9,506
社区成员
发帖
与我相关
我的任务
分享100分征答一个从来没有人能解决的问题:怎样只对网络上的可执行程序设置只读权限?
公司服务器上有公用盘,每个人的计算机都是连接到公用盘上运行程序,这样可以很方便管理和升级。但是当其中一台机器感染了病毒,是某种可以感染可执行文件的病毒,那么病毒将感染改写公用盘上的可执行文件令其染毒,别的干净的机器一旦运行公用盘上的染毒程序,也立刻中毒扩散开来。一直都找不到有效的办法解决:
1。对公用盘设置只读权限:不可行,因为程序运行期间可能要对公用盘读写某些临时文件或者INI文件,另外还有一些Office文档等,所以不能对公用盘或者某个公用盘目录设置只读权限。就算不管这些,对公用盘设置只读,某些病毒还是能感染改写公用盘上的程序(服务器绝对没有中毒),具体原因我们到现在还不清楚。
2。在服务器上安装杀毒软件,有一个杀一个。众所周知,目前市面上所有杀毒软件清除效果都不好,很多时候可能留下病毒僵尸,有的时候甚至已经无法正常运行程序,而且这时候哪些文件曾经染毒,哪些文件是原始正常程序难以细分,所以我们一般设置“直接删除染毒文件”,结果服务器公用盘上很多程序感染病毒都被直接删除,大大影响日常工作。
究竟有没有一种比较好的方法,只对服务器公用盘上的可执行程序(一般是DLL、EXE后缀名)进行只读保护,我指的是真正的保护,不管哪台机器中了任何病毒,都只能读取和运行公用盘程序,而无法改写覆盖。对于其他非可执行文件,则具有完全控制的权限。
希望热心的朋友能谈谈你们的实际经验和可行性措施,谢谢!
1。对公用盘设置只读权限:不可行,因为程序运行期间可能要对公用盘读写某些临时文件或者INI文件,另外还有一些Office文档等,所以不能对公用盘或者某个公用盘目录设置只读权限。就算不管这些,对公用盘设置只读,某些病毒还是能感染改写公用盘上的程序(服务器绝对没有中毒),具体原因我们到现在还不清楚。
2。在服务器上安装杀毒软件,有一个杀一个。众所周知,目前市面上所有杀毒软件清除效果都不好,很多时候可能留下病毒僵尸,有的时候甚至已经无法正常运行程序,而且这时候哪些文件曾经染毒,哪些文件是原始正常程序难以细分,所以我们一般设置“直接删除染毒文件”,结果服务器公用盘上很多程序感染病毒都被直接删除,大大影响日常工作。
究竟有没有一种比较好的方法,只对服务器公用盘上的可执行程序(一般是DLL、EXE后缀名)进行只读保护,我指的是真正的保护,不管哪台机器中了任何病毒,都只能读取和运行公用盘程序,而无法改写覆盖。对于其他非可执行文件,则具有完全控制的权限。
希望热心的朋友能谈谈你们的实际经验和可行性措施,谢谢!
...全文
请发表友善的回复…
发表回复
keymouse 2006-10-15
- 打赏
- 举报
赞同Aceryt(双子星·家装,网络已报停。) 的说法,加强局域网内部的防病毒软件的部署,这一点很关键,加强个人的安全意识也很重要的。
不过按照你的描述从服务器中运行某个应用程序,这样我感觉安全系数太差了,事后能考虑使用客户端方式来操作
每台需要使用这个软件的终端都安装一个客户端软件,数据库存放于服务器中,例如sql
现在很多财务软件、仓储软件、物流软件甚至行政办公软件都是采用这个方式,降低了服务器的使用频率,更加安全的保存数据不被非法删改
不过按照你的描述从服务器中运行某个应用程序,这样我感觉安全系数太差了,事后能考虑使用客户端方式来操作
每台需要使用这个软件的终端都安装一个客户端软件,数据库存放于服务器中,例如sql
现在很多财务软件、仓储软件、物流软件甚至行政办公软件都是采用这个方式,降低了服务器的使用频率,更加安全的保存数据不被非法删改
空心兜兜 2006-10-15
- 打赏
- 举报
帮顶!
dustye 2006-10-15
- 打赏
- 举报
装个iSCSI Cake或其他iSCSI类软件。
共享硬盘服务。客户端可以通过局域网连接服务器上的iSCSI Cake服务器,在本地虚拟出一块硬盘,以达到通过网络共享服务器硬盘的效果。只需要在服务器上的iSCSI Cake里添加共享目录,客户端的本地虚拟硬盘里就有了相应的软件。同时iSCSI Cake提供了写保护,不用担心客户端病毒、用户删除和格式化操作影响。
需要的时候再往服务器上面上传东西。
共享硬盘服务。客户端可以通过局域网连接服务器上的iSCSI Cake服务器,在本地虚拟出一块硬盘,以达到通过网络共享服务器硬盘的效果。只需要在服务器上的iSCSI Cake里添加共享目录,客户端的本地虚拟硬盘里就有了相应的软件。同时iSCSI Cake提供了写保护,不用担心客户端病毒、用户删除和格式化操作影响。
需要的时候再往服务器上面上传东西。
sungod8 2006-10-12
- 打赏
- 举报
笨办法,做个脚本,搜索你共享目录下的所有*.exe *.dll 等文件,然后设置统一设置NTFS 权限不允许修改即可(设置NTFS 安全里的拒绝)
Aceryt 2006-10-12
- 打赏
- 举报
个人觉得其实不必在乎这个问题,思考来思考去解决这个NTFS权限问题,将权限划得太细,违背了安全里面一个很重要的原则——简单,导致维护和管理成本过高,与其在这些细节花心思,不如从宏观上考虑,关键是做好整个局域网防病毒和安全补丁更新,制定好对应策略,做好防火墙管理等工作。并且加强用户防毒和安全意识。
很多公司和你一样,包括我们,类似你说的这种困扰,我们基本没有遇到过,如果真的是感染病毒,只要是完全开放的共享目录,就不可避免受到波及。
很多公司和你一样,包括我们,类似你说的这种困扰,我们基本没有遇到过,如果真的是感染病毒,只要是完全开放的共享目录,就不可避免受到波及。
tangzhong 2006-10-12
- 打赏
- 举报
瑞星防火墙好像可以,在访问规则里面有个“启用防纂改保护”,你试一下,我没用过!
netguard 2006-10-11
- 打赏
- 举报
提供一点参考意见,如果你对PE文件结构比较熟悉的话,可以写个程序修改他运行属性,改为不可在网路运行。
forgot2000 2006-10-05
- 打赏
- 举报
程序所在的文件夹不能设为只读,因为程序要产生数据库临时文件,就放在程序当前所在的目录下,所以不能单纯只设为只读。
mudonfield 2006-10-04
- 打赏
- 举报
除了NTFS的权限控制外,似乎没有什么其他好办法。其实你可以仔细研究一下公用NTFS的高级访问权限,是很细致的。
公用盘不能设为只读,但程序所在的文件夹可以设为只读,再细致的话,每一个文件都可以设置相关的权限。
公用盘不能设为只读,但程序所在的文件夹可以设为只读,再细致的话,每一个文件都可以设置相关的权限。
nicholasfor 2006-10-04
- 打赏
- 举报
可以设置权限成可以写但不可以修改,不可以删除。这样应该可以了。
forgot2000 2006-10-04
- 打赏
- 举报
请热心的朋友帮帮忙好吗?谢谢!
