有什么工具或第三方的软件或杀毒软件只允许合法的程序运行

显示全部楼层 · 发表于 2024-4-19 16:41:37

如题，懂工业机器的人都知道，就象小日本的小森机系统，你随便放一个程序进她系统里，是执行不了的。没有认可的程序她运行都不会让你运行。看下图：
它的后台的保护机制，大概是这样：他们装好的应用，再装好后台保护工具，把C盘她们合法的应用程序全盘扫描一遍，扫描过的是有唯一的ID号身份编码的。
客户丢一些小程序进去，根本就是运行不了，想运行门都没有。她们把它的系统保护的妥妥的。如果不泡水，用15年，20年都是妥妥的。你问就算小森机供应商他没办法，也不知道。小日本厂家也不会告诉他们的。呵呵！！！
德国的高堡机，海德堡印刷机，也是保护的妥妥的。她是动态密码，一天跳一次。只要德国厂家才知道。

目前有没有这样的工具或软件，可以达到她们这样的功能？
别说windows的组策略-用户配置-系统-只动行指定的windows应用程序。这个没啥吊用。

显示全部楼层 · 发表于 2024-4-21 10:10:40

国产操作系统也能做到

最简单的目录限制读写就可以（如桌面），只有白名单程序可以

显示全部楼层 · 发表于 2024-4-21 14:56:44

HIPS类的，如Comodo、火绒
可以实现白名单效果，即不在白名单内的均无法运行，就第二张图那种
但是设置不好或放行不充分，会连系统都启动不了
https://bbs.kafan.cn/thread-2260899-1-1.html

组策略那个不管用吗？

显示全部楼层 · 发表于 2024-4-23 15:01:20

二十多年前和同事写过一个。这东西简单，自己写一个即可。
https://bbs.kanxue.com/thread-281370.htm

显示全部楼层 · 发表于 2024-4-24 00:10:18

Win10开始引入了WDAC，通过创建文件规则可以实现上述的功能。Win10 S模式就是基于它实现的
https://learn.microsoft.com/zh-c ... cation-control/wdac

显示全部楼层 · 发表于 2024-4-29 14:15:29

本帖最后由 univers 于 2024-4-29 14:23 编辑

wowocock 发表于 2024-4-23 15:01
二十多年前和同事写过一个。这东西简单，自己写一个即可。
https://bbs.kanxue.com/thread-281370.htm

对，就是这种逻辑。。。。。。。。。。。！勒索病毒进来，它也是无效的。其它病毒也是一样，可以把系统保护的“固如金汤”。

显示全部楼层 · 发表于 2024-4-29 14:17:46

随便注册发表于 2024-4-21 14:56
HIPS类的，如Comodo、火绒
可以实现白名单效果，即不在白名单内的均无法运行，就第二张图那种
但是设置不 ...

不行，那个太傻。

显示全部楼层 · 发表于 2024-4-29 15:51:14

wowocock 发表于 2024-4-23 15:01
二十多年前和同事写过一个。这东西简单，自己写一个即可。
https://bbs.kanxue.com/thread-281370.htm

楼主可以分享一下嘛？谢谢！！！！！！！！

显示全部楼层 · 发表于 2024-4-29 16:28:04

univers 发表于 2024-4-29 15:51
楼主可以分享一下嘛？谢谢！！！！！！！！

1，代码早没了，二十多年了。
2，原理简单，但细节上比较麻烦，后期还得各种运营维护。
3，还的配合控制外设，网络等，否则分分钟秒破。只能特定环境下使用。

显示全部楼层 · 发表于 2024-4-29 19:40:17

我曾经在某工厂的电脑上也试过，不能运行复制进去的程序，好像是用windows自带功能统一控制，只连内网。

显示全部楼层 · 发表于 2024-4-30 11:29:52

wowocock 发表于 2024-4-29 16:28
1，代码早没了，二十多年了。
2，原理简单，但细节上比较麻烦，后期还得各种运营维护。
3，还的配合控 ...

主要是内网用，现在的内网环境也不好搞，跨部门的，老手都知道，勒索病毒2017年就有了，很多公司内网也一样中招，很多变种的是专攻有数据库的服务器，中招了公司损失不少钱。
全盘扫描好办，校检MD5值也好写，就是windows 内核驱动代码不会写，我也是C++刚入门的菜鸟一个。那东西太深奥了。对于菜鸟来说难如登天。

显示全部楼层 · 发表于 2024-4-30 11:33:34

yelao 发表于 2024-4-29 19:40
我曾经在某工厂的电脑上也试过，不能运行复制进去的程序，好像是用windows自带功能统一控制，只连内网。

很多有能力的公司，工业上的机器就是这样的案来做的，鬼子做的是很优秀！！

显示全部楼层 · 发表于 2024-5-1 10:04:53

Windows本身就可以直接做到，不需要第三方软件。
gpedit.msc，本地组策略编辑器/计算机配置/Windows设置/安全设置/软件限制策略
将“不允许”设置为默认，在其它规则里只添加可允许运行的程序。
Windows登录用户不给管理员权限。

显示全部楼层 · 发表于 2024-5-1 14:26:12

不了阁飞哥发表于 2024-5-1 10:04
Windows本身就可以直接做到，不需要第三方软件。
gpedit.msc，本地组策略编辑器/计算机配置/Windows设置/ ...

发贴那里我说了，这个组策略傻的很，没啥吊用。

显示全部楼层 · 发表于 2024-5-1 21:37:27

univers 发表于 2024-5-1 14:26
发贴那里我说了，这个组策略傻的很，没啥吊用。

寡闻了。缺陷在哪呢？原闻其详。

显示全部楼层 · 发表于 2024-5-3 19:52:25

本帖最后由 yelao 于 2024-5-3 20:00 编辑

不了阁飞哥发表于 2024-5-1 10:04
Windows本身就可以直接做到，不需要第三方软件。
gpedit.msc，本地组策略编辑器/计算机配置/Windows设置/ ...

正解，就是这样。组策略加UAC，不能运行外部程序，系统维护需要管理员权限，而且他们的办公电脑的系统还会升级新版本，Win10/11。

显示全部楼层 · 发表于 2024-5-4 11:38:07

本帖最后由 univers 于 2024-5-4 11:43 编辑

yelao 发表于 2024-5-3 19:52
正解，就是这样。组策略加UAC，不能运行外部程序，系统维护需要管理员权限，而且他们的办公电脑的系统还 ...

这个有啥用呢？组策略禁用程序运行，改一个文件名就能运行了，比二货还傻。
UAC黑客一进来，调一下就没戏了，这是多么的蛋痛。

显示全部楼层 · 发表于 2024-5-4 11:44:25

本帖最后由 univers 于 2024-5-4 11:47 编辑

什么叫“固如金汤”就是你进了我家里，也不能撒野，你有强大的免疫力。不然就象新冠病毒刚开始那样，死了一大片咯。

显示全部楼层 · 发表于 2024-5-5 10:46:47

组策略可以试试，只放行指定的几个程序，其它的可执行程序一律禁止，你这种使用环境单一的最适合了，而且设置起来非常简单

显示全部楼层 · 发表于 2024-5-6 09:25:42

univers 发表于 2024-5-4 11:38
这个有啥用呢？组策略禁用程序运行，改一个文件名就能运行了，比二货还傻。
UAC黑客一进来，调一下就没 ...

所有能运行的文件夹：当前用户不能写
未在能运行的文件夹里的都不能运行
未在能运行的文件夹里的特例程序是以文件哈希方式添加的

[其它] 有什么工具 或第三方的软件 或杀毒软件只允许合法的程序运行

[其它] 有什么工具或第三方的软件或杀毒软件只允许合法的程序运行