Я пытаюсь вставить некоторые худые дополнительные вредоносные меры по предотвращению путем ограничения выполнения *.exe в горстке местоположений - в частности, временные папки, к которым разархивировали различные инструменты сжатия, когда пользователь мог бы принять решение открыть исполняемый файл прямо из zip-файла.
Из статьи TechNet, http://technet.microsoft.com/nl-nl/library/cc786941%28v=ws.10%29.aspx:
Можно использовать переменные среды в правиле пути. Так как правила пути оценены в клиентской среде, способность к переменным условий применения (например, %Windir %) позволяет правилу адаптироваться к среде конкретного пользователя.
...
Правило пути может соединиться? и * подстановочные знаки, позволяя правилам, таким как "*.vbs" соответствовать всем файлам Сценария Visual Basic. Следующие примеры иллюстрируют использование подстановочных знаков:
- DC “\\-??\login$” соответствует \DC-01\login$, \DC-02\login$
- “*\Windows” соответствует C:\Windows, D:\Windows, E:\Windows
- “c:\win*” соответствует c:\winnt, c:\windows, c:\windir
У меня есть эти правила Пути (который я применил и особенно и в различных комбинациях):
%APPDATA%\*.exe
%APPDATA%\*\*.exe
%LOCALAPPDATA%\*.exe
%LOCALAPPDATA%\*\*.exe
%TEMP%\*.exe
%TEMP%\7z*\*.exe
%TEMP%\wz*\*.exe
%TEMP%\Rar*\*.exe
... который теоретически должен представить исполняемые файлы непосредственно под временной папкой пользователя, и исполняемые файлы во временных папках назвали таким образом, что Winzip, WinRAR и с 7 zip могли бы назвать их временные папки (например. %TEMP%\7zSF20.tmp\the_file.exe
).
%APPDATA%
и %LOCALAPPDATA%
работа; %TEMP%
не делают. Исполняемые файлы, кажется, заблокированы под %TEMP %, но это - то, только потому, что в установке по умолчанию они также соответствуют %LOCALAPPDATA%\*\*.exe
правило (Временный файл находится под AppData\Local, по умолчанию).
Я первоначально думал, что это было проблемой с подстановочными знаками на частичные имена папок, но кажется, что это характерно для использования %TEMP переменной % (следовательно переписывание).
Эти два обходных решения, которые я подтвердил (и почему я предпочел бы не использовать их):
использование %LOCALAPPDATA%\Temp
вместо %TEMP%
%TEMP%
переменная может быть установлена отличаться от %LOCALAPPDATA%\Temp
.использование %HKEY_CURRENT_USER\Environment\TEMP%
%HKEY_CURRENT_USER\Environment\TEMP%\7z*\*.exe
%HKEY_CURRENT_USER\Environment\TEMP%7z*
будет рядом ( \
между переменной и подпапкой не должен быть указан, и Вы не можете указать маску имени файла впоследствии),SET TEMP=C:\
и запустил программу от подсказки).(Если это имеет значение я попытался настроить SRP и в Компьютерных и в Пользовательских разделах GPO, и независимо и одновременно, в случае, если каждый перезаписал другой, или %TEMP%
был разрешен по-другому в Computer и Уровне пользователя.)
Что является настолько особенным о %TEMP%
переменная, как которая это не применялось бы здесь, тогда как что-то %LOCALAPPDATA%\Temp\\wz*\\*.exe
был бы?
Кажется, что ограничение конкретно с %TEMP%
переменная среды. Я отредактировал вопрос, как таковой.
При проверке в cmd.exe или command.com программа может увидеть содержимое %TEMP%, отличное от вашего. Иногда они не совпадают.
Но использование переменных окружения в политике ограничения программ все равно плохая идея, так как вредоносная программа может изменить эту переменную.
.Я использую это для блокирования exe файлов от %TMP% и %TMP%*\ , это выглядит странно, но это работает здесь на Win7 pro клиентах, UAC включен, никаких административных прав на текущего пользователя.
%HKEY_CURRENT_USER\Environment\TEMP%*exe
%TEMP%\*\*.exe
Я пытался использовать %TEMP%\Rar*\*.exe
и успешно заблокировал запуск с %TEMP%\Rar15\putty.exe
и с %TEMP%\Rar14.tmp\putty.exe
Я не думаю, что у %TEMP% может быть что-то особенное. Я дважды проверил, путь к ключу реестра, который я использую, не влияет %TEMP%\Rar*\*.exe
Попробуйте следующее:
%HKEY_CURRENT_USER\Environment\TEMP%7z*/*.exe
Если вы опускаете обратную косую черту (\) после закрытия%, а затем используете прямую косую черту (/) для подкаталогов
Я нашел эту ссылку: https://www.sysadmins.lv/blog-en/software-restriction-policies-rule-creation.aspx