Internet Explorer：実行可能ファイル（exe / com / pif / scr / bat / ps1）がダウンロード時に「実行」されないようにブロックする方法

最も近い方法は、Internet Explorerで「高リスク」ファイルタイプのダウンロードをブロックし、ユーザーがそれらをダウンロードするための他の方法を提供することです。

このブロックは、グループポリシーユーザー構成→管理用テンプレート→Windowsコンポーネント→インターネットエクスプローラー→インターネットコントロールパネル→セキュリティページ→インターネットゾーン→安全でないファイルのセキュリティ警告を表示するを有効にすることで実行できます。 （ポリシーはEnabledであり、オプションはDisableに設定されている必要があります。 ）

IEが「安全ではない」と見なすファイルの種類のリストについては、 MicrosoftWindowsのAttachmentManagerに関する情報 を参照してください（.ps1を除くすべてのファイルが含まれます）。 。）

ChromiumとGoogle ChromeもダウンロードにWindows添付ファイルマネージャーを使用するため、IE設定は、これらのブラウザーでもダウンロードをブロックします。わかりません。 Firefoxについて。

EnterpriseバージョンのWindows 7、8/8.1、または10を実行している場合は、AppLockerを使用して、ローカルのグループポリシーエディターからこのポリシーを構成できます。 （gpedit）。

AppLockerは、ソフトウェア制限ポリシーよりもはるかに優れています。 SRPのように実行可能ルールを構成できるだけでなく、MSIインストーラー、スクリプト（.bat、.vbs、.ps1など）およびWindowsユニバーサル（.appx）パッケージのポリシーを設定することもできます。パス、ファイルハッシュ、および証明書の発行元/バージョン情報に基づいて許可/拒否ルールを構成することもできます（アプリケーション/スクリプトが1つで署名されている場合）。

ポリシーを構成する場所は、[コンピューターの構成]-> [Windowsの設定]-> [セキュリティの設定]-> [アプリケーション制御ポリシー]です。

AppLockerの欠点は、WindowsのEnterpriseエディションでのみ機能し、Proバージョンでは機能しないことです。また、AppLockerポリシーとソフトウェア制限ポリシーを一緒に使用することはできません。

これはMicrosoftの機能に関するドキュメントです 。エンタープライズバージョンをお持ちの場合は、一見の価値があります。リンクはWindows8/8.1を参照していますが、Win7とWin10でも同様に機能することに注意してください。

Internet Explorer：実行可能ファイル（exe/com/pif/scr/bat/ps1）がダウンロード時に「実行」されないようにブロックする方法

これを行う1つの方法は、_Traverse folder / execute file_のNTFS ACLアクセス許可に明示的な拒否を制限または設定することです。 IE 11が実行可能なファイルをダウンロードするフォルダー上のこのユーザーアカウント（またはそれらがメンバーであるセキュリティグループ）の場合（例：_/Downloads_フォルダ）。

このようにして、IEで問題なくこのフォルダにダウンロードして保存できますが、実行すると、アクセス許可が拒否されるなどの種類のメッセージが表示され、何も実行できなくなります。この場所から。

新しい明示的な拒否セキュリティを追加

フォルダを右クリックし、プロパティを選択し、セキュリティタブに移動して、詳細、選択追加、選択高度なアクセス許可の表示、選択プリンシパルの選択、このアクセスを制限するには、ユーザー名またはセキュリティグループを入力します。 Typeフィールドでプリンシパルが選択されたら、値をDenyにドロップし、Applies to フィールドは、それをこのフォルダーとファイルの値にドロップしてから、高度なアクセス許可セクションに移動します。 トラバースフォルダ/実行ファイルを確認し、[〜＃〜] ok [〜＃〜]を押します。