%APPDATA%のすべての実行可能ファイルをブロックするにはどうすればよいですか?
私はCryptoLockerについてこれを読みましたが、これは良いポリシーです。
C:\Users\User\AppData\Roaming\*\*.exe
しかし、それは明らかに複数の層の深さを保護しないでしょう。
しかし、C:\Users\User\AppData\Roaming\dir\dir\trojan.exe
のように、誰かが別のレイヤーに行くのを阻止するにはどうすればよいですか
Appdata内のすべてのexeをブロックするポリシーを作成することは可能ですか?
これらの問題をどのように処理しますか?ありがとう
GPOソフトウェアの制限に関するMicrosoftのガイダンスに従って:
http://technet.Microsoft.com/en-us/library/bb457006.aspx
パスルール
パス規則では、プログラムへのフォルダーまたは完全修飾パスを指定できます。パスルールがフォルダーを指定すると、そのフォルダーに含まれるすべてのプログラムおよびサブフォルダーに含まれるすべてのプログラムに一致します。ローカルパスとUNCパスの両方がサポートされます。
パスルールでの環境変数の使用。
パスルールは環境変数を使用できます。パスルールはクライアント環境で評価されるため、環境変数(%WINDIR%など)を使用する機能により、ルールを特定のユーザーの環境に適応させることができます。
重要:環境変数は、アクセス制御リスト(ACL)によって保護されていません。ユーザーがコマンドプロンプトを開始できる場合は、環境変数を選択したパスに再定義できます。
パスルールでのワイルドカードの使用。パスルールには「?」を組み込むことができますおよび「*」ワイルドカード。「*。vbs」などのルールがすべてのVisualBasic®スクリプトファイルと一致することを許可します。いくつかの例:
•「\\ DC-??\login $」は、\\ DC-01\login $、\\ DC-02\login $と一致します
• "*\Windows"はC:\ Windows、D:\ Windows、E:\ Windowsと一致します
• "c:\ win *"は、c:\ winnt、c:\ windows、c:\ windirに一致します
したがって、ユーザーは%APPDATA%が指す場所を再定義できるので、実際の完全修飾ファイルシステムパスの代わりに、パスルールでAPPDATA
環境変数を使用することを検討してください。
次の例は、環境変数をパスの規則に適用するインスタンスを示しています。
•「%UserProfile%」は、C:\ Documents and Settings\Userおよびこのディレクトリの下のすべてのサブフォルダに一致します。
•「%ProgramFiles%\ Application」は、C:\ Program Files\Applicationと、このディレクトリの下のすべてのサブフォルダに一致します。
これをテストしました。直接システムパスの代わりに%APPDATA%を使用する場合でも、各サブフォルダー(/ asterix /、/ asterix/asterix /、/ asterix/asterix/asterix /)ごとにルールを作成しない限り、必要な深さまで移動すると、ウィンドウは、定義した深さを超えると強制を停止します。
自己完結型の自動クリッカーをAppData/roamingディレクトリに配置してテストし、次にフォルダーを追加してexeをファイル構造のより深い場所に移動してテストしました。ローカルセキュリティポリシーで定義されているように、3レベルを超えた後、Windowsは自動クリッカーの実行を許可しました。