回答:
ソフトウェア制限ポリシーが必要です。最新のWindowsのこの活用されていない機能により、管理者は、パスに基づいて、または暗号署名に基づいて実行可能ファイルの実行を許可または制限できます。ところで、あなたはただのEXE以外のものが欲しいのです。ソフトウェア制限ポリシーには、CMDやSCR、スクリーンセーバーなど、制限が必要な30または40種類の追加ファイルのリストがあります。さらに、DLLをブロックできます。
また、ユーザーにListenToThisMusic.mp3.exeをクリックさせるなど、現代のマルウェアが使用するソーシャルエンジニアリング攻撃についてユーザーを教育することは困難です。
私はこれに注意します。すべてを完全にロックダウンすることはできず、ユーザーがマシンを使用することはほぼ不可能になります。ユーザーの教育と、プロセス、ポリシー、教育の導入を検討する必要があります。アクションの制限とエンドユーザーの生産性との間で適切なバランスを見つける必要があります。
サポート担当者にとって物事を少しだけ簡単にするために、ユーザーが絶対に地獄に住んでいる企業では、たくさんの無駄な$$$を目にします。
GPOのソフトウェア制限ポリシーを使用してホワイトリストに登録できますが、それがどれほど効果的かはわかりません。私はほとんどの場所でほとんどの悪意のないユーザーと動作することに小さなドーナツを賭けますが、どこでも動作することに自分のキャリアを賭けることはありませんし、攻撃を受けると予想される場所ではそれを期待しません(例:教育環境)。
ACLとソフトウェア制限の組み合わせにより、特定のデバイスやディスクの領域からコードが実行されるのを確実にブロックできます。これは便利なセキュリティツールですが、私はそれをセキュリティポリシーの一部ではなく、セキュリティポリシーの一部にします。
ホワイトリストに登録するよりもブラックリストに登録する方がはるかに簡単です。ほとんどの場合、ユーザーに実行させたくないものを知っています。Windowsがこれを処理する方法は、GPOのソフトウェア制限ポリシーを使用することです。ソフトウェア制限ポリシーは、ソフトウェアの実行を許可および拒否するために使用できます。使用できる4つの異なる方法があり、それらはハッシュルール、証明書ルール、パスルール、およびインターネットゾーンルールです。
ハッシュルールルールは、一致するファイルのMD5またはSHA-1ハッシュを使用します。これは困難な戦いになる可能性があります。ハッシュルールだけを使用してpwdumpのようなものをブロックしようとすると、pwdumpの異なるバージョンごとに、多くのエントリが作成されます。そして、新しいバージョンが出てきたら、それも追加する必要があります。
パスルールは、ファイルシステム上のファイルの場所に基づいています。たとえば、「\ program files \ aol \ aim.exe」を制限できますが、ユーザーが「\ myapps \ aol \ aim.exe」にインストールすることを選択した場合は許可されます。ワイルドカードを使用して、より多くのディレクトリをカバーできます。ソフトウェアにレジストリエントリがあるが、インストール先がわからない場合は、レジストリパスを使用することもできます。
証明書ルールは、証明書を含むソフトウェアに役立ちます。これは主に商用ソフトウェアを意味します。システムで実行できるCertのリストを作成し、他のすべてを拒否することができます。
インターネットゾーンルールは、Windowsインストーラーパッケージにのみ適用されます。私はこれを使ったことがないので、あまりコメントできません。
適切なGPOは、これらのルールのいくつかを使用してすべてをカバーします。ソフトウェアを制限するには、それを正しくするために何を防止したいかを本当に考える必要があります。それでも、おそらくまだ正しくありません。Technetには、ソフトウェア制限ポリシーの使用に関する優れた記事がいくつかあり、Microsoftのサイトからお気に入りの検索エンジンで見つけた他の優れたドキュメントがあるはずです。
幸運を!