Windows - Política de restrição de software para bloquear arquivos exe em todos os subdiretórios

6

Como posso bloquear todos os executáveis em% APPDATA%?

Eu li para o CryptoLocker que esta é uma boa política:

C:\Users\User\AppData\Roaming\*\*.exe  

Mas, aparentemente, isso não protege mais de uma camada de profundidade.

Mas o que impede alguém de ir a outra camada como C:\Users\User\AppData\Roaming\dir\dir\trojan.exe

É possível criar uma política que bloqueie todos os exe em appdata, não importa quão profundo seja?

Como você lida com esses problemas? Obrigado

    
por test 02.02.2014 / 23:42

2 respostas

4

De acordo com a orientação da Microsoft sobre a restrição de software de GPO:

link

Path Rules

A path rule can specify a folder or fully qualified path to a program. When a path rule specifies a folder, it matches any program contained in that folder and any programs contained in subfolders. Both local and UNC paths are supported.

Using Environment Variables in Path Rules.

A path rule can use environment variables. Since path rules are evaluated in the client environment, the ability to use environment variables (for example, %WINDIR%) allows a rule to adapt to a particular user's environment.

Important: Environment variables are not protected by access control lists (ACL). If users can start a command prompt they can redefine an environment variable to a path of their choosing.

Using Wildcards in Path Rules. A path rule can incorporate the '?' and '*' wildcards, allowing rules such as "*.vbs" to match all Visual Basic® Script files. Some examples:

•"\DC-??\login$" matches \DC-01\login$, \DC-02\login$

•"*\Windows" matches C:\Windows, D:\Windows, E:\Windows

•"c:\win*" matches c:\winnt, c:\windows, c:\windir

Portanto, como um usuário pode apenas redefinir para o qual% APPDATA% aponta, considere o uso da variável de ambiente APPDATA em sua regra de caminho, em vez do caminho real do sistema de arquivos completo.

Mais documentação:

The following examples show instances of applying environment variables to a path rule:

• “%UserProfile%” matches C:\Documents and Settings\User and all subfolders under this directory.

• “%ProgramFiles%\Application” matches C:\Program Files\Application and all subfolders under this directory.

    
por 02.02.2014 / 23:57
1

Apenas testei isso. Mesmo quando usar% APPDATA% em vez de um caminho direto do sistema, a menos que você faça uma regra para cada subpasta (/ asterix /, asterix / asterix / asterix / asterix / asterix /) e assim por diante para quão profundo você quiser para ir, o Windows parará de aplicar quando passar da profundidade que você definiu.

Eu testei isso colocando um auto clicker auto-contido no diretório AppData / roaming, e então testei adicionando uma pasta e movendo o exe para dentro da estrutura do arquivo. Depois de passar de 3 níveis de profundidade, conforme definido na diretiva de segurança Local, o Windows permitia que o auto-clicker fosse executado.

    
por 17.03.2016 / 19:28