如何阻止%APPDATA%中的所有可执行文件?
我读过CryptoLocker这是一个很好的策略:
C:\Users\User\AppData\Roaming\*\*.exe 但是这显然不能保护更深层的一层。
但是,如何阻止某人进入另一层,如C:\Users\User\AppData\Roaming\dir\dir\trojan.exe
是否有可能创build一个政策,阻止每个exe的数据无论多深?
你如何处理这些问题? 谢谢
按照Microsoft对GPO软件限制的指导:
http://technet.microsoft.com/en-us/library/bb457006.aspx
path规则
path规则可以指定程序的文件夹或全限定path。 当path规则指定一个文件夹时,它会匹配该文件夹中包含的任何程序以及子文件夹中包含的任何程序。 支持本地和UNCpath。
在path规则中使用环境variables。
path规则可以使用环境variables。 由于path规则是在客户端环境中进行评估的,因此使用环境variables(例如%WINDIR%)的能力允许规则适应特定用户的环境。
重要提示:环境variables不受访问控制列表(ACL)的保护。 如果用户可以启动命令提示符,他们可以重新定义一个环境variables到他们select的path。
在path规则中使用通配符。 path规则可以包含“?” 和“*”通配符,允许诸如“* .vbs”的规则匹配所有VisualBasic®脚本文件。 一些例子:
•“\\ DC – ?? \ login $”匹配\\ DC-01 \ login $,\\ DC-02 \ login $
•“* \ Windows”匹配C:\ Windows,D:\ Windows,E:\ Windows
•“c:\ win *”匹配c:\ winnt,c:\ windows,c:\ windir
因此,由于用户可以重新定义%APPDATA%指向的位置,请考虑在path规则中使用APPDATA环境variables,而不是实际的完全限定的文件系统path。
更多文档:
以下示例显示了将环境variables应用于path规则的实例:
•“%UserProfile%”与C:\ Documents and Settings \ User以及此目录下的所有子文件夹相匹配。
•“%ProgramFiles%\ Application”与C:\ Program Files \ Application及该目录下的所有子文件夹相匹配。
刚刚testing过这个。 即使在使用%APPDATA%而不是直接系统path时,除非您为每个子文件夹(/ asterix /,/ asterix / asterix /,/ asterix / asterix / asterix /)制定规则等等,它将继续,当它超过你定义的深度时,windows将停止强制执行。
我通过将一个自包含的自动点击器放入AppData /漫游目录,然后通过添加一个文件夹并将其更深入地移到文件结构中来testing它。 按照“本地安全策略”中的定义,深度超过3级后,Windows允许自动点击器运行。