Cryptolockerが環境内のシステムに感染するのを防ぐために、GPOセットアップを行いました。以下のソフトウェア制限があります。
%AppData%\*.exe %AppData%\*\*.exe %LocalAppData%\Temp\*.Zip\*.exe %LocalAppData%\Temp\7z*\*.exe %LocalAppData%\Temp\Rar*\*.exe %LocalAppData%\Temp\wz*\*.exe %UserProfile%\Local Settings\Temp\*.7z\*.exe %UserProfile%\Local Settings\Temp\*.rar\*.exe %UserProfile%\Local Settings\Temp\*.wz\*.exe %UserProfile%\Local Settings\Temp\*.Zip\*.exe
Firefoxをインストールしようとすると、次のエラーが発生します。
C:\ Users\jdoe\AppData\Local\Temp\7zSA1FB.tmp\setup-stub.exeへのアクセスは、パスCに配置されたポリシールール{0cbe13527-3132-4e4c-5df1-c48de858c993}の場所により、管理者によって制限されています:\ Users\jdoe\AppData\Local\Temp\7z *\*。exe。
以下のルールをGPOに追加し、制限なしに設定しましたが、機能しません。
%LocalAppData%\ Temp\7z * .tmp\setup-stub.exe
誰かが私が間違っていることを教えてもらえますか?正確なフォルダー名(この場合は7zS189F.tmp)を使用することはできません。インストールするたびにフォルダー名が少し異なるため、ワイルドカードを使用できるようにする必要があるためです。
よろしくお願いします。
SRPの場合、より保守的なルールが優先されます 。つまり、disallowはallowよりも優先されます。
許可ルール%LocalAppData%\Temp\7z*.tmp\setup-stub.exe
は、機能的に%LocalAppData%\Temp\7z*\*.exe
の禁止ルールと同等です。使用したワイルドカードを含む2つのパスルールは、優先順位の評価では同じものとして扱われます。
From ソフトウェア制限ポリシーの仕組み :
パスルールの優先順位
一致するパスルールが複数ある場合は、最も具体的な一致ルールが優先されます。
以下は、最高の優先順位(より具体的な一致)から最低の優先順位(より一般的な一致)までのパスのセットです。
- ドライブ:\ Folder1\Folder2\FileName.Extension
- ドライブ:\ Folder1\Folder2 * .Extension
- *。拡張
- ドライブ:\ Folder1\Folder2 \
- ドライブ:\ Folder1 \
競合するルールは2番目の例と一致し、同等の優先順位と見なされます。このため、禁止ルールは「優先」されます。
同じ問題、同じ原因がありました(ランサムウェアのインストールをブロックするように設計されたGPO)。私はGPOを別々のOUに割り当てているので、これは一時的に回避するのはかなり簡単でした。
エレガンスのための賞を獲得することはありませんが、一時的な回避策です。
今朝、同じ問題に遭遇しました。暗号ロッカーを防ぐグループポリシーがあり、FFを1台のマシンにインストールする必要がありました。
プロセスは次のとおりです。
次のコマンドを入力します:(この例ではc:\ tempが使用されます)
設定温度= c:\ temp
セットtmp = c:\ temp
cd\temp
Firefoxセットアップを実行します。
私にとって魅力のように働いた。