Desde hace un tiempo, he estado evitando la idea de implementar una lista blanca de aplicaciones en algunos conjuntos de máquinas (propiedad de 2-3 clientes de consultoría diferentes) que administro que parezcan adecuados para ello. Estas PC manejan datos confidenciales (información de tarjeta cubierta por PCI, por ejemplo), pero un empleado que usa una de ellas para trabajar con esa información casi nunca necesita ir más allá de usar solo uno o dos programas de línea de negocios de escritorio seleccionados para hacerlo . Por lo tanto, un mecanismo de inclusión en la lista de aplicaciones (como parte de la defensa en profundidad) parece una posibilidad natural a considerar. Implementar uno consistiría en cumplir dos propósitos: (a) implementar un bloque técnico en la capacidad de los usuarios para, al contrario de la política, instalar o utilizar programas como navegadores o aplicaciones de mensajería instantánea que puedan tienen implicaciones muy serias sobre la exposición a vectores de infección de malware, así como (b) por el hecho de (con suerte) hacer que sea mucho menos probable que cualquier código malicioso que hizo logre en una de estas PC podría ejecute correctamente o instale elementos de malware persistentes en la máquina.
El problema es este: todas estas máquinas ejecutan la edición de Windows 7 Professional o la edición de Windows 10 Professional . Significado de no Applocker , y no Device Guard (en Windows 10) como opciones horneadas. Aprendí que uno puede usar esta técnica más antigua para filtrar ejecutables que pueden ejecutarse por nombre de archivo, por eso no me parece que sea un gran complemento para verificar que un programa está permitido mirando un código firmado o un hashes de archivo. Ahora, por supuesto, hay muchas soluciones de listas blancas de aplicaciones de terceros ... y la mayoría o todo lo que he encontrado hasta ahora son bastante caros, ya menudo requieren la compra de una suite de seguridad completa. Lo que me obligaría a entrar en los procesos de presupuesto interno con algunos de estos clientes, persuadir a los gerentes escépticos y, de lo contrario, asumir una carga de dolor.
Entonces, supongo que estoy preguntando: ¿hay algún enfoque obvio, opciones, etc. aquí que me falte? ¿Alguna de las opciones populares de código abierto / libre que no he escuchado? ¿Algún truco conocido para jugar con la configuración de Windows (como el método de filtro por nombre anterior), escribir guiones o algo similar que pudiera hacer con Windows que me permitiera jerry-rig juntos algo que probablemente sea lo suficientemente bueno? ¿Pensamientos?