Internet Explorer：実行可能ファイル（exe / com / pif / scr / bat / ps1）がダウンロード時に「実行」されるのをブロックする方法

こんにちは、ユーザーに任意のファイルをダウンロードしてもらいたい（現在可能な限り）-ただし、実行可能ファイル（exe / com / pif / scr / bat / ps1）の場合、「実行」オプションを非表示にするか無効にします。

それが不可能な場合、Internet ExplorerのWebページからダウンロードした.batファイルをユーザーが実行しないようにする最も近い解決策は何ですか

マシンはドメイン上にありませんが、gpedit.mscを使用できます。ソフトウェア制限ポリシーを試しましたが、それは.exeのみをブロックします

どうもありがとう

— servermanfail
ソース

ダウンロード後にファイルエクスプローラからこれらのファイルを実行できる必要がありますか？

— ボブ

これが機能するかどうかはわかりませんが、ダウンロードを許可するが実行はしないが、howtogeek.com / howto / 6317 /を調べることを確認するためのテストする時間はありません...また、特定のレジストリキーに不許可ルールを追加し、私はあなたがそのような* .BAT、* .ps1という、などなどのワイルドカードを使用することができ前提としたが、ここで私が書いた同様の答えだとあなたが微調整することができるかもしれ、テストなどsuperuser.com/質問/ 1100828 /… ; ただ今検証する時間がないのです。

— ピンプジュースIT

回答:

最も近い方法は、Internet Explorerで「高リスク」ファイルタイプのダウンロードをブロックし、ユーザーがそれらをダウンロードするための他の方法を提供することです。

ブロックは、グループポリシーユーザー構成→管理用テンプレート→Windowsコンポーネント→Internet Explorer→インターネットコントロールパネル→セキュリティページ→インターネットゾーン→安全でないファイルのセキュリティ警告を表示を有効にすることで実現できます。（ポリシーを有効にし、オプションをDisableに設定する必要があります。）

IEが「安全でない」と見なすファイルの種類のリストについては、Microsoft Windowsの添付ファイルマネージャーに関する情報を参照してください。（.ps1を除く、あなたが言及したすべてのものが含まれます。）

ChromiumとGoogle ChromeもダウンロードにWindows Attachment Managerを使用するため、IE設定はこれらのブラウザーでもダウンロードをブロックします。Firefoxについて知りません。

— ブライアン・ニクソン
ソース

PS1は、セキュリティのために設計上実行可能ではないため、ブロックされません。シェルまたはISEを実行して実行する必要があります。もちろん、システムをハッキングして実行することはできますが、組み込みの保護は失われます。他の実行可能ファイルの場合、この答えは、これを処理するために最適に構築された方法、つまりこの設定を強制するGPOにつながります。ホワイトリストまたはブラックリストを介してプログラムの実行を制限するサードパーティプログラムもありますが、残念ながら、IEのダウンロードバーから「実行」ボタンを単に削除するものは知りません。

— -Xalorous

@Xalorous：GPOによって設定を実施する必要があるという良い点。[インターネットオプション]ダイアログボックスではなく、それを参照するように回答を更新しました。（ユーザーが設定を元に戻すことができる場合はあまり意味がありません...）OPが「サードパーティのソリューションはありません」と言ったので、要求されたものは達成できないと思います。

— ブライアンニクソン

あなたが実行している場合はエンタープライズのWindows 7、8 / 8.1、または10のバージョンを、ローカルグループポリシーエディタを使用して、このポリシーを設定するには、AppLockerのを使用することができます（gpedit）。

AppLockerは、ソフトウェア制限ポリシーよりもはるかに優れています。SRPなどの実行可能ルールを構成できるだけでなく、MSIインストーラー、スクリプト（.bat、.vbs、.ps1など）およびWindowsユニバーサル（.appx）パッケージのポリシーを設定することもできます。証明書のパス、ファイルハッシュ、および発行者/バージョン情報に基づいて許可/拒否ルールを構成することもできます（アプリケーション/スクリプトが署名されている場合）。

ポリシーを構成する場所は、[コンピューターの構成]-> [Windowsの設定]-> [セキュリティの設定]-> [アプリケーション制御ポリシー]です。

AppLockerの欠点は、Pro版ではなくWindowsのEnterprise版でのみ機能することです。また、AppLockerとソフトウェア制限ポリシーを一緒に使用することはできません。

この機能に関するMicrosoftのドキュメントは次のとおりです。エンタープライズ版をお持ちの場合は、一見の価値があります。このリンクはWindows 8 / 8.1を参照していますが、Win7とWin10でも同様に機能します。

— ウェズ・サイード
ソース

Internet Explorer：実行可能ファイル（exe / com / pif / scr / bat / ps1）がダウンロード時に「実行」されるのをブロックする方法

これを行う1つの方法は、実行可能なファイルをIE 11がダウンロードするフォルダー（たとえば、このユーザーアカウント（またはメンバーであるセキュリティグループ）のNTFS ACLアクセス許可を明示的に拒否または制限することです。フォルダ）。Traverse folder / execute file/Downloads

この方法では、IEでこのフォルダーにダウンロードして保存できますが、実行を開始すると、許可の拒否などのメッセージの種類が取得され、この場所から何も実行できなくなります。

新しい明示的拒否セキュリティの追加

フォルダを右クリックし、選択プロパティは、に行くセキュリティを選択し、タブ拡張を選択し、追加を選択し、表示高度なアクセス許可を選択し、校長、選択し、このアクセスを制限するためのユーザー名またはセキュリティグループの種類を。[ タイプ]フィールドでプリンシパルが選択されたら、値を[ 拒否]にドロップし、[適用先]フィールドでその値を[ このフォルダーとファイル]にドロップし、[ 詳細なアクセス許可]セクションに移動し、フォルダーのチェック/ファイルの実行を押して、OK。

— ポン引きジュースIT
ソース

これはEXEファイルとBATファイルで機能しますが、VBSスクリプトには影響がないようです。（おそらく、実行されているのはファイルではなく、ファイルがインタープリターに渡され、ファイル内で見つかったデータからさまざまな処理が実行されるためです。）PS1スクリプトの「PowerShellで実行」オプションも実行されません実行権がないことを気にしているようです。

— ベンN

良いアイデア。しかし、ユーザーが[実行]をクリックする前にダウンロードしたファイルを他の場所に保存するとどうなりますか？

— Twisty Impersonator

@Twisty私はあなたが何を考えているかを正確に理解しており、すでにそれについても考えていましたが、質問のタイトルには具体的に「実行ファイル（exe / com / pif / scr / bat / ps1）がダウンロード時に「実行」されるのをブロックする方法」と記載されていましたまた、「Internet ExplorerのWebページからダウンロードした.batファイルをユーザーが実行するのを防ぐための最も近いソリューション」です。当然、適切なアクセス権がある実行可能ファイルなどを他の場所にコピーできる場合は、実行されます。ただし、Internet ExplorerのダウンロードおよびWebページからのダウンロードはそのままです。

— ピンプジュースIT

よく言った。OPの同じ質問をする他の人は、OPが彼の要件を狭く定義していると考えるとうまくいくでしょう。そのため、ダウンロードされたコードの実行を制限する真の意図を達成することなく技術的な目的を達成する答えになる可能性があります。

— ツイスティーズモノマネ

スクリプトファイルの場合、デフォルトのアクションを変更して、テキストエディターで開くことができます。その後、スクリプトファイルを実行するには、明示的にスクリプトインタープリター（cscript）を実行する必要があります

— エリックジョンソン