Windows - Политика ограниченного использования программ для блокировки exe-файлов во всех подкаталогах

Question

Windows - Политика ограниченного использования программ для блокировки exe-файлов во всех подкаталогах

Как я могу заблокировать все исполняемые файлы в%APPDATA%?

Я прочитал для CryptoLocker это хорошая политика:

C:\Users\User\AppData\Roaming\*\*.exe

Но это, очевидно, не защитит более одного слоя в глубину.

Но что мешает кому-то пройти еще один слой глубоко C:\Users\User\AppData\Roaming\dir\dir\trojan.exe

Можно ли создать политику, которая блокирует каждый exe-файл в appdata, независимо от его глубины?

Как вы справляетесь с этими проблемами? Спасибо

6

windows windows-7 group-policy

Источник

test 02 фев '14 в 22:42

2 ответа

Решение

Только что проверил это. Даже при использовании%APPDATA% вместо прямого системного пути, если вы не создадите правило для каждой подпапки (/asterix/, /asterix/asterix/, /asterix/asterix/asterix/) и т. Д., Как бы глубоко вы ни захотели чтобы это произошло, окна перестанут работать, когда они пройдут глубину, определенную вами.

Я проверил это, поместив автономный автоматический кликер в каталог AppData / roaming, а затем проверил его, добавив папку и переместив исполняемый файл глубже в структуру файла. Пройдя более 3 уровней, как определено в локальной политике безопасности, Windows разрешила запуск авто-кликера.

1

Источник

Ad-Man-Gamer 17 мар '16 в 18:28

Другие вопросы по тегам windows windows-7 group-policy

Ryan Ries 02 фев '14 в 22:57 2014-02-02 22:57 · Accepted Answer · 2014-02-02 22:57

Согласно руководству Microsoft по ограничению использования программного обеспечения GPO:

http://technet.microsoft.com/en-us/library/bb457006.aspx

Правила пути
Правило пути может указывать папку или полный путь к программе. Когда правило пути указывает папку, оно соответствует любой программе, содержащейся в этой папке, и любым программам, содержащимся в подпапках. Поддерживаются как локальные, так и UNC-пути.
Использование переменных среды в правилах пути.
Правило пути может использовать переменные среды. Поскольку правила пути оцениваются в клиентской среде, возможность использовать переменные среды (например, %WINDIR%) позволяет правилу адаптироваться к среде конкретного пользователя.
Важно: Переменные среды не защищены списками контроля доступа (ACL). Если пользователи могут запустить командную строку, они могут переопределить переменную среды по своему выбору.
Использование подстановочных знаков в правилах пути. Правило пути может включать '?' и подстановочные знаки '*', позволяющие таким правилам, как "*.vbs", соответствовать всем файлам сценариев Visual Basic®. Некоторые примеры:
• "\\ DC -?? \ login $" соответствует \\ DC-01 \ login $, \\ DC-02 \ login $
• "* \ Windows" соответствует C: \ Windows, D: \ Windows, E: \ Windows
• "c: \ win *" соответствует c:\winnt, c:\windows, c:\windir

Так как пользователь может просто переопределить, куда указывает%APPDATA%, рассмотрите возможность использования APPDATA переменная окружения в вашем правиле пути, вместо фактического полного пути к файловой системе.

Больше документации:

В следующих примерах показаны случаи применения переменных среды к правилу пути:
• "%UserProfile%" соответствует C:\Documents and Settings\User и всем подпапкам в этом каталоге.
• "%ProgramFiles%\Application" соответствует C:\Program Files\Application и всем подпапкам в этом каталоге.