Исследуя способы предотвращения CryptoLocker, Я видел сообщение на форуме, в котором рекомендовалось использовать Объекты групповой политики (GPO) и / или антивирусное программное обеспечение для блокировки доступа к запуску в следующих местах:
Очевидно, что ко всему, что написано на форуме, следует относиться с осторожностью. Однако я вижу в этом преимущества, прежде всего потому, что вредоносные программы любят запускаться из этих мест. Конечно, это также может повлиять на законные программы.
Каковы недостатки блокировки доступа к этим местам?
Каковы преимущества?
Причина, по которой вредоносное ПО любит запускаться из этих мест, заключается в том, что законное программное обеспечение любит запускаться из этих мест. Это области, к которым учетная запись пользователя должна иметь определенный уровень доступа.
На основе быстрого grep моей собственной системы и случайной учетной записи конечного пользователя в нашей сети:
%appdata%
Прямо сейчас у меня есть Dropbox, установщик для Adobe AIR и несколько мелочей Microsoft Office в этой папке.
%localappdata%
join.me и SkyDrive похоже, что живут здесь или, по крайней мере, недавно проехали.
%temp%
Многие программы, законные или иные, захотят запускаться из этой папки. Установщики обычно распаковывают себя во вложенную папку при запуске setup.exe в сжатом архиве установщика.
%Профиль пользователя%
Обычно это безопасно, если у пользователя нет особых требований, хотя обратите внимание, что по крайней мере некоторые из вышеуказанных папок могут быть его подмножествами в сети с перемещаемыми профилями.
Сжатые архивы
Не запускайте код напрямую, вместо этого обычно извлекайте его в %temp% и беги оттуда.
Что касается того, следует ли вам блокировать эти области, это зависит от того, что обычно делают ваши пользователи. Если им нужно только редактировать документы Office, играйте Тральщик во время обеда и, возможно, получить доступ к LOB app через браузер и т. д., то у вас может не возникнуть особых проблем с блокировкой исполняемых файлов хотя бы в некоторых из этих папок.
Очевидно, что тот же подход не будет работать для людей с менее четко определенными рабочими нагрузками.
Плюсы:
Вредоносное ПО, пытающееся запустить из этих мест, не сможет работать.
Минусы:
Законные программы, пытающиеся выполнить из этих мест, не смогут работать.
Только вы можете сказать, какие законные программы в вашей среде нуждаются в правах на выполнение в этих каталогах, но я вижу RobM только что опубликовал ответ с общим обзором. Блокирование выполнения из этих каталогов вызовет у вас проблемы, поэтому вам нужно сначала провести некоторое тестирование, чтобы определить, какие проблемы у вас возникнут, и как вам нужно их обходить.
Эти рекомендации отлично подойдут для моей среды. НИКАКИМ пользователям не разрешено устанавливать программное обеспечение, и НИ ОДИН из утвержденного программного обеспечения не запускается из указанных мест. Рабочие станции имеют утвержденное программное обеспечение, предварительно установленное в образе рабочей станции и обновляемое с помощью сценария.
Dropbox, Chrome, Skype и т. Д. Можно переместить во время установки в более приемлемое место установки «Program Files».
Если у вас есть разрешение для администратора или администратора домена (и, возможно, определенной учетной записи «Установщик»), чтобы иметь возможность запускать обновления и добавлять утвержденное программное обеспечение, я согласен с рекомендациями.
Я предполагаю, что вы хотите запретить право выполнения не только этим папкам, но и всему дереву, начиная с них (в противном случае нет смысла делать то, что вы хотите).
Очевидным последствием будет то, что любой исполняемый файл, расположенный в них, не запустится.
К сожалению, сюда войдет довольно большое количество легитимных приложений.
% localappdata% и% appdata% - самые проблемные: Dropbox, Chrome, SkyDrive, например, не работают. Большинство автоматических загрузчиков и многие программы установки также не будут работать.
% UserProfile% еще хуже, поскольку он включает как% localappdata%, так и% appdata%, а также ряд других папок.
Вкратце: если вы запретите запуск приложений из этих папок, ваша система может стать практически непригодной для использования.
% temp% отличается. Хотя иногда у вас могут запускаться законные программы, это происходит довольно редко и обычно легко обойти. К сожалению,% temp% расширяется в разные папки в зависимости от пользовательского контекста, из которого вы его расширяете: он может оказаться в% localappdata% \ temp (в контексте пользователя) или% SystemRoot% \ temp (в контексте систему), поэтому вам придется защищать каждое место отдельно.
% temp% также является хорошим кандидатом, потому что именно там большинство почтовых программ сохраняют вложения перед их открытием: это поможет во многих случаях почтового вредоносного ПО.
Один хороший трюк - изменить разрешения для папок C: \ Users \ Default \ AppData \ Local \ temp и C: \ Users \ DefaultAppPool \ AppData \ Local \ Temp при настройке системы (и, конечно же,% SystemRoot% \ темп). Windows скопирует эти папки при создании новых профилей, поэтому новые пользователи получат безопасную среду.
Возможно, вы захотите добавить% UserProfile% \ Downloads в свой список: именно здесь большинство браузеров будут использовать файлы, загруженные пользователем, и запрет выполнения оттуда также повысит безопасность.
Последние три месяца я использую аналогичную настройку на своей основной рабочей станции. Мой основной пользователь имеет либо права на выполнение для каталога, либо права на запись, но не то и другое одновременно.
Это означает, что эта учетная запись не может вводить новые исполняемые файлы. Это профессионал, я могу запускать программы, которые уже установлены в системе или установлены другими учетными записями, но я не могу загрузить новую программу и запустить ее, это означает, что любое вредоносное ПО, которое приходит через браузер или другими способами, намного труднее запускается. в моей системе простая инъекция DLL тоже не работает.
Как отмечали другие, основная проблема заключается в том, что некоторые законные программы используют заблокированные мной местоположения. В моем случае:
Итак, в основном я использую три учетные записи, одну из которых я вошел в систему, другую учетную запись обычного пользователя для выполнения определенных проверенных программ в качестве и учетную запись администратора для установки нового программного обеспечения для двух других.
Мне нравится тот факт, что он заставляет меня тестировать любое недавно загруженное программное обеспечение на виртуальной машине.
Я запускаю большинство своих программ через PowerShell, и мне подходит три оболочки, по одной для каждой учетной записи. Действительно ли это работает для вас, зависит от того, сколько программного обеспечения вы используете, к которому нужно относиться по-другому.
На машине разработчика это не работает, потому что мне нужно скомпилировать свой код, а затем выполнить его. Поэтому я сделал исключение для своего каталога кода на диске с данными, вредоносное ПО могло сканировать все диски и находить это.
Я использую NTFS ACL, а не политики, чтобы добиться этого. Это предотвращает запуск любых программ, но я все еще могу создать сценарий PowerShell, а затем запустить его, и он может нанести достаточный ущерб.
Таким образом, хотя это усложняет задачу, она не на 100% безопасна, но все же защитит вас от большинства современных вредоносных программ.
Вы можете заглянуть в эти папки, но большинство из них - это данные, в точности то, чему папка названа. Например, вы увидите хром, но фактический исполняемый файл находится в папке c: \ programs.
Я блокирую запуск всех исполняемых файлов в любом месте на компьютере, кроме программных папок. Разрешено только временно, когда мне нужно что-то установить, и у меня никогда не было проблем.
Я бы порекомендовал выполнить быстрый поиск по каталогам, чтобы увидеть, что у вас есть в каждом из них в настоящее время. Если из них ничего не выполняется, следуйте инструкциям на форуме. Если вы столкнетесь с проблемой в будущем, просто оцените свои варианты. В большинстве из них в любом случае не должно быть исполняемых файлов.