Как я могу заблокировать все исполняемые файлы в% APPDATA%?
Я читал для CryptoLocker, это хорошая политика:
C:\Users\User\AppData\Roaming\*\*.exe
Но это, очевидно, не защитит более одного слоя.
Но что может помешать кому-то углубиться в другой слой, как C:\Users\User\AppData\Roaming\dir\dir\trojan.exe
Можно ли создать политику, которая блокирует каждый исполняемый файл в appdata независимо от его глубины?
Как вы справляетесь с этими проблемами? Спасибо
В соответствии с рекомендациями Microsoft по ограничению использования программ GPO:
http://technet.microsoft.com/en-us/library/bb457006.aspx
Правила пути
Правило пути может указывать папку или полный путь к программе. Когда правило пути указывает папку, оно соответствует любой программе, содержащейся в этой папке. и любые программы, содержащиеся во вложенных папках. Поддерживаются как локальные, так и UNC-пути.
Использование переменных среды в правилах пути.
Правило пути может использовать переменные среды. Поскольку правила пути оцениваются в клиентской среде, возможность использовать переменные среды (например,% WINDIR%) позволяет правилу адаптироваться к среде конкретного пользователя.
Важно: переменные среды не защищены списками управления доступом (ACL). Если пользователи могут запускать командную строку, они могут переопределить переменную среды на путь по своему выбору.
Использование подстановочных знаков в правилах пути. Правило пути может включать знак "?" и подстановочные знаки «*», позволяющие таким правилам, как «* .vbs» соответствовать всем файлам сценариев Visual Basic®. Некоторые примеры:
• «\\ DC - ?? \ login $» соответствует \\ DC-01 \ login $, \\ DC-02 \ login $
• «* \ Windows» соответствует C: \ Windows, D: \ Windows, E: \ Windows
• «c: \ win *» соответствует c: \ winnt, c: \ windows, c: \ windir
Так как пользователь может просто переопределить, куда указывает% APPDATA%, рассмотрите возможность использования APPDATA переменная среды в правиле пути вместо фактического полного пути файловой системы.
В следующих примерах показаны примеры применения переменных среды к правилу пути:
• «% UserProfile%» соответствует C: \ Documents and Settings \ User и все подпапки в этом каталоге.
• «% ProgramFiles% \ Application» соответствует C: \ Program Files \ Application и все подпапки в этом каталоге.
Просто протестировал это. Даже при использовании% APPDATA% вместо прямого системного пути, если вы не создадите правило для каждой подпапки (/ asterix /, / asterix / asterix /, / asterix / asterix / asterix /) и т. Д. На любую глубину, которую вы хотите его, окна перестанут применять, когда он выйдет за пределы заданной вами глубины.
Я проверил это, поместив автономный автоматический кликер в каталог AppData / roaming, а затем проверил его, добавив папку и переместив exe глубже в файловую структуру. После прохождения трех уровней в глубину, как определено в локальной политике безопасности, Windows разрешила запускать автоматический кликер.