Những ưu / nhược điểm của việc chặn chương trình chạy trong% appdata%,% temp%, v.v. là gì?

13

Trong khi nghiên cứu các cách để ngăn chặn CryptoLocker , tôi đã thấy một bài đăng trên diễn đàn khuyên sử dụng Đối tượng chính sách nhóm (GPO) và / hoặc phần mềm chống vi-rút để chặn truy cập chạy ở các vị trí sau:

  1. %dữ liệu chương trình%
  2. % localappdata%
  3. % tạm thời%
  4. %Thông tin người dùng%
  5. Tài liệu lưu trữ nén

Rõ ràng, bất cứ điều gì viết trong một diễn đàn nên được thận trọng. Tuy nhiên, tôi thấy lợi thế để làm điều này, chủ yếu là do phần mềm độc hại thích thực thi các vị trí này. Tất nhiên, điều này có thể ảnh hưởng đến các chương trình hợp pháp là tốt.

Những hạn chế để chặn truy cập chạy vào các vị trí này là gì?

Các lợi thế là gì?

windows  security  malware 

nguồn
3
Of course, this could impact legitimate programs as well.- hơi ...
TheCleaner
1
Ví dụ: GitHub đã tự cài đặt trong% APPDATA% và khi sysadmin của tôi thực thi các quy tắc mới gần đây để chặn các tệp thực thi để chạy từ vị trí đó, GitHub cho Windows không thể khởi động được nữa. git.exe trong% APPDATA%, được cài đặt ban đầu bởi GitHub - dĩ nhiên hơi khó chịu ...
Jim Raynor

Câu trả lời:

12

Lý do phần mềm độc hại thích thực thi từ các vị trí này là vì phần mềm hợp pháp thích thực thi từ các vị trí này. Chúng là những khu vực mà tài khoản của người dùng sẽ có quyền truy cập.

Dựa trên một grep nhanh của hệ thống của riêng tôi và một tài khoản người dùng cuối ngẫu nhiên trên mạng của chúng tôi:

%appdata%

Ngay bây giờ, tôi đã có Dropbox , trình cài đặt cho Adobe AIR và một vài tỷ lệ cược Microsoft Office và kết thúc trong thư mục này.

%localappdata%

tham gia.me và SkyDrive dường như sống ở đây hoặc ít nhất là đã lái xe gần đây.

%temp%

Rất nhiều chương trình, hợp pháp hoặc nếu không, sẽ muốn thực thi từ thư mục này. Trình cài đặt thường tự giải nén vào thư mục con này khi bạn chạy setup.exetrên kho lưu trữ trình cài đặt đã nén.

%Thông tin người dùng%

Nó thường sẽ an toàn trừ khi người dùng có các yêu cầu cụ thể, mặc dù lưu ý rằng ít nhất một số thư mục trên có thể là tập hợp con này trên mạng có hồ sơ chuyển vùng.

Tài liệu lưu trữ nén

Đừng chạy mã trực tiếp, thay vào đó thường trích xuất %temp%và chạy từ đó.

Về việc bạn có nên chặn các khu vực này hay không, điều này phụ thuộc vào những gì người dùng của bạn thường làm. Nếu tất cả những gì họ cần làm là chỉnh sửa tài liệu Office, chơi Minesweeper trong bữa trưa và có thể truy cập ứng dụng LOB qua trình duyệt, v.v. thì bạn có thể không gặp quá nhiều khó khăn khi chặn các tệp thực thi trong ít nhất một số các thư mục này.

Rõ ràng cách tiếp cận tương tự sẽ không hiệu quả đối với những người có khối lượng công việc ít được xác định rõ.

Rob Moir
nguồn
Chrome cũng sống ở%appdata%
Juri Robl
5
@JuriRobl chỉ có phiên bản dành cho người tiêu dùng, phiên bản kinh doanh của Chrome hoạt động tốt hơn nhiều.
GAThrawn
@JuriRobl - Chrome trên PC làm việc của tôi nằm trong C: \ Program Files (x86) \ Google \ Chrome \ Application. Phiên bản kinh doanh như GAThrawn nói. Ngoài ra, tôi đã cố gắng đưa ra các ví dụ dựa trên những gì trên hệ thống của tôi, không tạo ra bất kỳ loại danh sách đầy đủ nào.
Rob Moir
6

Ưu điểm:

Phần mềm độc hại cố gắng thực thi từ các vị trí đó sẽ không thể chạy.

Nhược điểm:

Các chương trình hợp pháp cố gắng thực hiện từ các vị trí đó sẽ không thể chạy.

Đối với những chương trình hợp pháp mà bạn có trong môi trường của bạn cần quyền thực thi trong các thư mục đó, chỉ bạn mới có thể nói, nhưng tôi thấy RobM chỉ đăng một câu trả lời với một tổng quan cấp cao . Chặn thực thi từ các thư mục này sẽ gây ra sự cố cho bạn, vì vậy trước tiên bạn cần thực hiện một số thử nghiệm để xác định những vấn đề bạn sẽ gặp phải và cách bạn cần khắc phục chúng.

Vô vọngN00b
nguồn
3

Những khuyến nghị đó sẽ hoạt động hoàn hảo trong môi trường của tôi. KHÔNG người dùng nào được phép cài đặt phần mềm và KHÔNG phải phần mềm được phê duyệt thực thi từ các vị trí được đề cập. Các máy trạm có phần mềm được phê duyệt được cài đặt sẵn trong hình ảnh máy trạm và được cập nhật theo tập lệnh.

Dropbox, Chrome, Skype, v.v ... đều có thể được định vị lại trong quá trình cài đặt đến vị trí cài đặt "Tệp chương trình" dễ chấp nhận hơn.

Miễn là bạn có trợ cấp cho Quản trị viên hoặc Quản trị viên tên miền (và có thể là tài khoản "Trình cài đặt" cụ thể) để có thể chạy các bản cập nhật và thêm phần mềm được phê duyệt, tôi đồng ý với các đề xuất.

Alderin
nguồn
2

Tôi giả sử bạn muốn từ chối quyền thực thi không chỉ với các thư mục này mà còn cho toàn bộ cây bắt đầu từ chúng (nếu không, không có lý do gì để làm những gì bạn muốn làm).

Hậu quả - hiển nhiên - sẽ là bất kỳ tệp thực thi nào nằm trong số này sẽ không chạy được.

Thật không may, điều này sẽ bao gồm một số lượng lớn các ứng dụng hợp pháp.

% localappdata% và% appdata% là những vấn đề nan giải nhất: Dropbox, Chrome, SkyDrive chẳng hạn, sẽ không hoạt động. Hầu hết các trình tải lên tự động và nhiều trình cài đặt cũng sẽ không hoạt động.

% UserProfile% thậm chí còn tệ hơn vì nó bao gồm cả% localappdata% và% appdata% cũng như một số thư mục khác.

Nói tóm lại: nếu bạn ngăn các ứng dụng chạy từ các thư mục này, hệ thống của bạn có thể sẽ không sử dụng được nhiều.

% temp% là khác nhau. Mặc dù đôi khi bạn có thể có các chương trình hợp pháp chạy từ đó, nhưng nó khá không thường xuyên và thường dễ dàng để làm việc xung quanh. Thật không may,% temp% mở rộng sang các thư mục khác nhau tùy thuộc vào bối cảnh người dùng mà bạn mở rộng từ đó: nó có thể kết thúc bằng% localappdata% \ temp (trong ngữ cảnh của người dùng) hoặc% SystemRoot% \ temp (trong ngữ cảnh của hệ thống) vì vậy bạn sẽ phải bảo mật từng vị trí riêng lẻ.

% temp% cũng là một ứng cử viên tốt bởi vì đó là nơi mà hầu hết các chương trình thư sẽ lưu tệp đính kèm trước khi mở chúng: điều đó sẽ giúp ích trong nhiều trường hợp của phần mềm độc hại dựa trên thư.

Một mẹo hay là thay đổi tiền tố trên các thư mục C: \ Users \ Default \ AppData \ Local \ temp và C: \ Users \ DefaultAppPool \ AppData \ Local \ Temp khi bạn thiết lập hệ thống (và dĩ nhiên,% SystemRoot% \ tạm thời). Windows sẽ sao chép các thư mục này khi nó tạo hồ sơ mới và vì vậy người dùng mới sẽ có một môi trường bảo mật.

Bạn có thể muốn thêm% UserProfile% \ Tải xuống vào danh sách của mình: đây là nơi hầu hết các trình duyệt sẽ giống với các tệp đã tải xuống của người dùng và từ chối thực thi từ đó cũng sẽ tăng tính bảo mật.

Stephane
nguồn
2

Trong ba tháng qua tôi đang chạy với một thiết lập tương tự trên máy trạm chính của mình. Người dùng chính của tôi có quyền thực thi quyền đối với thư mục hoặc quyền ghi nhưng không bao giờ cả hai.

Điều này có nghĩa là không có tài liệu thực thi mới nào có thể được giới thiệu bởi tài khoản này. Đó là pro, tôi có thể thực thi các chương trình đã có trên hệ thống hoặc được cài đặt bởi các tài khoản khác, nhưng tôi không thể tải xuống bất kỳ chương trình mới nào và chạy nó, điều này có nghĩa là bất kỳ phần mềm độc hại nào đi qua trình duyệt hoặc các phương tiện khác có thời gian khó chạy hơn nhiều trên hệ thống của tôi, tiêm DLL đơn giản cũng không hoạt động.

Như những người khác đã chỉ ra, vấn đề chính là một số phần mềm hợp pháp sử dụng các vị trí tôi đã chặn. Trong trường hợp của tôi:

  • Google Chrome - Tôi đã cài đặt phiên bản msi
  • bất kỳ ứng dụng Ứng dụng di động nào - hiện tôi đang chạy dưới một người dùng khác
  • Process Explorer - Tôi sử dụng trực tiếp phiên bản 64 bit được trích xuất
  • merg.exe - chạy với tư cách quản trị viên, điều mà tôi phải làm hầu hết mọi lúc.

Về cơ bản, tôi đang sử dụng ba tài khoản, một tài khoản tôi đã đăng nhập, một tài khoản người dùng bình thường khác để thực thi một số chương trình được xác thực nhất định và tài khoản quản trị viên để cài đặt phần mềm mới cho hai tài khoản kia.

Tôi thích thực tế là nó buộc tôi phải kiểm tra bất kỳ phần mềm mới tải xuống nào trong VM.

Tôi bắt đầu hầu hết các chương trình của mình thông qua PowerShell và có ba shell, mỗi cái cho mỗi tài khoản là tốt cho tôi. Việc này có hiệu quả với bạn hay không phụ thuộc vào số lượng phần mềm bạn sử dụng phải được xử lý khác nhau.

Trên một máy phát triển, nó không thực sự hoạt động vì tôi phải biên dịch mã của mình và sau đó thực thi nó. Vì vậy, tôi đã tạo một ngoại lệ cho thư mục mã của mình trên một ổ dữ liệu, phần mềm độc hại có thể quét tất cả các ổ đĩa và tìm thấy cái này.

Tôi đang sử dụng các ACL NTFS thay vì chính sách để thực thi điều này. Điều này ngăn bất kỳ chương trình nào chạy, nhưng tôi vẫn có thể tạo tập lệnh PowerShell và sau đó chạy chương trình đó và nó có thể gây ra đủ thiệt hại.

Vì vậy, trong khi nó làm cho mọi thứ khó khăn hơn, nó không an toàn 100% nhưng vẫn bảo vệ bạn khỏi hầu hết các phần mềm độc hại hiện tại.

Peter Hahndorf
nguồn
0

Bạn có thể xem trong các thư mục đó, nhưng hầu hết là dữ liệu, chính xác thư mục được đặt tên là gì. Ví dụ: bạn sẽ thấy chrome, nhưng thực thi thực tế nằm trong thư mục c: \ Programs.

Tôi chặn tất cả các thực thi chạy từ bất cứ nơi nào trên máy tính ngoại trừ các thư mục chương trình. Chỉ được phép tạm thời khi tôi cần cài đặt một cái gì đó và tôi chưa bao giờ gặp vấn đề gì.

CooloutAC
nguồn
-1

Tôi khuyên bạn nên tìm kiếm nhanh các thư mục để xem những gì bạn có trong mỗi thư mục hiện tại. Nếu không có gì được thực thi từ họ bây giờ hãy làm theo hướng dẫn trong diễn đàn. Nếu bạn gặp một vấn đề trong tương lai chỉ cần đánh giá các lựa chọn của bạn sau đó. Hầu hết trong số này không nên có thực thi trong đó anyway.

Chris Jones
nguồn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.