文章总结： 文章讨论了Windows11更新导致硬盘问题的反馈和应对措施，以及企业软件治理的挑战。对于软件治理，讨论了管控非授权下载与破解软件的有效措施，包括使用黑名单和白名单、收管理员权限、软件资产自动收集、定期审阅等方法。文章指出破解软件很难避免，因为它没有依赖，不需要安装，建议企业采用管理办法加抽查，纳入部门KPI考核，以实现对软件的有效管控。 综合评分： 75 文章分类： 安全建设,终端安全,应用安全,办公安全,网络安全

企业软件治理挑战：管控非授权下载与破解软件的有效措施｜总第299周

原创

群秘

君哥的体历

2025年8月28日 08:00 甘肃

0x1本周话题

话题一：各位有遇到win11 更新导致硬盘出现问题的反馈吗？有没有应对措施？**

A1：去年遇到过蓝屏的我觉得不要第一时间更新补丁？

A2：是这个吗？(微软在8月12日推送了Windows 11 24H2版本的KB5063878安全更新，本意是修复安全漏洞、提升性能。但谁能想到，这个补丁竟然成了硬盘”杀手”！)

A3：公司没遇到，但很多网友遇到了。好像是有一定的触发条件。

A4：没有遇到，真有损失，找微软索赔。都是商业软件，有商业合同的。

Q：你们允许安装虚拟机吗？

A5：允许，但不是每个人都有安装的权限。

A6：那有没有可能直接在虚拟机里运行呢。对每个人来说，好用的工具都会想办法去用。

A7：技术只是辅助，责任最重在于使用人。

A8：运行了会怎样，如果这个能实现，所有诱导执行的木马也就能拦住了，我觉得没这么简单。sha黑名单，签名黑名单，运行不起来。终端安全应该是很基本的功能。

A9：还有安全意识教育很重要。虚拟机逃逸的攻击风险一样存在，靠黑名单没用。

A10：除非执行文件的hash或者签名证书一直在变。

A11：用个不在黑名单的签名就绕过了啊，或者简单点，白加黑。这是在说白名单吧，白名单之外的一律禁止，那是真有效。不过白加黑依然可以绕过。

A12：是的，有一些人用正常的白名单程序，调用外部dll来启动shellcodo。

Q：侧加载？

A13：是，不过是特指“白签名”+“黑dll”这一种侧加载。

A14：没说清楚，加黑以后会禁止被读取，执行，打开等任意操作。也不是只有可执行文件可以这么做。

Q：那加黑的触发条件是什么呢？

A15：一般是靠威胁情报提供的ioc。

A16：那就对了，所以情报不告诉你的就还是能执行，跟病毒库一个原理。现实就是这样，完全依靠白名单运行的维护量太大。

A17：是啊，所以这个问题并不好解决。维持环境的相对可控即可，对不同风险偏好的不同解决方案。

A18：不能期待解决所有情况，投入过大，有些绕过再通过其它方法发现？比如异常端口访问，行为检测。

A19：主要是可能普通搜个软件就防不住。

话题二：现在大家还去下载所谓免费软件吗？特别在公司。

A1：是的，需要什么下什么。

A2：那里面是真有很多木马软件，特别是国内那些软件园的网站，还有带高速下载那种。

A3：无所谓啊，内外网隔离。

A4：软件站就算了，都去官网。

A5：外网电脑也没啥。

A6：公司常用办公软件都已经装好了，可以用白名单管控新增的….

A7：那大家把这个问题推给百度就有点过了吧，关键字的确是这个。

A8：物理隔离？

A9：不过百度结果是真的有很多软件园。正常官网的还好，就怕那种下载器，一堆捆绑。

A10：下载器好解决，我之前就是写下载器的。国内大的下载器就三家把证书全都拉黑就行了，就那么两三家。

macos的软件治理好做就是用证书+appid就可以了，windows非常难做，妖魔鬼怪太多了。很多软件各种绿色版不好治理，确实不好治理windows自己的applocker 都不好治理。

A11：联合UltraVNC 和TightVNC的诈骗案件是真多，半年遇到4起了。

A12：搜索引擎还会搜到钓鱼高仿链接，会下载到木马。很多非计算机专业的很难分辨。

A13：公司还是用正版软件或者有自己的软件库，盗版的有法律风险。

A14：物理隔离，有专门的公用外网上网机，各种垃圾一堆。

A15：可以建几个库

• 黑名单（易侵权软件、恶意流氓软件），严格禁止安装，商业软件需要采购企业版授权。
• 常用办公软件，机器交付时候安装，内部应用商店，白名单软件。
• 其他软件（默认阻止需要申请，说明理由）。

A16：不允许，由公司软件仓库提供。

A17：我们是公司内不允许出现所谓破解版，不是所有人都允许安装软件，软件安装受限而且有记录，真出事要反查的。

有需要的软件经过评审要购买。还有就是这些软件园在公司是直接被禁止访问的。

A18：日常办公软件也要做准入管理，分为商业软件（购买的），免费开源类软件，破解类包含绿色软件（在国内很难避免）。管理+技术双重手段才能更好的管理。目前市面上的软件管理软件暂时没发现能有效管理的，只能作为辅助。

Q：为什么破解类很难避免？

A19：因为它没有依赖，跟一个文档没有形式上的区别。也不需要安装，那得做进程管控，软件管控没用。

A20：有，exe文件，EDR会发现不在名单的软件。我觉得破解类是公司的制度问题，反正我们是不能用，也没有人用。

A21：我不信，哈哈，不是制度问题，绿色软件没有安装信息，如果你没做进程管控是管不住的，真去查应该能查到。只不过，如果没有恶意行为，用了也就用了。

A22：有EDR，除非你不运行。而且网站就访问不了。

A23：管理办法加抽查同时纳入到部门的KPI考核，这样主动权就掌握到你的手里了。

A24：统一管控。收管理员权限就已经能解决大部分问题了。软件资产自动收集，定期审阅。

0x2 群友分享

【安全资讯】

一图读懂《数据安全技术 数据安全风险评估方法》

《紧急更新！苹果高危0day漏洞曝光，1张图片即可导致内存损坏》

由于微信修改了推送规则，需读者经常留言或点“在看”“点赞”，否则会逐渐收不到推送！如果你还想看到我们的推送，请点赞收藏周报，将【君哥的体历】加为星标或每次看完后点击一下页面下端的“在看”“点赞”。

【金融业企业安全建设实践群】和【企业安全建设实践群】每周讨论的精华话题会同步在本公众号推送（每周）。根据话题整理的群周报完整版——每个话题甲方朋友们的展开讨论内容——每周会上传知识星球，方便大家查阅。

往期群周报：

搜索引擎恶意推广与内网渗透：企业安全防护与应急响应实践｜总第298周

SFTP安全传输与信创UKey认证实践探讨。｜总第297周

探讨IAM中运维密码的安全管理与优化策略，及同城应用级、异地数据级灾备的依据与配置｜总第296周

如何进群？

如何下载群周报完整版？

请见下图：

‍

‍

‍

‍

‍

‍