我正在我们的工作站上实施软件限制策略。该策略是阻止除白名单路径列表之外的所有内容。
我正在尝试将 Thunderbird 用户配置文件中的目录列入白名单,以允许 Lightning 扩展程序运行。路径是%APPDATA%\Roaming\Thunderbird\Profiles\*\extensions\{e2fda1a4-762b-4020-b5ad-a41df1933103}\components\calbasecomps.dll。
用户的个人资料名称是随机生成的,所以我需要一个通配符。
不幸的是,由于通配符的原因,这似乎不起作用。DLL 继续被 SRP 阻止。
我也尝试将证书列入白名单(DLL 由 Mozilla 证书签名),但这不起作用。也许这仅适用于签名的 .exe?
我暂时将哈希列入白名单,但这需要在 Thunderbird 每次发布后进行维护,因此我更愿意将路径列入白名单。
Applocker 不是一个选项,我们正在使用 Windows 10 Pro。
任何想法?
答案1
几分钟前我遇到了同样的问题,现在我认为解决方案比你想象的要简单。
%APPDATA%\Roaming\Thunderbird\Profiles\*\extensions\{e2fda1a4-762b-4020-b5ad-a41df1933103}\components\calbasecomps.dll
变得:
%APPDATA%\Thunderbird\Profiles\*\extensions\{e2fda1a4-762b-4020-b5ad-a41df1933103}\components\calbasecomps.dll
(无需明确指出“漫游”子文件夹,因为 APPDATA 已经解析了它。)
无论如何,恕我直言,这会暴露有针对性的攻击,因为该 DLL 仍将保持用户可写的状态。
欢迎提出建议。;-)
答案2
向 Mozilla 提交错误报告!
切勿使用“%APPDATA%”等完全受用户控制的组件来定义路径规则(此处变量和目录均受用户控制)。
切勿使用此类组件定义注册表路径规则。
为 DLL 定义一个哈希或证书规则!