乍一看,这似乎是一个愚蠢(或邪恶)的问题,但请允许我详细说明......
我们在公司网络和代理上实施了各种措施,以防止某些文件类型下载到公司机器上。大多数文件,即使是带有 exe 的 zip 文件,在单击下载这些文件时都会被阻止。
但是一些“有进取心”的用户仍然设法让下载工作。例如,我站在一个人(不认识我,也不认识我在哪个部门工作)的后面,在我们眼前将一个以“.exe”结尾的 URL 更改为“.exe?”,浏览器就跳了就在前面并下载了“未知”文件类型。从那时起我们就堵住了这个漏洞,但我想知道是否有其他人知道绕过网络安全和检查软件下载文件的任何邪恶手段。
或者,如果您知道某些可以发誓的商业软件是防弹的,我们可以试用一段时间。
任何帮助表示赞赏...
不管你想出什么技术解决方案,总有人会想办法绕过它。如果您对此是认真的(而不仅仅是为了阻止随意下载或履行一些不露面的政策任务),那么请,请,
与您的用户交谈!
解释你为什么要阻止你正在阻止的东西。帮助他们了解它的重要性。然后在他们告诉你为什么他们仍然需要下载可执行文件时倾听他们的意见,并帮助他们找到一种方法来完成他们的工作,而不会让你的工作变得更难。
多年来,我们的一个供应商拥有与您类似的系统。不幸的是,他们还负责为我们提供其定价软件的定期更新,并且在测试期间,可执行文件经常在我们的网络之间来回移动是很常见的。由于过滤器,我们都养成了重命名文件(.exe -> .ear等),压缩,压缩然后重命名,甚至使用个人机器传输它们的习惯......不仅颠覆了限制并放大了对两家公司的潜在危险,但也破坏了我们对限制背后的人的尊重。
最后,有人收到消息并设置了一个安全的 FTP 服务器供我们使用。
关注事物的技术方面而忘记必须处理其后果的足智多谋的人太常见了。当然,如果您已经这样做了,那么您将拥有更多的力量!
如果您在外界有适当的访问权限,最简单的方法是:加密文件、下载文件、解密文件。您可能需要将文件扩展名更改为扫描仪无法识别的内容,但基本上假设您使用合理的加密,内容将是“不可扫描的”。
哎呀,只有受密码保护的 zip 文件可能会起作用——如果它们没有被明确阻止的话。
如果您只允许您理解和批准的内容,那可能会更有效 - 由于误报,这对所有相关人员来说也会更加痛苦。
将文件扩展名更改为 .pdf。从我所见,大多数检查员会假设这是一个 pdf(因为 pdf 是二进制文件)并让它通过。
因此,对于 [智能] 用户来说,设置和使用外部代理非常容易。安装Proxifier和Http-Tunnel Client 之类的东西就可以了。免费的代理服务器速度很慢,但按年订阅很便宜,而且性能很好。该解决方案通过您的 HTTP 通道有效地创建了一个私有的、加密的、不安全的隧道,您对此无能为力。
你可能会走错路。Windows Active Directory 将允许您设置策略来阻止特定的可执行文件,或者更实际地,只允许某些可执行文件运行。您必须花一些时间确保所有应用程序都在例外列表中,然后您可以简单地停止所有其他正在运行的可执行文件。
我知道像 Websense 这样的顶级网络过滤解决方案可以做到这一点。您可以设置一个过滤器扩展,因为它能够执行正则表达式,您可以停止那些简单的小技巧。
然而,有志者事竟成。因此,您需要制定一个强有力的互联网使用政策,并由管理链实际支持和执行,并且您需要挖掘您的网络过滤结果,以查看是否有人在找出绕过您选择的解决方案的其他方法。
另一种方法是通过被动FTP。大多数网络允许所有出站连接从内部离开防火墙并返回。常规的 FTP 会使用一个连接端口,然后使用一个数据传输端口,这很容易被防火墙阻塞,因为第二个数据端口是在外部启动的。然而,被动 FTP 从内部 pc 启动数据传输端口,这在大多数默认防火墙配置下都是允许的……至少在 Cisco 世界中是这样。
您可以从 LiveCD 启动并使用 wget 下载被客户端 Windows 措施阻止的文件。如果文件仍然被网络阻止,那么您可以启动到另一台机器的 VPN 隧道并通过它下载它们。