La nouvelle version du service de surveillance du système de Microsoft SysmonName peut maintenant bloquer la création de fichiers exécutables. L’événement FileBlockExecutable peut empêcher un programme de télécharger ou de copier des fichiers .exe ou .dll sur le disque dur.
Le blogueur Olaf Hartong démontré la fonction avec ce fichier de configuration :
Les fichiers exécutables ne peuvent pas être copiés dans le dossier Téléchargements avec ceci. Le téléchargement d’un fichier .exe avec Edge génère immédiatement une erreur. Faire une copie d’un fichier exécutable dans le dossier lui-même (par exemple avec la commande ‘copier’ dans l’invite de commande) n’est également plus possible.
Pour chaque bloc, une notification apparaît dans l’Observateur d’événements de Windows (eventvwr.msc), avec l’emplacement du fichier (non créé) et le processus qui a tenté de créer le fichier.
Cette fonctionnalité peut être utile aux administrateurs système pour empêcher les utilisateurs de télécharger des fichiers .exe. Les logiciels malveillants peuvent également être repoussés avec cela, bien que vous deviez d’abord savoir dans quel dossier (ou avec quel ID de processus) il écrit, puis le mal est probablement déjà fait.
