In un ambiente aziendale lo scopo della whitelisting è che un amministratore può autorizzare i programmi a essere eseguiti, ma un utente normale non può.
In questo caso è ok per autorizzare una directory a cui un utente normale non ha accesso in scrittura. Infatti, esiste un profilo AppLocker standard che consente l'esecuzione da C: \ Programmi e C: \ Windows, ma esclude le directory scrivibili dall'utente. È raro vederlo in pratica, ma penso che sia un eccellente controllo di sicurezza. In particolare, impedisce all'utente di scaricare un file exe da Internet e di eseguirlo.
L'approccio che Mark cita di hashing di singoli file exe e dll, sebbene piacevole in thoery, è stato generalmente screditato come impossibile da implementare nella pratica.
Posso immaginare la tua domanda di follow-up: cosa succede se il malware privilegia l'escalation e scrive se stesso in una directory whitelist? Bene, chiaramente quel malware verrà quindi eseguito di nuovo in futuro. L'elenco bianco di AppLocker non protegge da questo. In effetti, pochissime protezioni funzionano contro il malware che ha aumentato i privilegi a root / administrator. La whitelisting è una tecnica utile, ma non è un proiettile d'argento.