Windows - политика ограничения программного обеспечения заблокировать EXE-файлы во всех подкаталогах
tcpwrappers был первоначально реализован как автономная программа, которая проверит hosts.allow и hosts.deny. Если бы соединение передало, то оно желаемый демон было бы запущено для выполнения единственного запроса. Конфигурация для inetd была бы настроена для выполнения tcpd обертки с программой демона и опциями как параметры.
xinted является расширенным inetd. Имеет значительно больше параметров конфигурации, чем старый inetd. Тривиальные сервисы как эхо, chargen, время, дневное время и отбрасывание встроены. Многие процесс демона, которые часто работают непрерывно, могут выполняться от xinetd. Это обычно делается, когда сервис редко используется. Это ограничивает количество процессов, которые должны работать за счет более медленных времен запуска. Сервисы, которые могут быть выполнены этот путь, включают почтовые серверы, vnc, апача и многих других демонов.
inetd выполняет те же задачи как xinetd, но с простой одной конфигурацией строки для каждого сервиса. Это ограничивает его способность, которая будет настроена, но упрощает автоматическую конфигурацию. Процессы установки, которые могут автоматически настроить inetd, не могут делать то же для xinetd. Много сайтов теперь принимают решение использовать xinetd, а не inetd.
Код обертки был превращен в библиотеку и часто связывается с демонами, которые всегда работают. Эти демоны будут пользоваться библиотекой для проверки входящих соединений перед использованием их. Это позволяет основанные на имени ограничения, которые не могут быть надежно реализованы в брандмауэре. Это включает много основанных на DNS проверок. Один из демонов, который обычно создается, пользуясь библиотекой, является xinetd.
Согласно руководству Microsoft по ограничению использования программ GPO:
http://technet.microsoft.com/en-us/library/bb457006.aspx
Правила пути
A правило пути может указывать папку или полный путь к программе. Когда правило пути указывает папку, оно соответствует любой программе, содержащейся в этой папке и любых программах, содержащихся во вложенных папках. Оба местные поддерживаются пути UNC.
Использование переменных среды в правилах пути.
Правило пути может использовать переменные среды. Поскольку правила пути оцениваются в клиенте среда, возможность использовать переменные среды (например, % WINDIR%) позволяет правилу адаптироваться к среде конкретного пользователя.
Важно: переменные среды не защищены контролем доступа списки (ACL). Если пользователи могут запускать командную строку, они могут переопределить переменную среды на путь по их выбору.
Использование подстановочных знаков в правилах пути. Правило пути может включать знак "?" а также '*' подстановочные знаки, позволяющие таким правилам, как "* .vbs" соответствовать всем визуальным Файлы сценария Basic®. Некоторые примеры:
• «\\ DC - ?? \ login $» соответствует \\ DC-01 \ login $, \\ DC-02 \ login $
• «* \ Windows» соответствует C: \ Windows , D: \ Windows, E: \ Windows
• «c: \ win *» соответствует c: \ winnt, c: \ windows, c: \ windir
Таким образом, поскольку пользователь может просто переопределить где% APPDATA% указывает на, рассмотрите возможность использования переменной среды APPDATA в правиле пути вместо фактического полного пути файловой системы.
В следующих примерах показаны примеры применения переменных среды к правилу пути:
• «% UserProfile%» соответствует C: \ Documents and Settings \ User и всем подпапкам в этом каталоге.
• «% ProgramFiles% \ Application» соответствует C: \ Program Files \ Application. и все подпапки в этом каталоге.
Just test this. Даже при использовании %APPDATA% вместо прямого системного пути, если вы не создадите правило для каждой подпапки (/asterix/, /asterix/asterix/, /asterix/asterix/) и т.д., и т.п. на какой глубине вы хотите, чтобы оно проходило, windows перестанет его выполнять, когда пройдет указанную вами глубину.
Я протестировал это, поместив самосодержащий автокликер в каталог AppData/roaming, а затем протестировал его, добавив папку и переместив exe глубже в файловую структуру. После прохождения 3-х уровней глубины, как определено в локальной политике безопасности, Windows разрешила автокликеру запуститься
.