pok*_*oke 13 security windows malware
在研究防止CryptoLocker 的方法时,我看到一个论坛帖子建议使用组策略对象(GPO) 和/或防病毒软件来阻止以下位置的运行访问:
显然,在论坛上写的任何东西都应该谨慎对待。不过,我确实看到这样做的好处,主要是因为恶意软件喜欢在这些位置之外执行。当然,这也会影响合法程序。
阻止对这些位置的运行访问有哪些缺点?
有哪些优势?
Rob*_*oir 12
恶意软件喜欢从这些位置执行的原因是合法软件喜欢从这些位置执行。它们是用户帐户应该具有某种级别访问权限的区域。
基于我自己系统的快速 grep 和我们网络上的随机最终用户帐户:
Run Code Online (Sandbox Code Playgroud)%appdata%
现在,我在这个文件夹中有Dropbox、Adobe AIR的安装程序和一些 Microsoft Office 零碎的东西。
Run Code Online (Sandbox Code Playgroud)%localappdata%
join.me 和SkyDrive似乎住在这里,或者至少最近开车过来。
Run Code Online (Sandbox Code Playgroud)%temp%
许多程序,无论是合法的还是其他的,都希望从这个文件夹中执行。当您setup.exe在压缩的安装程序存档上运行时,安装程序通常会将自己解压到此子文件夹中。
%用户资料%
除非用户有特殊要求,否则它通常是安全的,但请注意,上述文件夹中的至少一些可能是具有漫游配置文件的网络上的子集。
压缩档案
不要直接运行代码,而是通常%temp%从那里提取并运行。
至于您是否应该屏蔽这些区域,这取决于您的用户通常在做什么。如果他们需要做的只是编辑 Office 文档、在午餐时玩扫雷游戏,或者通过浏览器访问LOB应用程序等,那么您至少可以在这些文件夹中的某些文件夹中阻止可执行文件。
显然,相同的方法不适用于工作负载定义不太明确的人。
优点:
试图从这些位置执行的恶意软件将无法运行。
缺点:
试图从这些位置执行的合法程序将无法运行。
至于您的环境中哪些合法程序需要在这些目录中执行权限,只有您可以说,但我看到RobM 刚刚发布了一个带有高级概述的答案。阻止这些目录的执行会给您带来问题,因此您需要先进行一些测试以确定您将遇到哪些问题,以及您需要如何解决这些问题。
| 归档时间: |
|
| 查看次数: |
19125 次 |
| 最近记录: |