Каковы плюсы / минусы блокирования запуска программы в% appdata%,% temp% и т. Д.?

Исследуя способы предотвращения CryptoLocker , я увидел сообщение на форуме, в котором предлагалось использовать объекты групповой политики (GPO) и / или антивирусное программное обеспечение для блокировки доступа к запускам в следующих местах:

1. %данные приложения%
2. % LOCALAPPDATA%
3. % Temp%
4. %Профиль пользователя%
5. Сжатые архивы

Очевидно, что все, что написано на форуме, следует воспринимать с осторожностью. Однако я вижу преимущества в этом, прежде всего потому, что вредоносное ПО любит запускаться из этих мест. Конечно, это может повлиять и на законные программы.

Каковы недостатки блокировки доступа к трассе в этих местах?

Каковы преимущества?

Причина, по которой вредоносное ПО любит запускаться из этих мест, заключается в том, что законное программное обеспечение любит выполнять из этих мест. Это области, к которым у учетной записи пользователя должен быть некоторый уровень доступа.

Основываясь на кратком обзоре моей собственной системы и случайной учетной записи конечного пользователя в нашей сети:

%appdata%

Прямо сейчас у меня есть Dropbox , установщик для Adobe AIR и несколько шансов Microsoft Office в этой папке.

%localappdata%

Join.me и SkyDrive, кажется, живут здесь, или, по крайней мере, недавно проехали .

%temp%

Многие программы, законные или нет, захотят выполнить из этой папки. Установщики обычно распаковывают себя в эту подпапку, когда вы запускаете setup.exeсжатый архив установщика.

%Профиль пользователя%

Обычно это будет безопасно, если только у пользователя нет особых требований, хотя учтите, что по крайней мере некоторые из указанных выше папок могут быть подмножествами этого в сети с перемещаемыми профилями.

Сжатые архивы

Не запускайте код напрямую, вместо этого обычно извлекайте в %temp% и запускайте оттуда.

От того, стоит ли блокировать эти области или нет, зависит от того, что обычно делают ваши пользователи. Если все, что им нужно, это отредактировать документы Office, поиграть в Minesweeper во время обеда и, возможно, получить доступ к LOB приложению через браузер и т. Д., То у вас не должно быть особых проблем с блокировкой исполняемых файлов хотя бы в некоторых из этих папок.

Очевидно, что тот же подход не будет работать для людей с менее четко определенными рабочими нагрузками.

Плюсы:

Вредоносные программы, пытающиеся выполнить их из этих мест, не смогут работать.

Минусы:

Законные программы, которые пытаются выполнить из этих мест, не смогут работать.

Относительно того, какие законные программы у вас есть в вашей среде и которым нужны права на выполнение в этих каталогах, вы можете сказать только вы, но я вижу, что RobM только что опубликовал ответ с обзором высокого уровня . Блокировка выполнения из этих каталогов вызовет у вас проблемы, поэтому сначала вам нужно провести некоторое тестирование, чтобы определить, какие проблемы у вас возникнут, и как их обойти.

Эти рекомендации будут отлично работать в моей среде. НЕТ пользователям разрешено устанавливать программное обеспечение, и НИКАКОЕ из утвержденного программного обеспечения не выполняется из указанных мест. Рабочие станции имеют утвержденное программное обеспечение, предварительно установленное в образе рабочей станции и обновленное по сценарию.

Dropbox, Chrome, Skype и т. Д. Можно переместить во время установки в более приемлемое место установки «Program Files».

Если у вас есть разрешение для администраторов или администраторов домена (и, возможно, для конкретной учетной записи «Установщик»), чтобы они могли запускать обновления и добавлять утвержденное программное обеспечение, я согласен с рекомендациями.

Я предполагаю, что вы хотите отказать в праве на выполнение не только этим папкам, но и всему дереву, начиная с них (в противном случае бессмысленно делать то, что вы хотите).

Очевидным последствием будет то, что любой исполняемый файл, расположенный в них, не будет работать.

К сожалению, это будет включать в себя довольно большое количество законных приложений.

% localappdata% и% appdata% являются наиболее проблемными: например, Dropbox, Chrome, SkyDrive не будут работать. Большинство автоматических загрузчиков и многие установщики также не будут работать.

% UserProfile% еще хуже, поскольку он включает в себя как% localappdata% и% appdata%, так и ряд других папок.

Вкратце: если вы запретите запуск приложений из этих папок, ваша система может стать в значительной степени непригодной для использования.

% temp% отличается. Хотя иногда вы можете запускать легальные программы оттуда, это довольно редко и обычно легко обойти. К сожалению,% temp% раскрывается в разные папки в зависимости от пользовательского контекста, из которого вы его расширяете: он может оказаться в% localappdata% \ temp (в контексте пользователя) или% SystemRoot% \ temp (в контексте система), так что вам придется защищать каждое место в отдельности.

% temp% также является хорошим кандидатом, потому что именно здесь большинство почтовых программ сохраняют вложения перед их открытием: это поможет во многих случаях вредоносных программ на основе почты.

Хорошим трюком является изменение прав доступа к папкам C: \ Users \ Default \ AppData \ Local \ temp и C: \ Users \ DefaultAppPool \ AppData \ Local \ Temp при настройке системы (и, конечно,% SystemRoot% \ Temp). Windows будет копировать эти папки при создании новых профилей, поэтому у новых пользователей будет защищенная среда.

Возможно, вы захотите добавить% UserProfile% \ Downloads в свой список: именно здесь большинство браузеров будут использовать загруженные файлы пользователя, и отказ от их выполнения также повысит безопасность.

Последние три месяца я работаю с аналогичной настройкой на моей основной рабочей станции. Мой основной пользователь имеет либо разрешения на выполнение каталога, либо права на запись, но никогда оба.

Это означает, что никакие новые исполняемые файлы не могут быть введены этой учетной записью. Это профессионал, я могу запускать программы, уже находящиеся в системе или установленные другими учетными записями, но я не могу загрузить любую новую программу и запустить ее, это означает, что любой вредоносной программе, которая проникает через браузер или другие средства, гораздо труднее запустить в моей системе простое внедрение DLL также не работает.

Как уже отмечали другие, основная проблема заключается в том, что некоторые законные программы используют заблокированные мной места. В моем случае:

• Google Chrome - я установил версию MSI
• любое портативное приложение - которое я сейчас запускаю под другим пользователем
• Process Explorer - я использую извлеченную 64-битную версию напрямую
• dism.exe - запускайте с правами администратора, что я должен делать большую часть времени в любом случае.

Поэтому в основном я использую три учетные записи, одну из которых я выполнил, другую учетную запись обычного пользователя для выполнения определенных проверенных программ, а также учетную запись администратора для установки нового программного обеспечения для двух других.

Мне нравится тот факт, что он заставляет меня тестировать любое недавно загруженное программное обеспечение на виртуальной машине.

Я запускаю большинство своих программ через PowerShell, и у меня есть три оболочки, по одной для каждой учетной записи. Работает ли это для вас на самом деле, зависит от того, сколько программного обеспечения вы используете, к которому нужно относиться по-разному.

На компьютере разработчика это не работает, потому что я должен скомпилировать свой код и затем выполнить его. Поэтому я сделал исключение для моей директории кода на диске с данными, вредоносная программа могла сканировать все диски и найти это.

Я использую NTFS ACL, а не политики, чтобы обеспечить это. Это предотвращает запуск любых программ, но я все еще могу создать сценарий PowerShell, а затем запустить его, и это может нанести достаточно ущерба.

Так что, хотя это усложняет ситуацию, это не на 100% безопасно, но все равно защитит вас от большинства современных вредоносных программ.

Вы можете посмотреть в этих папках, но большинство из них данные, именно то, что папка названа по имени. Например, вы увидите chrome, но фактический исполняемый файл находится в папке c: \ Programs.

Я блокирую запуск любого исполняемого файла на компьютере, кроме папок программы. Разрешается только временно, когда мне нужно что-то установить, и у меня никогда не было проблем.

Я бы порекомендовал быстрый поиск по каталогам, чтобы увидеть, что у вас есть в каждом из них в настоящее время. Если от них ничего не выполняется, следуйте инструкциям на форуме. Если в будущем вы столкнетесь с проблемой, просто оцените ваши варианты. Большинство из них не должно иметь исполняемых файлов в любом случае.