Bir programın% appdata%,% temp% vb. İle çalışmasını engellemenin avantajları / dezavantajları nelerdir?

CryptoLocker'ı önlemenin yollarını araştırırken , Grup İlkesi Nesneleri (GPO) ve / veya virüsten koruma yazılımı kullanarak aşağıdaki konumlarda çalışma erişimini engellemesini öneren bir forum gönderisi gördüm :

1. %uygulama verisi%
2. % Localappdata%
3. % Temp%
4. %Kullanıcı profili%
5. Sıkıştırılmış arşivler

Açıkçası, bir forumda yazılan her şey dikkatle alınmalıdır. Bunu yapmanın avantajlarını görüyorum, çünkü öncelikle kötü amaçlı yazılım bu konumlardan yürütmeyi seviyor. Tabii ki, bu yasal programları da etkileyebilir.

Bu konumlara çalıştırma erişimini engellemenin dezavantajları nelerdir?

Avantajları nelerdir?

Kötü amaçlı yazılımın bu konumlardan yürütmeyi sevmesinin nedeni, meşru yazılımın bu konumlardan yürütmeyi sevmesidir. Bunlar, kullanıcının hesabının belirli bir düzeyde erişime sahip olmasını beklemesi gereken alanlardır.

Kendi sistemimin hızlı bir şekilde gözden geçirilmesine ve ağımızdaki rastgele bir son kullanıcı hesabına dayanarak:

%appdata%

Şu anda, Adobe AIR'in yükleyicisi ve birkaç Microsoft Office oran ve bu klasörde bitiyor Dropbox var .

%localappdata%

join.me ve SkyDrive burada yaşıyor veya en azından yakın zamanda geçmiş gibi görünüyor.

%temp%

Meşru veya başka türlü birçok program bu klasörden yürütülmek isteyecektir. Yükleyiciler setup.exe, sıkıştırılmış bir yükleyici arşivinde çalıştırdığınızda kendilerini genellikle bunun bir alt klasörüne açar .

%Kullanıcı profili%

Kullanıcı belirli gereksinimlere sahip olmadığı sürece genellikle güvenli olacaktır, ancak yukarıdaki klasörlerin en azından bir kısmının dolaşım profilli bir ağda bunun alt kümeleri olabileceğini unutmayın.

Sıkıştırılmış arşivler

Kodu doğrudan çalıştırmayın, bunun yerine genellikle %temp%oradan ayıklayın ve oradan çalıştırın.

Bu alanları engellemeniz gerekip gerekmediği konusunda, kullanıcılarınızın genellikle ne yaptığına bağlıdır. Yapmaları gereken tek şey Office belgelerini düzenlemek, öğle yemeği sırasında Mayın Tarlası oynamak ve belki bir LOB uygulamasına bir tarayıcı vb. Aracılığıyla erişmekse , bu klasörlerin en azından bazılarında yürütülebilir dosyaları engellemede çok fazla sorun yaşamayabilirsiniz.

Açıkçası, aynı yaklaşım daha az tanımlanmış iş yükü olan insanlar için işe yaramaz.

Artıları:

Bu konumlardan yürütülmeye çalışan kötü amaçlı yazılımlar çalıştırılamaz.

Eksileri:

Bu konumlardan yürütmeye çalışan meşru programlar çalıştırılamaz.

Ortamınızda bu dizinlerde yürütme haklarına ihtiyaç duyan hangi meşru programlara gelince, sadece şunu söyleyebilirsiniz, ancak RobM'in üst düzey bir genel bakışla bir cevap gönderdiğini görüyorum . Bu dizinlerden yürütmenin engellenmesi sorunlara neden olur, bu nedenle hangi sorunlara sahip olacağınızı ve bunları nasıl geçici olarak çözmeniz gerektiğini belirlemek için önce bazı testler yapmanız gerekir.

Bu öneriler çevremde mükemmel bir şekilde çalışır. HAYIR kullanıcıların yazılım yüklemesine izin verilmez ve onaylanan yazılımların HİÇBİRİ belirtilen konumlardan çalıştırılmaz. İş istasyonları, iş istasyonu görüntüsüne önceden yüklenmiş ve komut dosyasıyla güncellenmiş onaylanmış yazılıma sahiptir.

Dropbox, Chrome, Skype, vb. Kurulum sırasında daha kabul edilebilir bir "Program Files" kurulum konumuna yeniden yerleştirilebilir.

Yönetici veya Domain Admins (ve belki de belirli bir "Installer" hesabı) için güncelleme çalıştırabilme ve onaylanmış yazılım ekleyebilme izniniz olduğu sürece önerileri kabul ediyorum.

Sadece bu klasörlere değil, onlardan başlayarak tüm ağaca yürütme hakkını reddetmek istediğinizi varsayalım (aksi halde, yapmak istediğiniz şeyi yapmanın bir anlamı yoktur).

- Açık - sonuç, bunlarda bulunan herhangi bir yürütülebilir dosyanın çalışamayacağıdır.

Ne yazık ki, bu oldukça fazla sayıda meşru uygulamayı içerecektir.

% localappdata% ve% appdata% en sorunlu olanlarıdır: Örneğin Dropbox, Chrome, SkyDrive çalışmaz. Çoğu otomatik yükleyici ve birçok yükleyici de çalışmaz.

% UserProfile%, hem% localappdata% hem de% appdata% öğelerini ve bir dizi başka klasörü içerdiğinden daha da kötüdür.

Kısacası: uygulamaların bu klasörlerden çalışmasını önlerseniz, sisteminiz kullanılamaz hale gelebilir.

% temp% farklı. Zaman zaman oradan çalışan meşru programlarınız olsa da, oldukça nadirdir ve genellikle etrafta çalışmak kolaydır. Ne yazık ki,% temp%, genişlettiğiniz kullanıcı bağlamına bağlı olarak farklı klasörlere genişler:% localappdata% \ temp (bir kullanıcı bağlamında) veya% SystemRoot% \ temp ( Böylece her konumu ayrı ayrı güvenli hale getirmeniz gerekir.

% temp% aynı zamanda iyi bir adaydır, çünkü çoğu posta programı ekleri açmadan önce kaydeder: posta tabanlı kötü amaçlı yazılımların çoğunda yardımcı olur.

İyi bir hile, sistemi kurduğunuzda (ve elbette% SystemRoot%) \ temp). Windows, yeni profiller oluşturduğunda bu klasörleri kopyalar ve böylece yeni kullanıcılar güvenli bir ortama sahip olur.

Listenize% UserProfile% \ Downloads eklemek isteyebilirsiniz: Burası çoğu tarayıcının kullanıcının indirilen dosyaları ile aynı olacağını ve buradan yürütmenin reddedilmesi de güvenliği artıracaktır.

Son üç aydır ana iş istasyonumda benzer bir kurulumla çalışıyorum. Birincil kullanıcımın bir dizine yürütme izinleri ya da yazma izinleri var, ancak her ikisi birden yok.

Bu, bu hesap tarafından yeni yürütülebilir dosyaların tanıtılamayacağı anlamına gelir. Bu profesyonel, sistemde zaten programları çalıştırabilir veya diğer hesaplar tarafından yüklenebilir, ancak yeni bir program indirip çalıştıramıyorum, bu bir tarayıcı veya başka yollarla gelen herhangi bir kötü amaçlı yazılımın çalıştırılması çok daha zor olduğu anlamına gelir benim sistemimde, basit DLL enjeksiyonu da çalışmıyor.

Diğerlerinin de belirttiği gibi, asıl sorun, bazı meşru yazılımların engellediğim yerleri kullanmasıdır. Benim durumumda:

• Google Chrome - msi sürümünü yükledim
• şimdi farklı bir kullanıcı altında çalıştırdığım herhangi bir Taşınabilir Uygulamalar uygulaması
• Process Explorer - Çıkarılan 64bit sürümünü doğrudan kullanıyorum
• dism.exe - Ben zaten çoğu zaman yapmak zorunda yönetici olarak çalıştırın.

Temelde üç hesap kullanıyorum, biri ile giriş yaptım, belirli onaylanmış programları yürütmek için başka bir normal kullanıcı hesabı ve diğer ikisi için yeni yazılım yüklemek için bir yönetici hesabı kullanıyorum.

Beni yeni indirilen herhangi bir yazılımı bir sanal makinede test etmeye zorlamamı seviyorum.

Programlarımın çoğuna PowerShell aracılığıyla başlıyorum ve üç mermi var, her hesap için bir tane benim için iyi. Bunun sizin için işe yarayıp yaramayacağı, ne kadar farklı bir yazılım kullanmanız gerektiğine bağlıdır.

Bir geliştirici makinede bu gerçekten işe yaramaz çünkü kodumu derleyip yürütmek zorunda. Bu yüzden bir veri sürücüsündeki kod dizinim için bir istisna yaptım, kötü amaçlı yazılım tüm sürücüleri tarayabilir ve bulabilir.

Bunu uygulamak için politikalar yerine NTFS ACL'leri kullanıyorum. Bu, herhangi bir programın çalışmasını engeller, ancak yine de bir PowerShell betiği oluşturabilir ve daha sonra çalıştırabilir ve yeterince hasar verebilir.

Bu yüzden işleri daha da zorlaştırsa da% 100 güvenli değildir, ancak sizi mevcut kötü amaçlı yazılımlardan koruyacaktır.

Bu klasörlere bakabilirsiniz, ancak çoğu, tam olarak klasörün adı verilen verilerdir. Örneğin, krom görürsünüz, ancak gerçek yürütülebilir dosya c: \ program klasöründe bulunur.

Program klasörleri dışında tüm yürütülebilir dosyaların bilgisayarda herhangi bir yerde çalışmasını engellerim. Yalnızca geçici olarak bir şey yüklemem gerektiğinde izin verdim ve hiç sorun yaşamadım.

Şu anda her birinde ne olduğunu görmek için dizinlerin hızlı bir aramasını öneririm. Onlardan hiçbir şey yürütülmüyorsa, şimdi forumdaki yönergeleri izleyin. Gelecekte bir sorunla karşılaşırsanız, seçeneklerinizi değerlendirin. Bunların çoğunda zaten yürütülebilir dosyalar olmamalıdır.