* .exeの実行をいくつかの場所(特に、さまざまな圧縮ツールが解凍する一時フォルダー)で制限することにより、いくつかの追加のマルウェア防止対策を導入しようとしています。 Zipファイルから直接実行可能。
TechNet記事 http://technet.Microsoft.com/nl-nl/library/cc786941%28v=ws.10%29.aspx :
パス規則で環境変数を使用できます。パスルールはクライアント環境で評価されるため、環境変数(たとえば、%Windir%)を使用する機能により、ルールを特定のユーザーの環境に適応させることができます。
...
パスルールには、?および*ワイルドカード。 "*。vbs"などのルールがすべてのVisual Basicスクリプトファイルと一致することを許可します。次の例は、ワイルドカードの使用を示しています。
- 「\ DC-??\login $」は、\ DC-01\login $、\ DC-02\login $と一致します
- 「*\Windows」はC:\ Windows、D:\ Windows、E:\ Windowsと一致します
- 「c:\ win *」は、c:\ winnt、c:\ windows、c:\ windirに一致します
私はこれらのパスルールを持っています(これを単独で、およびさまざまな組み合わせで適用しました)。
%APPDATA%\*.exe
%APPDATA%\*\*.exe
%LOCALAPPDATA%\*.exe
%LOCALAPPDATA%\*\*.exe
%TEMP%\*.exe
%TEMP%\7z*\*.exe
%TEMP%\wz*\*.exe
%TEMP%\Rar*\*.exe
...理論的にはshouldユーザーの一時フォルダ直下の実行可能ファイル、およびWinzip、WinRAR、7-Zipが一時フォルダに名前を付ける方法で名前が付けられた一時フォルダ内の実行可能ファイル(例:%TEMP%\7zSF20.tmp\the_file.exe
)を表します。
%APPDATA%
と%LOCALAPPDATA%
は機能します。 %TEMP%
のものはそうではありません。実行可能ファイルappearは%TEMP%でブロックされますが、これはデフォルトのセットアップで%LOCALAPPDATA%\*\*.exe
ルールにも一致するためです(TempはデフォルトでAppData\Localの下にあります)。
これは、部分的なフォルダー名のワイルドカードの問題であると当初考えていましたが、これは%TEMP%変数の使用に固有のようです(そのため、書き換えられます)。
私が確認した2つの回避策(およびそれらを使用したくない理由)は次のとおりです。
%LOCALAPPDATA%\Temp
の代わりに%TEMP%
を使用する
%TEMP%
変数は%LOCALAPPDATA%\Temp
と異なるように設定できるため、これは正しくありません。%HKEY_CURRENT_USER\Environment\TEMP%
の使用
%HKEY_CURRENT_USER\Environment\TEMP%\7z*\*.exe
%HKEY_CURRENT_USER\Environment\TEMP%7z*
が近くなることを発見しました(変数とサブフォルダー間の\
は指定しないでください。後でファイル名マスクを指定することはできません)SET TEMP=C:\
を発行し、プロンプトからプログラムを実行した場合は適用されません。(価値があるのは、GPOのコンピューターセクションとユーザーセクションの両方でSRPを個別に同時に試した場合です。一方が他方を上書きした場合、または%TEMP%
がコンピューターレベルとユーザーレベルで異なって解決された場合に備えています。)
%TEMP%
のような何かがここで適用されないのに対して、%LOCALAPPDATA%\Temp\\wz*\\*.exe
のようなものは何ですか?
制限は特に%TEMP%
環境変数にあるようです。質問を編集しました。
プログラムがcmd.exeまたはcommand.comで確認すると、%TEMP%の内容がユーザーとは異なる場合があります。時には彼らは同じではありません。
ただし、マルウェアが変数を変更する可能性があるため、ソフトウェア制限ポリシーで環境変数を使用することはとにかく悪い考えです。
これを使用して%TMP%と%TMP%* \からのexeファイルをブロックします。奇妙に見えますが、ここではWin7プロクライアントで動作し、UACが有効になっており、現在のユーザーの管理権限がありません。
%HKEY_CURRENT_USER\Environment\TEMP%*exe
%TEMP%\*\*.exe
%TEMP%\Rar*\*.exe
を使用しようとしましたが、%TEMP%\Rar15\PuTTY.exe
および%TEMP%\Rar14.tmp\PuTTY.exe
からの実行をブロックしました
%TEMP%に特別なことはないと思います。再確認しましたが、使用したレジストリキーのパスは%TEMP%\Rar*\*.exe
に影響しません
これを試してください:
%HKEY_CURRENT_USER\Environment\TEMP%7z*/*.exe
%を閉じた後でバックスラッシュ(\)を省略し、サブディレクトリにスラッシュ(/)を使用する場合
私はこの参照を見つけました: https://www.sysadmins.lv/blog-en/software-restriction-policies-rule-creation.aspx