Permitindo uma DLL localizada no perfil do Thunderbird na Política de Restrição de Software

Question

Permitindo uma DLL localizada no perfil do Thunderbird na Política de Restrição de Software

#1 resposta do (1 votos)
#2 resposta do (1 votos)

1

Estou implementando a Política de Restrição de Software em nossas estações de trabalho. A política é bloquear tudo, exceto uma lista de caminhos listados em branco.

Estou tentando listar um diretório dentro do perfil do usuário do Thunderbird para permitir que a extensão do Lightning funcione. O caminho é %APPDATA%\Roaming\Thunderbird\Profiles\*\extensions\{e2fda1a4-762b-4020-b5ad-a41df1933103}\components\calbasecomps.dll .

O nome do perfil do usuário é gerado aleatoriamente, então eu preciso de um curinga.

Infelizmente, isso parece não funcionar devido ao curinga. A DLL continua a ser bloqueada pelo SRP.

Eu também tentei listar o certificado em branco (a DLL é assinada pelo certificado Mozilla), mas isso não funciona. Talvez isso se aplique apenas ao .exe assinado?

Eu branco listei o hash no momento, mas isso exigirá manutenção após cada lançamento do Thunderbird, então prefiro listar o caminho em branco.

O Applocker não é uma opção, estamos usando o Windows 10 Pro.

Alguma ideia?

windows security group-policy

por Francis 20.01.2017 / 16:27

2 respostas

1

arquive um relatório de bug com o Mozilla!
NUNCA defina regras de caminho com componentes como "% APPDATA%", que estão sob controle total do usuário (aqui estão a variável e o diretório).
NUNCA defina regras de caminho do registro com esses componentes também.
defina um hash ou uma regra de certificado para a DLL!

por 23.04.2017 / 22:47

Tags windows security group-policy

Confuso sobre o significado das versões SE e EX no Cisco IOS Reescreva a regra para reescrever URLs antigos a bonitos

score 1 · Accepted Answer

Eu estava enfrentando o mesmo problema há alguns minutos, e agora acho que a solução é mais simples do que você pensa.

%APPDATA%\Roaming\Thunderbird\Profiles\*\extensions\{e2fda1a4-762b-4020-b5ad-a41df1933103}\components\calbasecomps.dll

torne-se:

%APPDATA%\Thunderbird\Profiles\*\extensions\{e2fda1a4-762b-4020-b5ad-a41df1933103}\components\calbasecomps.dll

(sem explicitar a subpasta "Roaming", já que o APPDATA já a resolve.)

De qualquer forma, IMHO, isso expõe a um ataque direcionado, uma vez que essa DLL permanecerá gravável pelo usuário.

Sugestões são bem vindas. ; -)