Windows下的NTFS上的’noexec’选项？

您可以修改“高级”版本的权限以删除(或拒绝)“遍历文件夹/执行文件”权限.这将阻止.EXE文件的双击或命令行执行. .BAT和.CMD文件不会在资源管理器中双击执行,但它们仍将从命令提示符或使用开始/运行中的语法“CMD / c”执行.

更改权限会打破“noexec”安装的“类比”,因为“noexec”不需要对已安装卷的权限进行任何修改.

你最好将Software Restriction Policies视为实现所需目标的一种方式.此工具更改用于执行程序的API的行为,以限制可以执行程序的路径(或通过数字签名或加密哈希).假设您的本地用户没有“管理员”权限,则此功能在某种程度上是有效的.

但是,最终,如果允许用户同时写入文件并执行的计算机上存在任何文件系统位置,则用户可以将程序从受限执行路径复制到该位置并从那里执行程序.你需要非常勤奋,以确保没有这样的位置.

或者,软件限制策略可以在“默认拒绝”模式下使用,其中只有指定的路径(或数字签名或加密哈希)才允许执行.这也很难设置,因为您需要测试所有应用程序以确保其执行成功.

您没有提到您正在谈论的Windows版本.对于Windows 7和Windows Server 2008 R2,软件限制策略是AppLocker的一部分,功能类似.