¿Cómo puedo deshabilitar la ejecución de programas del directorio de descargas en Windows 10?

3

Ejecuto Windows 10 y me gustaría que el contenido de la carpeta "Descargas" predeterminada de mi sistema no sea ejecutable. Quiero al menos una zona de aterrizaje donde pueda escanear archivos, ejecutar comprobaciones de hash, etc.

¿Esto suena bien?

  

Cambie los permisos de SISTEMA (y los míos) en esa carpeta para eliminar   "LEA Y EJECUTE" mientras deja READ intacto.

Quiero tener que mover los archivos para poder hacer más. (El usuario siempre es la mayor amenaza, así que vamos a lanzar un obstáculo en mi - er "su" manera.)

No estoy buscando un rigor matemático: solo quiero un LZ de sentido común, fácil de obtener, y me gustaría que fuera la carpeta de Descargas existente que el sistema reconoce.

    
pregunta Haakon Dahl 15.04.2018 - 09:26
fuente

2 respuestas

1

Creo que estás en el camino correcto. Modificar la propiedad y restringir los permisos adecuadamente.

También puede usar el acceso a carpetas controladas desde el Centro de seguridad de Windows Defender. Lo que le permitirá limitar qué aplicaciones pueden acceder a esa carpeta.

enlace

enlace

También puede hacer este tipo de cosas con la mayoría de las suites de seguridad de punto final.

    
respondido por el CryptoKoan 15.04.2018 - 18:07
fuente
1

Cambiar los permisos en el directorio es probablemente la mejor manera de hacerlo, sí. Además de ser relativamente fácil, tiene la ventaja de actuar más como la forma en que funcionan los sistemas similares a Unix, donde los archivos nuevos (en este caso, descargados) no son ejecutables de forma predeterminada. Win32 no tiene equivalente de umask , pero puede falsificarlo usando la herencia de directorio (que Unix no usa en su mayoría).

Algunas cosas a tener en cuenta al hacer esto:

  • Las ACL de NTFS admiten entradas "permitir" y "denegar", tanto para usuarios como para grupos. Se evalúan en el siguiente orden: usuario deny > permiso de usuario > grupo negar > grupo permite. En otras palabras, un rechazo en un usuario específico siempre gana, pero un permiso en un usuario específico supera un rechazo en un grupo al que pertenece el usuario, pero si el usuario no tiene permiso ni puede negar entradas, entonces, si alguno de los grupos de usuarios tiene una negar entonces esto triunfa cualquier permiso que tenga el grupo del usuario. Si ni el usuario ni ninguno de los grupos de usuarios tienen permitir o denegar entradas, el valor predeterminado es no permitir (denegar).
  • NTFS admite la herencia de permisos, donde un objeto (archivo, directorio, punto de análisis, etc.) puede tener algunos permisos heredados de su contenedor (directorio). De hecho, esta es la forma en que se establecen la mayoría de los permisos en NTFS; relativamente pocos objetos tienen ACL explícitas. Tenga en cuenta también que un objeto puede deshabilitar la herencia (no obtiene las ACL de su contenedor), una ACL puede ser no heredable (los objetos contenidos no la obtendrán, aunque tengan la herencia habilitada), y una ACL puede ser heredada solo (lo que significa que no se aplica al contenedor, solo a aquellos de su contenido que permiten ACL heredadas).
  • Siguiendo la regla de "latidos específicos generales", una ACL explícita en un objeto anula la ACL heredada si hay conflictos. Como tal, incluso si la carpeta de Descargas no otorga a su contenido el permiso de Ejecución (o, de hecho, lo niega), cualquier archivo en particular dentro de las Descargas podría obtener ese permiso por ACL explícita.
  • NTFS, como la mayoría de los sistemas de archivos, reutiliza el bit de permiso de Ejecución en un archivo como el bit de permiso del Directorio de Traverse. Como tal, eliminar (o denegar) Ejecutar en el directorio de Descargas normalmente evitará que acceda a cualquiera de sus contenidos (puede enumerarlos, siempre que tenga permiso de Lectura, pero no pueda leerlos o escribirlos, etc.) . Sin embargo, Windows de forma predeterminada ignora las comprobaciones de permisos de Traverse (puede desactivar este comportamiento, si lo desea), confiando en Lectura / Escritura / etc. en lugar. Este comportamiento significa que puede tener cosas extrañas, como una estructura de directorio A\B\C\D.txt donde el usuario no tiene acceso a A, B o C, pero puede leer e incluso editar D.txt siempre que los permisos en ese archivo se otorguen. dicho acceso (y el usuario conoce la ruta exacta). También significa que, para los directorios, el bit de Ejecución / Travesía básicamente no hace nada, excepto con fines de herencia.
  • Mientras que el permiso de Ejecución en archivos de formato PE (.EXE, .DLL, .SYS, etc.) actúa como se espera, la acción predeterminada en muchos otros tipos de archivos "ejecutables" que se ejecutan a través de algún programa (.BAT, .JAR, .PY, .JS, posiblemente incluso .MSI, etc.) serán ignorados por el SO; tales archivos solo necesitan permisos de Lectura, y solo sus intérpretes / tiempos de ejecución / etc. necesita permisos de ejecución.

Con todo lo dicho: establecer un permiso de Denegación en Ejecutar / Recorrer para el grupo Todos en el directorio de Descargas (y asegurarse de que sea un permiso heredable, aunque de forma predeterminada debería serlo) debería hacer lo que quieras. >     

respondido por el CBHacking 16.04.2018 - 11:31
fuente

Lea otras preguntas en las etiquetas