有什么工具或第三方的软件或杀毒软件只允许合法的程序运行

显示全部楼层 · 发表于 2024-5-6 09:37:18

有很多工控主机防护都是这样的方式

显示全部楼层 · 发表于 2024-5-12 08:20:23

kes application control 可以限制

显示全部楼层 · 发表于 2024-5-14 14:19:42

McAfee也有APP control，貌似价格挺高的，可以找个代{过}{滤}理商咨询下。

显示全部楼层 · 发表于 2024-5-23 09:18:02

时达通讯发表于 2024-5-5 10:46
组策略可以试试，只放行指定的几个程序，其它的可执行程序一律禁止，你这种使用环境单一的最适合了，而且设 ...

改一个名字就能运行了，猪策略。

显示全部楼层 · 发表于 2024-5-28 14:20:00

本帖最后由 yangjiangh2 于 2024-5-28 14:25 编辑

可以换个思路来处理比如禁止产生新的exe文件和修改旧的exe文件麦咖啡自定义规则就可以
ESET的HIPS的自定义规则没麦咖啡好用(通配符不好使)
麦咖啡自定义规则要会用通配符
McAfee VirusScan Enterprise和Trellix Endpoint Security都可以
比如说要阻止的文件为exe类型
C:\**\*.exe //这个规则就是对C盘所有的exe文件有效
*.exe //这个规则就是对全盘的exe文件有效
麦咖啡规则.png

图中规则就是禁止C盘内再次产生新的exe类文件(也不能替换旧的exe文件,不影响旧的exe运行)
如果将C:\**\*.exe改为*.exe就是全盘不能产生新的exe类文件(也不能替换旧的exe文件,不影响旧的exe运行)
这样设置相关类型的文件后电脑不能更新补丁和软件不能新装和替换软件

显示全部楼层 · 发表于 2024-6-2 06:53:04

本帖最后由时达通讯于 2024-6-2 06:54 编辑

univers 发表于 2024-5-23 09:18
改一个名字就能运行了，猪策略。

你有用过策略？改名字不行，你文件的MD5改个我瞧瞧？

显示全部楼层 · 发表于 2024-6-2 15:44:58

voodooshield应该满足你的需求

显示全部楼层 · 发表于 2024-6-13 18:37:57

为什么不用还原卡呢育林卫（WeeBack）系的还原系统也就一百以内，主要是白名单有被穿透的风险，还原卡重启就能还原，稳定一点

显示全部楼层 · 发表于 2024-7-10 15:43:39

inhh1 发表于 2024-6-13 18:37
为什么不用还原卡呢育林卫（WeeBack）系的还原系统也就一百以内，主要是白名单有被穿透的风险，还原卡重启 ...

不用这个，因为有些数据是要写要存的。如果全盘冻结，可以用冰点，影子系统。这个简单。

显示全部楼层 · 发表于 2024-7-10 21:01:48

univers 发表于 2024-7-10 15:43
不用这个，因为有些数据是要写要存的。如果全盘冻结，可以用冰点，影子系统。这个简单。

新的还原套件有不保护文件夹/分区功能
参考下图

[其它] 有什么工具或第三方的软件或杀毒软件只允许合法的程序运行

评分

[其它] 有什么工具 或第三方的软件 或杀毒软件只允许合法的程序运行

评分

[其它] 有什么工具或第三方的软件或杀毒软件只允许合法的程序运行