web-dev-qa-db-ja.com

Cryptolocker SRP GPOからFirefoxインストールをホワイトリストに登録するにはどうすればよいですか?

Cryptolockerが環境内のシステムに感染するのを防ぐために、GPOセットアップを行いました。以下のソフトウェア制限があります。

%AppData%\*.exe
%AppData%\*\*.exe
%LocalAppData%\Temp\*.Zip\*.exe
%LocalAppData%\Temp\7z*\*.exe
%LocalAppData%\Temp\Rar*\*.exe
%LocalAppData%\Temp\wz*\*.exe
%UserProfile%\Local Settings\Temp\*.7z\*.exe
%UserProfile%\Local Settings\Temp\*.rar\*.exe
%UserProfile%\Local Settings\Temp\*.wz\*.exe
%UserProfile%\Local Settings\Temp\*.Zip\*.exe

Firefoxをインストールしようとすると、次のエラーが発生します。

C:\ Users\jdoe\AppData\Local\Temp\7zSA1FB.tmp\setup-stub.exeへのアクセスは、パスCに配置されたポリシールール{0cbe13527-3132-4e4c-5df1-c48de858c993}の場所により、管理者によって制限されています:\ Users\jdoe\AppData\Local\Temp\7z *\*。exe。

以下のルールをGPOに追加し、制限なしに設定しましたが、機能しません。

%LocalAppData%\ Temp\7z * .tmp\setup-stub.exe

誰かが私が間違っていることを教えてもらえますか?正確なフォルダー名(この場合は7zS189F.tmp)を使用することはできません。インストールするたびにフォルダー名が少し異なるため、ワイルドカードを使用できるようにする必要があるためです。

よろしくお願いします。

group-policyfirefox
3
Windows Ninja

SRPの場合、より保守的なルールが優先されます 。つまり、disallowallowよりも優先されます。
許可ルール%LocalAppData%\Temp\7z*.tmp\setup-stub.exeは、機能的に%LocalAppData%\Temp\7z*\*.exeの禁止ルールと同等です。使用したワイルドカードを含む2つのパスルールは、優先順位の評価では同じものとして扱われます。

From ソフトウェア制限ポリシーの仕組み

パスルールの優先順位

一致するパスルールが複数ある場合は、最も具体的な一致ルールが優先されます。

以下は、最高の優先順位(より具体的な一致)から最低の優先順位(より一般的な一致)までのパスのセットです。

  • ドライブ:\ Folder1\Folder2\FileName.Extension
  • ドライブ:\ Folder1\Folder2 * .Extension
  • *。拡張
  • ドライブ:\ Folder1\Folder2 \
  • ドライブ:\ Folder1 \

競合するルールは2番目の例と一致し、同等の優先順位と見なされます。このため、禁止ルールは「優先」されます。

3
jscott

同じ問題、同じ原因がありました(ランサムウェアのインストールをブロックするように設計されたGPO)。私はGPOを別々のOUに割り当てているので、これは一時的に回避するのはかなり簡単でした。

  • オープングループポリシー管理、
  • ランサムウェアのblcoking GPOが適用されるOUを確認してください
  • ターゲットマシンがこれらのOUのいずれかにあることを確認します
  • ポリシーが適用されないOUにターゲットマシンを移動します
  • 管理コマンドプロンプトでターゲットマシン上でgpupdate/forceを実行します。
  • Firefoxのインストールを実行します。
  • ターゲットマシンを元のOUに戻す
  • ターゲットマシンでgpudate/forceを再度実行して、ポリシーを再適用し、マシンを保護します

エレガンスのための賞を獲得することはありませんが、一時的な回避策です。

1
FrankR

今朝、同じ問題に遭遇しました。暗号ロッカーを防ぐグループポリシーがあり、FFを1台のマシンにインストールする必要がありました。

プロセスは次のとおりです。

  1. "firefox setup stub.exe"をダウンロード
  2. ダウンロード以外の場所に移動します。私はc:\ tempを使用しました。
  3. コマンドウィンドウを開きます(管理者権限で)。

  4. 次のコマンドを入力します:(この例ではc:\ tempが使用されます)

    設定温度= c:\ temp
    セットtmp = c:\ temp
    cd\temp

  5. Firefoxセットアップを実行します。

私にとって魅力のように働いた。

0
user299564