,包括不能创建它自己的子目录并设置它的执行权限.因此用户必须能够读写,但不能执行任何程序,包括BAT.当然,这是关于恶意软件的安全性.有可能吗?
对于Windows中的文件系统,没有模拟“noexec”安装.微软对简单“读取”权限的概念包括执行权(因为执行实际上只是将图像读入内存的加载器).
原文链接:https://www.f2er.com/windows/368823.html您可以修改“高级”版本的权限以删除(或拒绝)“遍历文件夹/执行文件”权限.这将阻止.EXE文件的双击或命令行执行. .BAT和.CMD文件不会在资源管理器中双击执行,但它们仍将从命令提示符或使用开始/运行中的语法“CMD / c”执行.
更改权限会打破“noexec”安装的“类比”,因为“noexec”不需要对已安装卷的权限进行任何修改.
你最好将Software Restriction Policies视为实现所需目标的一种方式.此工具更改用于执行程序的API的行为,以限制可以执行程序的路径(或通过数字签名或加密哈希).假设您的本地用户没有“管理员”权限,则此功能在某种程度上是有效的.
但是,最终,如果允许用户同时写入文件并执行的计算机上存在任何文件系统位置,则用户可以将程序从受限执行路径复制到该位置并从那里执行程序.你需要非常勤奋,以确保没有这样的位置.
或者,软件限制策略可以在“默认拒绝”模式下使用,其中只有指定的路径(或数字签名或加密哈希)才允许执行.这也很难设置,因为您需要测试所有应用程序以确保其执行成功.
您没有提到您正在谈论的Windows版本.对于Windows 7和Windows Server 2008 R2,软件限制策略是AppLocker的一部分,功能类似.