ข้อดี / ข้อเสียของการปิดกั้นโปรแกรมไม่ให้ทำงานใน% appdata%,% temp% ฯลฯ

13

ในขณะที่ค้นคว้าวิธีในการป้องกันCryptoLockerฉันเห็นโพสต์ฟอรัมที่แนะนำให้ใช้Group Policy Objects (GPO) และ / หรือซอฟต์แวร์ป้องกันไวรัสเพื่อบล็อกการเข้าถึงการทำงานในตำแหน่งต่อไปนี้:

%ข้อมูลแอพ%
% LOCALAPPDATA%
% temp%
%ประวัติผู้ใช้%
บีบอัดไฟล์เก็บถาวร

เห็นได้ชัดว่าสิ่งที่เขียนในฟอรั่มควรใช้ด้วยความระมัดระวัง ฉันเห็นข้อดีในการทำสิ่งนี้เป็นหลักเนื่องจากมัลแวร์ชอบที่จะออกจากตำแหน่งเหล่านี้ แน่นอนว่านี่อาจส่งผลกระทบต่อโปรแกรมที่ถูกกฎหมายเช่นกัน

ข้อเสียของการปิดกั้นการเข้าถึงสถานที่เหล่านี้คืออะไร?

ข้อดีคืออะไร

windows security malware

— โผล่
แหล่งที่มา

3

Of course, this could impact legitimate programs as well.- เล็กน้อย ...

— TheCleaner

1

ตัวอย่างเช่น GitHub ติดตั้งตัวเองใน% APPDATA% และเมื่อ sysadmin ของฉันบังคับใช้กฎใหม่เมื่อเร็ว ๆ นี้เพื่อบล็อกไฟล์ที่ปฏิบัติการได้เพื่อเรียกใช้จากตำแหน่งนั้น GitHub สำหรับ Windows ก็ไม่สามารถเริ่มต้นได้อีกต่อไปแล้ว SourceTree ก็ไม่ทำงานเช่นกัน git.exe ใน% APPDATA% ซึ่ง แต่เดิมติดตั้งโดย GitHub - น่ารำคาญนิดหน่อยแน่นอน ...

— Jim Raynor

12

สาเหตุที่มัลแวร์ชอบที่จะดำเนินการจากที่ตั้งเหล่านี้เป็นเพราะซอฟต์แวร์ที่ชอบด้วยกฎหมายชอบที่จะดำเนินการจากที่ตั้งเหล่านี้ เป็นส่วนที่บัญชีของผู้ใช้ควรคาดหวังว่าจะสามารถเข้าถึงได้ในระดับหนึ่ง

อิงตาม grep อย่างรวดเร็วของระบบของฉันและบัญชีผู้ใช้ปลายทางแบบสุ่มในเครือข่ายของเรา:

%appdata%

ตอนนี้ฉันมีDropboxเครื่องมือติดตั้งสำหรับAdobe AIRและราคาต่อรองของ Microsoft Office และสิ้นสุดในโฟลเดอร์นี้

%localappdata%

join.me และSkyDriveดูเหมือนจะอาศัยอยู่ที่นี่หรืออย่างน้อยก็ผ่านไปไม่นาน

%temp%

โปรแกรมจำนวนมากถูกต้องตามกฎหมายหรืออย่างอื่นจะต้องการเรียกใช้จากโฟลเดอร์นี้ โดยทั่วไปตัวติดตั้งจะแตกตัวเองลงในโฟลเดอร์ย่อยของสิ่งนี้เมื่อคุณเรียกใช้setup.exeไฟล์เก็บถาวรตัวติดตั้งที่บีบอัด

%ประวัติผู้ใช้%

โดยทั่วไปแล้วจะปลอดภัยหากผู้ใช้มีข้อกำหนดเฉพาะ แต่โปรดทราบว่าอย่างน้อยบางโฟลเดอร์ข้างต้นอาจเป็นส่วนย่อยของสิ่งนี้ในเครือข่ายที่มีโปรไฟล์โรมมิ่ง

บีบอัดไฟล์เก็บถาวร

อย่าเรียกใช้รหัสโดยตรงแทนที่จะแยก%temp%และเรียกใช้จากที่นั่น

ว่าคุณควรปิดกั้นพื้นที่เหล่านี้หรือไม่นั้นขึ้นอยู่กับสิ่งที่ผู้ใช้ของคุณทำอยู่ หากสิ่งที่พวกเขาต้องทำคือแก้ไขเอกสาร Office ให้เล่นMinesweeperในระหว่างอาหารกลางวันและอาจเข้าถึงแอพLOBผ่านเบราว์เซอร์ ฯลฯ คุณอาจไม่มีปัญหาในการบล็อกไฟล์ที่ปฏิบัติการได้ในโฟลเดอร์เหล่านี้อย่างน้อย

เห็นได้ชัดว่าวิธีการเดียวกันจะไม่ทำงานสำหรับผู้ที่มีปริมาณงานที่กำหนดไว้น้อยกว่า

— Rob Moir
แหล่งที่มา

Chrome ยังมีชีวิตอยู่%appdata%

— Juri Robl

5

@JuriRobl เฉพาะรุ่นสำหรับผู้บริโภคChrome เวอร์ชันธุรกิจจะทำงานได้ดีขึ้นมาก

— GAThrawn

@JuriRobl - Chrome บนพีซีที่ทำงานของฉันอยู่ใน C: \ Program Files (x86) \ Google \ Chrome \ Application รุ่นธุรกิจตามที่ GAThrawn พูด นอกจากนี้ฉันพยายามยกตัวอย่างตามสิ่งที่อยู่ในระบบของฉันไม่ใช่ผลิตรายการที่ครบถ้วนสมบูรณ์

— Rob Moir

6

ข้อดี:

มัลแวร์ที่พยายามเรียกใช้จากที่ตั้งเหล่านั้นจะไม่สามารถทำงานได้

จุดด้อย:

โปรแกรมที่ถูกต้องตามกฎหมายที่พยายามดำเนินการจากที่ตั้งเหล่านั้นจะไม่สามารถทำงานได้

เป็นสิ่งที่โปรแกรมที่ถูกต้องที่คุณมีในสภาพแวดล้อมของคุณว่าสิทธิการดำเนินการต้องการในไดเรกทอรีเหล่านั้นเพียงคุณเท่านั้นที่สามารถพูดได้ แต่ฉันเห็นRobM เพิ่งโพสต์คำตอบกับภาพรวมระดับสูง การปิดกั้นการดำเนินการจากไดเรกทอรีเหล่านี้จะทำให้คุณมีปัญหาดังนั้นคุณต้องทำการทดสอบก่อนเพื่อตรวจสอบว่าคุณมีปัญหาอะไรบ้างและคุณต้องแก้ไขปัญหาเหล่านี้อย่างไร

— HopelessN00b
แหล่งที่มา

3

คำแนะนำเหล่านั้นจะทำงานได้อย่างสมบูรณ์ในสภาพแวดล้อมของฉัน ผู้ใช้ไม่ได้รับอนุญาตให้ติดตั้งซอฟต์แวร์และไม่มีใครได้รับอนุญาตของซอฟต์แวร์ที่ได้รับการอนุมัติดำเนินการจากสถานที่ดังกล่าว เวิร์กสเตชันมีซอฟต์แวร์ที่ได้รับการอนุมัติติดตั้งไว้ล่วงหน้าในอิมเมจเวิร์กสเตชันและอัปเดตโดยสคริปต์

Dropbox, Chrome, Skype และอื่น ๆ สามารถอยู่ในตำแหน่งระหว่างการติดตั้งไปยังตำแหน่งการติดตั้ง "Program Files" ที่เป็นที่ยอมรับมากขึ้น

ตราบใดที่คุณมีค่าเผื่อสำหรับผู้ดูแลระบบหรือผู้ดูแลระบบโดเมน (และอาจเป็นบัญชี "ตัวติดตั้ง" ที่เฉพาะเจาะจง) เพื่อให้สามารถเรียกใช้การอัปเดตและเพิ่มซอฟต์แวร์ที่ได้รับการอนุมัติฉันจะเห็นด้วยกับคำแนะนำ

— Alderin
แหล่งที่มา

2

ฉันคิดว่าคุณต้องการที่จะปฏิเสธการดำเนินการที่ถูกต้องไม่เพียง แต่กับโฟลเดอร์เหล่านี้ แต่ไปยังต้นไม้ทั้งหมดที่เริ่มต้นจากพวกเขา (มิฉะนั้นจะไม่มีประโยชน์ในการทำสิ่งที่คุณต้องการจะทำ)

The - ชัดเจน - ผลจะเป็นที่ใด ๆ ที่ปฏิบัติการอยู่ในเหล่านี้จะไม่สามารถทำงานได้

น่าเสียดายที่นี่จะมีแอพพลิเคชั่นที่ค่อนข้างถูกกฎหมายจำนวนมาก

% localappdata% และ% appdata% เป็นตัวที่มีปัญหามากที่สุดตัวอย่างเช่น Dropbox, Chrome, SkyDrive จะไม่ทำงาน ตัวอัปโหลดอัตโนมัติส่วนใหญ่และตัวติดตั้งจำนวนมากก็จะไม่ทำงานเช่นกัน

% UserProfile% ยิ่งแย่ลงเนื่องจากมีทั้ง% localappdata% และ% appdata% รวมทั้งโฟลเดอร์อื่น ๆ อีกจำนวนหนึ่ง

กล่าวโดยย่อ: หากคุณป้องกันไม่ให้แอปพลิเคชันเรียกใช้จากโฟลเดอร์เหล่านี้ระบบของคุณอาจไม่สามารถใช้งานได้

% temp% แตกต่างกัน ในขณะที่คุณอาจมีโปรแกรมที่ถูกต้องรันอยู่เป็นระยะ ๆ แต่ก็ไม่บ่อยนักและมักจะง่ายต่อการแก้ไข น่าเสียดายที่% temp% ขยายไปยังโฟลเดอร์ต่าง ๆ โดยขึ้นอยู่กับบริบทของผู้ใช้ที่คุณกำลังขยายจาก: มันอาจท้ายใน% localappdata% \ temp (ในบริบทของผู้ใช้) หรือ% SystemRoot% \ temp (ในบริบทของ ระบบ) ดังนั้นคุณจะต้องรักษาความปลอดภัยแต่ละสถานที่เป็นรายบุคคล

% temp% ยังเป็นตัวเลือกที่ดีเพราะนั่นคือที่โปรแกรมอีเมลส่วนใหญ่จะบันทึกสิ่งที่แนบมาก่อนที่จะเปิด: ซึ่งจะช่วยในหลาย ๆ กรณีของมัลแวร์ที่ใช้เมล

เคล็ดลับที่ดีอย่างหนึ่งคือการเปลี่ยนค่าล่วงหน้าในโฟลเดอร์ C: \ Users \ Default \ AppData \ Local \ temp และ C: \ Users \ DefaultAppPool \ AppData \ Local \ Temp โฟลเดอร์เมื่อคุณตั้งค่าระบบ (และแน่นอน% SystemRoot% \ Temp) Windows จะคัดลอกโฟลเดอร์เหล่านี้เมื่อสร้างโปรไฟล์ใหม่และผู้ใช้ใหม่จะมีสภาพแวดล้อมที่ปลอดภัย

คุณอาจต้องการเพิ่ม% UserProfile% \ Downloads ลงในรายการของคุณ: นี่คือที่เบราว์เซอร์ส่วนใหญ่จะเหมือนกับไฟล์ที่ดาวน์โหลดของผู้ใช้และการปฏิเสธการดำเนินการจากที่นั่นจะเพิ่มความปลอดภัย

— สเตฟาน
แหล่งที่มา

2

ในช่วงสามเดือนที่ผ่านมาฉันทำงานด้วยการตั้งค่าที่คล้ายกันในเวิร์กสเตชันหลักของฉัน ผู้ใช้หลักของฉันมีสิทธิ์ดำเนินการไปยังไดเรกทอรีหรือสิทธิ์ในการเขียน แต่ไม่มีสิทธิ์ทั้งสองอย่าง

ซึ่งหมายความว่าไม่มีบัญชีใหม่ที่สามารถนำมาใช้กับบัญชีนี้ได้ นั่นเป็นมืออาชีพฉันสามารถรันโปรแกรมในระบบหรือติดตั้งโดยบัญชีอื่นแล้ว แต่ฉันไม่สามารถดาวน์โหลดโปรแกรมใหม่ใด ๆ และเปิดใช้งานได้ซึ่งหมายความว่ามัลแวร์ใด ๆ ที่เข้ามาผ่านเบราว์เซอร์หรือวิธีการอื่น ๆ ในระบบของฉันการฉีด DLL แบบธรรมดาก็ไม่ทำงานเช่นกัน

ตามที่คนอื่น ๆ ได้ชี้ให้เห็นปัญหาหลักคือซอฟต์แวร์ที่ถูกกฎหมายบางอย่างใช้สถานที่ที่ฉันบล็อก ในกรณีของฉัน:

Google Chrome - ฉันติดตั้งเวอร์ชัน msi แล้ว
แอปพลิเคชันพกพาใด ๆ - ซึ่งตอนนี้ฉันทำงานภายใต้ผู้ใช้อื่น
Process Explorer - ฉันใช้เวอร์ชัน 64 บิตที่แยกออกมาโดยตรง
dism.exe - เรียกใช้ในฐานะผู้ดูแลระบบซึ่งฉันต้องทำเกือบตลอดเวลา

โดยพื้นฐานแล้วฉันใช้สามบัญชีหนึ่งบัญชีที่ฉันลงชื่อเข้าใช้ด้วยบัญชีผู้ใช้ปกติอีกบัญชีหนึ่งเพื่อดำเนินการโปรแกรมที่ผ่านการตรวจสอบแล้วและบัญชีผู้ดูแลระบบเพื่อติดตั้งซอฟต์แวร์ใหม่สำหรับอีกสองรายการ

ฉันชอบความจริงที่ว่ามันบังคับให้ฉันทดสอบซอฟต์แวร์ที่ดาวน์โหลดมาใหม่ใน VM

ฉันเริ่มต้นโปรแกรมส่วนใหญ่ผ่าน PowerShell และมีสาม shell หนึ่งรายการสำหรับแต่ละบัญชีนั้นใช้ได้สำหรับฉัน การทำงานให้กับคุณขึ้นอยู่กับว่าคุณใช้ซอฟต์แวร์มากน้อยแค่ไหนซึ่งจะต้องได้รับการปฏิบัติแตกต่างกันไป

บนเครื่องของนักพัฒนาซอฟต์แวร์มันใช้งานไม่ได้เพราะฉันต้องคอมไพล์โค้ดของฉันแล้วรันมัน ดังนั้นฉันจึงทำการยกเว้นไดเรกทอรีรหัสของฉันบนไดรฟ์ข้อมูลมัลแวร์สามารถสแกนไดรฟ์ทั้งหมดและค้นหาสิ่งนี้

ฉันใช้ NTFS ACL ค่อนข้างจะเป็นนโยบายบังคับใช้ สิ่งนี้ป้องกันไม่ให้โปรแกรมใด ๆ ทำงาน แต่ฉันยังคงสามารถสร้างสคริปต์ PowerShell แล้วเรียกใช้สิ่งนั้นและสามารถสร้างความเสียหายได้มากพอ

ดังนั้นในขณะที่ทำให้สิ่งต่าง ๆ ยากขึ้น แต่ก็ไม่ปลอดภัย 100% แต่จะยังคงปกป้องคุณจากมัลแวร์ส่วนใหญ่ในปัจจุบัน

— Peter Hahndorf
แหล่งที่มา

0

คุณสามารถค้นหาในโฟลเดอร์เหล่านั้น แต่ส่วนใหญ่เป็นข้อมูลซึ่งเป็นชื่อโฟลเดอร์ ตัวอย่างเช่นคุณจะเห็นโครเมี่ยม แต่ปฏิบัติการจริงอยู่ในโฟลเดอร์ c: \ programs

ฉันบล็อกสิ่งที่เรียกใช้งานทั้งหมดไม่ให้ทำงานที่ใดก็ได้บนคอมพิวเตอร์ยกเว้นโฟลเดอร์โปรแกรม อนุญาตเฉพาะชั่วคราวเมื่อฉันต้องการติดตั้งบางสิ่งและฉันไม่เคยมีปัญหาใด ๆ

— CooloutAC
แหล่งที่มา

-1

ฉันขอแนะนำให้ค้นหาไดเรกทอรีอย่างรวดเร็วเพื่อดูว่าคุณมีอะไรบ้างในแต่ละไดเรกทอรีในขณะนี้ หากไม่มีสิ่งใดดำเนินการจากพวกเขาให้ทำตามคำแนะนำในฟอรัม หากคุณเจอปัญหาในอนาคตเพียงแค่ประเมินทางเลือกของคุณ สิ่งเหล่านี้ส่วนใหญ่ไม่ควรมีแฟ้มที่ปฏิบัติการได้

— คริสโจนส์
แหล่งที่มา