我如何阻止 %APPDATA% 中的所有可执行文件?
我已经阅读过 CryptoLocker,这是一个很好的政策:
C:\Users\User\AppData\Roaming\*\*.exe
但这显然无法提供超过一层的深度保护。
但什么能阻止人们进一步深入呢?C:\Users\User\AppData\Roaming\dir\dir\trojan.exe
是否可以创建一个策略来阻止 appdata 中的每个 exe,无论深度如何?
您如何处理这些问题?谢谢
答案1
根据 Microsoft 关于 GPO 软件限制的指导:
http://technet.microsoft.com/en-us/library/bb457006.aspx
路径规则
路径规则可以指定文件夹或程序的完全限定路径。当路径规则指定文件夹时,它会匹配该文件夹中包含的任何程序以及子文件夹中包含的任何程序。支持本地路径和 UNC 路径。
在路径规则中使用环境变量。
路径规则可以使用环境变量。由于路径规则是在客户端环境中评估的,因此使用环境变量(例如 %WINDIR%)的能力允许规则适应特定用户的环境。
重要提示:环境变量不受访问控制列表 (ACL) 保护。如果用户可以启动命令提示符,他们可以将环境变量重新定义为他们选择的路径。
在路径规则中使用通配符。路径规则可以包含“?”和“*”通配符,允许“*.vbs”等规则匹配所有 Visual Basic® 脚本文件。以下是一些示例:
•“\\DC-??\login$”与 \\DC-01\login$、\\DC-02\login$ 匹配
•“*\Windows”匹配 C:\Windows、D:\Windows、E:\Windows
•“c:\win*” 匹配 c:\winnt、c:\windows、c:\windir
因此,由于用户可以重新定义 %APPDATA% 指向的位置,请考虑APPDATA在路径规则中使用环境变量,而不是实际的完全限定文件系统路径。
以下示例显示了将环境变量应用于路径规则的实例:
• “%UserProfile%” 匹配 C:\Documents and Settings\User 和所有子文件夹在此目录下。
• “%ProgramFiles%\Application” 匹配 C:\Program Files\Application 并且所有子文件夹在此目录下。
答案2
刚刚测试过。即使使用 %APPDATA% 而不是直接系统路径,除非您为每个子文件夹 (/asterix/、/asterix/asterix/、/asterix/asterix/asterix/) 等等制定规则,无论您想让它深入到多深,否则当它超过您定义的深度时,Windows 都会停止执行。
我通过将一个自带的自动点击器放入 AppData/roaming 目录来测试这一点,然后通过添加一个文件夹并将 exe 移到文件结构的更深处来测试它。在经过本地安全策略中定义的 3 级深度后,Windows 允许自动点击器运行。