Что профессионалы/недостатки блокирования являются программой от выполнения в %appdata %, %temp %, и т.д.?
VPN: я использовал OpenVPN успешно на человечности, аутентификация была сделана LDAP.
Централизованная аутентификация (ведение счетов):... LDAP
Справочная служба: удалите поддержку: RT является хорошим инструментом, если Вы имеете в виду систему билета. Если Вы имели в виду удаленную поддержку, я использовал TeamViewer, это является кросс-платформенным (Windows, MacOS и Linux).
Я предложение второго Daniel для Google Apps. Это действительно берет большой объем работы от плеч системного администратора. Плюс, это интегрируется замечательно с любым клиентом платформы/почты.
Причина, по которой вредоносным программам нравится запускаться из этих мест, заключается в том, что легитимные программы предпочитают запускаться из этих мест. Это области, к которым учетная запись пользователя должна ожидать некоторого уровня доступа.
На основе быстрого grep моей собственной системы и случайной учетной записи конечного пользователя в нашей сети:
% appdata%
Прямо сейчас у меня есть Dropbox , установщик для Adobe AIR и несколько мелочей Microsoft Office в этой папке.
% localappdata%
join.me и SkyDrive , похоже, живут здесь или, по крайней мере, проехали недавно.
% temp%
Многие программы, легальные или иные, захотят запускаться из этой папки. Установщики обычно распаковывают себя во вложенную папку, когда вы запускаете setup.exe в сжатом архиве установщика.
% UserProfile%
Обычно это безопасно, если у пользователя нет особых требований, хотя обратите внимание что по крайней мере некоторые из вышеперечисленных папок могут быть его подмножествами в сети с перемещаемыми профилями.
Сжатые архивы
Не запускайте код напрямую, вместо этого обычно извлекайте его в % temp% и запускайте
Что касается того, следует ли вам блокировать эти области, это зависит от того, что обычно делают ваши пользователи. Если все, что им нужно сделать, это отредактировать документы Office, поиграть в Minesweeper во время обеда и, возможно, получить доступ к приложению LOB через браузер и т. Д.
Эти рекомендации отлично подойдут для моей среды. НИКАКИМ пользователям не разрешено устанавливать программное обеспечение, и НИ ОДИН из утвержденного программного обеспечения не запускается из указанных мест. На рабочих станциях предварительно установлено утвержденное программное обеспечение в образе рабочей станции и обновляется с помощью сценария.
Dropbox, Chrome, Skype и т. Д. Могут быть перемещены во время установки в более приемлемое место установки «Program Files».
] Если у вас есть разрешение для администратора или администраторов домена (и, возможно, определенной учетной записи «Установщик»), чтобы иметь возможность запускать обновления и добавлять утвержденное программное обеспечение, я соглашусь с рекомендациями.
Последние три месяца я использую аналогичную настройку на своей основной рабочей станции. Мой основной пользователь имеет либо права на выполнение в каталоге, либо права на запись, но никогда и то, и другое.
Это означает, что эта учетная запись не может вводить новые исполняемые файлы. Это профи, я могу выполнять программы, которые уже установлены в системе или установлены другими учетными записями, но я не могу загрузить новую программу и запустить ее, это означает, что любое вредоносное ПО, которое поступает через браузер или другими способами, гораздо труднее запускается. в моей системе простая инъекция DLL также не работает.
Как отмечали другие, Основная проблема заключается в том, что некоторые легальные программы используют заблокированные мной местоположения. В моем случае:
- Google Chrome - я установил версию msi
- любое приложение Portable Apps - которое я теперь запускаю под другим пользователем
- Process Explorer - я использую извлеченную 64-битную версию напрямую
- DISM.exe - запускать от имени администратора, что мне и так приходится делать большую часть времени.
Так что в основном я использую три учетных записи, одну я вошел в систему, другую учетную запись обычного пользователя для выполнения определенных проверенных программ в качестве учетной записи администратора для установки нового программного обеспечения для двух других.
Мне нравится тот факт, что он заставляет меня тестировать любое недавно загруженное программное обеспечение на виртуальной машине.
Я запускаю большинство своих программ через PowerShell и имею три оболочки, по одной для каждой учетной записи мне подходит. Действительно ли это работает для вас, зависит от того, сколько программного обеспечения вы используете, к которому нужно относиться по-разному.
На машине разработчика это не работает, потому что мне нужно скомпилировать свой код, а затем выполнить его. Поэтому я сделал исключение для своего каталога кода на диске с данными, вредоносное ПО могло сканировать все диски и находить это.
Я использую списки контроля доступа NTFS, а не политики, чтобы добиться этого. Это предотвращает запуск любых программ, но я все еще могу создать сценарий PowerShell, а затем запустить его, и он может нанести достаточно вреда.
Таким образом, хотя это усложняет задачу, он не на 100% безопасен, но все же защитит вас от большинства современных вредоносных программ. .
вредоносное ПО может просканировать все диски и найти это.Я использую NTFS ACL, а не политики, чтобы добиться этого. Это предотвращает запуск любых программ, но я все еще могу создать сценарий PowerShell, а затем запустить его, и он может нанести достаточно вреда.
Таким образом, хотя это усложняет задачу, он не на 100% безопасен, но все же защитит вас от большинства современных вредоносных программ. .
вредоносное ПО может просканировать все диски и найти это.Я использую NTFS ACL, а не политики, чтобы добиться этого. Это предотвращает запуск любых программ, но я все еще могу создать сценарий PowerShell, а затем запустить его, и он может нанести достаточно вреда.
Таким образом, хотя это усложняет задачу, он не на 100% безопасен, но все же защитит вас от большинства современных вредоносных программ. .
Плюсы:
Вредоносное ПО, пытающееся выполнить из этих мест, не сможет работать.
Минусы:
Легальные программы, пытающиеся выполнить из этих мест, не смогут работать.
Что касается того, какие законные программы у вас есть в вашей среде, которым требуются права выполнения в этих каталогах, только вы можете сказать, но я вижу RobM только что опубликовал ответ с общим обзором . Блокирование выполнения из этих каталогов вызовет у вас проблемы, поэтому вам нужно сначала провести некоторое тестирование, чтобы определить, какие проблемы у вас будут, и как вам нужно их обходить.
Я предполагаю, что вы хотите запретить выполнение права не только для этих папок, но и для всего дерева, начиная с них (в противном случае нет смысла делать то, что вы хотите).
Очевидным последствием будет то, что любой исполняемый файл, расположенный в них, не запустится.
К сожалению, это будет включать довольно большое количество легитимных приложений.
% localappdata% и% appdata% являются наиболее проблемными: Dropbox, Chrome, SkyDrive, например, не будут работать. Большинство автоматических загрузчиков и многие программы установки также не будут работать.
% UserProfile% еще хуже, поскольку он включает как% localappdata%, так и% appdata%, а также ряд других папок.
Вкратце: если вы предотвратите приложений, запускаемых из этих папок, ваша система может стать практически непригодной для использования.
% temp% отличается. Хотя иногда у вас могут запускаться законные программы, это происходит довольно редко и обычно легко обойти. К сожалению,% temp% расширяется до разных папок в зависимости от пользовательского контекста, из которого вы его расширяете: он может оказаться в% localappdata% \ temp (в контексте пользователя) или% SystemRoot% \ temp (в контексте систему), поэтому вам придется защищать каждое местоположение индивидуально.
% temp% также является хорошим кандидатом, потому что именно там большинство почтовых программ сохранят вложения перед их открытием: это поможет во многих случаях вредоносного ПО на основе почты.
Один хороший трюк - изменить разрешения для папок C: \ Users \ Default \ AppData \ Local \ temp и C: \ Users \ DefaultAppPool \ AppData \ Local \ Temp при настройке системы (и, конечно же,% SystemRoot% \ temp).
Я бы порекомендовал выполнить быстрый поиск в каталогах, чтобы увидеть, что у вас есть в каждом из них в настоящее время . Если из них ничего не выполняется, следуйте инструкциям на форуме. Если вы столкнетесь с проблемой в будущем, просто оцените свои варианты. В большинстве из них в любом случае не должно быть исполняемых файлов.
Вы можете посмотреть в этих папках, но большинство из них - это данные, в точности, как называется папка. Например, вы увидите chrome, но реальный исполняемый файл находится в папке c:\programs.
Я блокирую все исполняемые файлы от запуска где угодно на компьютере, кроме папок программы. Разрешается только временно, когда мне нужно что-то установить, и у меня никогда не было никаких проблем.
.