如何使用软件限制策略阻止病毒和勒索软件
在企业环境。前面我们考虑了如何使用FSRM配置Windows文件服务器保护,以及在感染后从VSS快照恢复加密文件。今天我们将讨论如何阻止勒索软件的可执行文件(包括常见的病毒和木马)在用户PC上运行。
除了防病毒软件,防止恶意软件在用户计算机上运行的另一道屏障。在Windows环境中可以是软件限制策略(SRP)或者AppLocker。我们将考虑使用软件限制策略来阻止病毒和恶意软件的示例。
软件限制策略(SRP)允许或者禁止使用本地或者域组策略启动可执行文件。使用SRP防止病毒或者勒索软件的方法建议禁止运行用户环境中特定目录中的文件,恶意软件文件或者档案通常会到达这些目录。大多数情况下,包含病毒的文件是从互联网或者电子邮件中获取的,并保存到用户配置文件中的 **%APPDATA%”目录下(此处还包含 %Temp%和 Internet临时文件文件夹)。当用户不假思索地打开通过电子邮件收到或者从互联网下载的档案时,未经包装的档案的临时副本也存储在该目录中。
配置SRP时,可以使用两种策略
只允许运行某些文件夹中的可执行文件(通常是%Windir%和Program Files/Program Files x86)-这是最可靠的方法,但它需要很长的调试时间来检测在此配置中不工作的软件
防止用户目录中的可执行文件运行-基本上,这些目录不应该有任何可执行文件。然而,这些是病毒文件通常位于计算机上的文件夹。此外,没有管理员权限的用户除了自己的目录外,根本没有写入系统目录的权限。因此,病毒将无法将其主体放在用户配置文件中的目录之外的任何位置
我们将考虑使用第二种策略来创建SRP,因为它非常可靠,并且在实现它的同时减少了时间消耗。因此,让我们创建一个策略来阻止从特定位置运行文件。在本地计算机上,可以使用gpedit.msc如果策略将在域中使用,请在组策略管理中创建新策略(gpmc.msc)用户和包含OU的计算机的链接。
注意。我们强烈建议在实现SRP策略之前在一组测试计算机中测试它们。如果某些合法程序由于SRP而无法启动,则必须添加一些许可规则。
在GPO编辑器中,转到计算机配置->Windows设置->安全设置。右键单击“软件限制策略”,然后选择“新建软件限制策略”。
同样,您必须为下表中列出的路径创建拒绝规则。由于Windows 2003/XP和Windows Vistaor更高版本中的环境变量和路径不同,因此该表提供了相应操作系统版本的值。如果您的域中仍有Windows 2003/XP,则最好为它们创建单独的策略,并使用GPO WMI筛选器按操作系统的类型将其分配给包含这些计算机的OU。
说明 | Windows XP和2003 | Windows Vista/7/8/10、Windows Server 2008/2012 |
---|---|---|
不允许从%LocalAppData% | %UserProfile%Local Settings*.exe | %LocalAppData%*.exe运行可执行文件 |
不允许来自%AppData%子文件夹 | %AppData%**.exe | %AppData%**.exe的可执行文件 |
不允许从%LocalAppData%子文件夹 | %UserProfile%\Local Settings**.exe | %LocalAppData%**.exe运行可执行文件 |
块可执行文件从用WinRAR | %UserProfile%\Local Settings\Temp\Rar**.exe | %LocalAppData%\Temp\Rar**.exe打开的存档附件运行 |
块可执行文件从使用7zip | %UserProfile%\Local Settings\Temp\7z**.exe | %LocalAppData%\Temp\7z**.exe打开的存档附件运行 |
块可执行文件从用WinZip | %UserProfile%\Local Settings\Temp\wz**.exe | %LocalAppData%\Temp\wz**.exe打开的存档附件运行 |
块可执行文件从使用Windows内置Zip支持打开的存档附件运行 | %UserProfile%\Local Settings\Temp*.Zip*.exe | %LocalAppData%\Temp*.Zip*.exe |
不允许从%temp% | %temp%*.exe | %temp%*.exe运行可执行文件 |
不允许从%temp%子文件夹 | %temp%**.exe | %temp%**.exe运行可执行文件 |
可选。不允许从用户配置文件中的任何目录运行可执行文件。重要。注意这个规则,因为有些软件,如浏览器插件、安装程序,会将其可执行文件存储在用户配置文件中。为这些应用程序创建SRP异常规则 |
您还可以添加自己的目录。在我们的例子中,我们得到了以下预防性SRP规则列表。
可以使用Windows事件日志跟踪从SRP策略阻止的受保护文件夹运行可执行文件的尝试。事件可以在应用程序部分中找到,事件ID 866和SoftwareRestrictionPolicys作为源,文本类似于以下内容:
访问C:\Users\root\AppData\Local\Temp\71EBBB1F-3073-436E-A3DB-D577172DA029\dismhost.exe已被管理员按位置限制,策略规则{31f4bdb9-d39b-4bf3-d628-1b83892c6bd2}位于路径C:\Users\admin\AppData\Local\Temp**.exe。
如果策略阻止受信任的应用程序运行,则可以将此文件添加到策略异常中(并创建一个新规则,使用值Unrestricted指定此*.exe文件)。
因此,我们展示了一个软件限制策略技术(SRP或者Applocker)的一般示例,用于阻止用户计算机上的病毒、加密恶意软件或者特洛伊木马。所述技术允许显著提高系统保护级别,以防止普通用户运行恶意代码。