Was sind die Vor- / Nachteile, wenn ein Programm daran gehindert wird, in% appdata%,% temp% usw. ausgeführt zu werden?

13

Als ich nach Möglichkeiten suchte , CryptoLocker zu verhindern , sah ich einen Forumsbeitrag, in dem empfohlen wurde, Gruppenrichtlinienobjekte ( Group Policy Objects, GPO) und / oder Antivirensoftware zu verwenden, um den Ausführungszugriff an den folgenden Stellen zu blockieren:

  1. %Anwendungsdaten%
  2. % localappdata%
  3. % temp%
  4. %Benutzerprofil%
  5. Komprimierte Archive

Offensichtlich sollte alles, was in einem Forum geschrieben wurde, mit Vorsicht betrachtet werden. Ich sehe jedoch Vorteile, wenn ich das mache, vor allem, weil Malware gerne von diesen Standorten aus ausgeführt wird. Dies könnte sich natürlich auch auf legitime Programme auswirken.

Was sind die Nachteile, wenn der Laufzugriff auf diese Speicherorte blockiert wird?

Was sind die Vorteile?

Sack
quelle
3
Of course, this could impact legitimate programs as well.- leicht ...
TheCleaner
1
GitHub hat sich beispielsweise selbst in% APPDATA% installiert. Als mein Sysadmin kürzlich die neuen Regeln durchgesetzt hat, um die Ausführung von ausführbaren Dateien von diesem Speicherort aus zu blockieren, konnte GitHub für Windows nicht mehr gestartet werden git.exe in% APPDATA%, die ursprünglich von GitHub installiert - ein bisschen ärgerlich, natürlich ...
Jim Raynor

Antworten:

12

Der Grund, warum Malware gerne von diesen Standorten ausgeführt wird, liegt darin, dass legitime Software gerne von diesen Standorten ausgeführt wird. Dies sind Bereiche, auf die das Benutzerkonto voraussichtlich Zugriff haben wird.

Basierend auf einem schnellen Überblick über mein eigenes System und einem zufälligen Endbenutzerkonto in unserem Netzwerk:

%appdata%

Im Moment habe ich Dropbox , das Installationsprogramm für Adobe AIR und ein paar Microsoft Office-Kleinigkeiten in diesem Ordner.

%localappdata%

join.me und SkyDrive scheinen hier zu leben oder zumindest vor kurzem durchgefahren zu sein.

%temp%

Viele legitime oder andere Programme möchten in diesem Ordner ausgeführt werden. Installer entpacken sich normalerweise in einen Unterordner dieses Ordners, wenn Sie setup.exeein komprimiertes Installer-Archiv ausführen .

%Benutzerprofil%

Dies ist in der Regel sicher, es sei denn, der Benutzer hat bestimmte Anforderungen. Beachten Sie jedoch, dass zumindest einige der oben genannten Ordner in einem Netzwerk mit servergespeicherten Profilen Teilmengen davon sein können.

Komprimierte Archive

Führen Sie Code nicht direkt aus, sondern extrahieren Sie ihn in der Regel nach %temp% und führen Sie ihn von dort aus.

Ob Sie diese Bereiche sperren oder nicht, hängt davon ab, was Ihre Benutzer normalerweise tun. Wenn sie nur Office-Dokumente bearbeiten müssen, spielen Sie Minesweeper während des Mittagessens und greifen Sie möglicherweise auf ein LOB zu über einen Browser usw. App zugreifen müssen, haben Sie möglicherweise nicht allzu viele Probleme, ausführbare Dateien in mindestens einigen dieser Ordner zu blockieren.

Offensichtlich funktioniert der gleiche Ansatz nicht bei Personen mit weniger genau definierten Arbeitslasten.

Rob Moir
quelle
Chrome lebt auch in%appdata%
Juri Robl
5
@JuriRobl nur die Consumer-Version, die Business-Version von Chrome verhält sich viel besser.
GAThrawn
@JuriRobl - Chrome befindet sich auf meinem Arbeits-PC unter C: \ Programme (x86) \ Google \ Chrome \ Application. Die Business-Version wie GAThrawn sagt. Außerdem habe ich versucht, Beispiele zu geben, die auf meinem System basieren, und keine erschöpfende Liste zu erstellen.
Rob Moir
6

Vorteile:

Malware, die versucht, von diesen Standorten auszuführen, kann nicht ausgeführt werden.

Nachteile:

Legitime Programme, die versuchen, von diesen Speicherorten aus auszuführen, können nicht ausgeführt werden.


Was legitime Programme in Ihrer Umgebung betrifft, die Ausführungsrechte in diesen Verzeichnissen benötigen, können nur Sie sagen, aber ich sehe, dass RobM gerade eine Antwort mit einer allgemeinen Übersicht gepostet hat . Wenn Sie die Ausführung dieser Verzeichnisse blockieren, treten Probleme auf. Daher müssen Sie zunächst einige Tests durchführen, um festzustellen, welche Probleme auftreten und wie Sie sie umgehen müssen.

HopelessN00b
quelle
3

Diese Empfehlungen würden in meiner Umgebung perfekt funktionieren. KEINE Benutzer dürfen Software installieren, und KEINE der genehmigten Software wird an den genannten Orten ausgeführt. Auf den Workstations ist die genehmigte Software auf dem Workstation-Image vorinstalliert und wird per Skript aktualisiert.

Dropbox, Chrome, Skype usw. können während der Installation an einen akzeptableren Installationsort für "Programme" verschoben werden.

Solange Sie Administrator- oder Domain-Administratoren (und möglicherweise einem bestimmten "Installer" -Konto) erlauben, Updates auszuführen und genehmigte Software hinzuzufügen, stimme ich den Empfehlungen zu.

Alderin
quelle
2

Ich gehe davon aus, dass Sie das Ausführungsrecht nicht nur für diese Ordner verweigern möchten, sondern für den gesamten Baum, der von ihnen ausgeht (andernfalls macht es keinen Sinn, das zu tun, was Sie tun möchten).

Die - offensichtliche - Konsequenz ist, dass alle darin befindlichen ausführbaren Dateien nicht ausgeführt werden können.

Leider wird dies eine ziemlich große Anzahl legitimer Anträge einschließen.

% localappdata% und% appdata% sind die problematischsten: Dropbox, Chrome und SkyDrive funktionieren beispielsweise nicht. Die meisten automatischen Uploader und viele Installer funktionieren auch nicht.

% UserProfile% ist noch schlimmer, da es sowohl% localappdata% und% appdata% als auch eine Reihe anderer Ordner enthält.

Kurz gesagt: Wenn Sie verhindern, dass Anwendungen in diesen Ordnern ausgeführt werden, kann Ihr System praktisch unbrauchbar werden.

% temp% ist anders. Es kann gelegentlich vorkommen, dass legitime Programme von dort ausgeführt werden, dies ist jedoch recht selten und in der Regel einfach zu umgehen. Leider wird% temp% in Abhängigkeit vom Benutzerkontext, aus dem Sie es erweitern, in verschiedene Ordner erweitert: Es kann in% localappdata% \ temp (im Kontext eines Benutzers) oder% SystemRoot% \ temp (im Kontext von enden Sie müssen also jeden Standort einzeln sichern.

% temp% ist auch ein guter Kandidat, da in den meisten Mail-Programmen Anhänge gespeichert werden, bevor sie geöffnet werden. Dies hilft in vielen Fällen von Mail-basierter Maleware.

Ein guter Trick besteht darin, die Voreinstellungen in den Ordnern C: \ Users \ Default \ AppData \ Local \ temp und C: \ Users \ DefaultAppPool \ AppData \ Local \ Temp zu ändern, wenn Sie das System einrichten (und natürlich% SystemRoot% \ temp). Windows kopiert diese Ordner, wenn neue Profile erstellt werden, sodass neue Benutzer eine gesicherte Umgebung haben.

Möglicherweise möchten Sie% UserProfile% \ Downloads zu Ihrer Liste hinzufügen: In diesem Fall stimmen die meisten Browser mit den heruntergeladenen Dateien des Benutzers überein, und die Ablehnung der Ausführung von dort erhöht auch die Sicherheit.

Stephane
quelle
2

In den letzten drei Monaten habe ich auf meiner Hauptarbeitsstation ein ähnliches Setup. Mein Hauptbenutzer hat entweder Ausführungsberechtigungen für ein Verzeichnis oder Schreibberechtigungen, aber niemals beides.

Dies bedeutet, dass von diesem Konto keine neuen ausführbaren Dateien eingeführt werden können. Das ist der Profi. Ich kann Programme ausführen, die bereits auf dem System vorhanden sind oder von anderen Konten installiert wurden, aber ich kann kein neues Programm herunterladen und ausführen. Dies bedeutet, dass Malware, die über einen Browser oder auf andere Weise eingeht, die Ausführung erheblich erschwert Auf meinem System funktioniert die einfache DLL-Injektion ebenfalls nicht.

Wie bereits erwähnt, besteht das Hauptproblem darin, dass legitime Software die von mir gesperrten Speicherorte verwendet. In meinem Fall:

  • Google Chrome - Ich habe die MSI-Version installiert
  • jede Portable Apps-Anwendung, die ich jetzt unter einem anderen Benutzer ausführe
  • Process Explorer - Ich verwende die extrahierte 64-Bit-Version direkt
  • dism.exe - laufe als admin, was ich sowieso die meiste Zeit machen muss.

Grundsätzlich verwende ich drei Konten, eines, mit dem ich angemeldet bin, ein anderes normales Benutzerkonto, um bestimmte validierte Programme als auszuführen, und ein Administratorkonto, um neue Software für die anderen beiden zu installieren.

Ich mag die Tatsache, dass es mich zwingt, neu heruntergeladene Software in einer VM zu testen.

Ich starte die meisten meiner Programme über PowerShell und habe drei Shells, eine für jeden Account ist in Ordnung für mich. Ob dies für Sie wirklich funktioniert, hängt davon ab, wie viel Software Sie verwenden, die unterschiedlich behandelt werden muss.

Auf einem Entwicklercomputer funktioniert dies nicht wirklich, da ich meinen Code kompilieren und dann ausführen muss. Daher habe ich eine Ausnahme für mein Codeverzeichnis auf einem Datenlaufwerk gemacht. Malware konnte alle Laufwerke scannen und dieses finden.

Ich verwende eher NTFS-ACLs als Richtlinien, um dies zu erzwingen. Das verhindert, dass Programme ausgeführt werden, aber ich kann immer noch ein PowerShell-Skript erstellen und das dann ausführen und es kann genug Schaden anrichten.

Obwohl dies die Dinge erschwert, ist es nicht 100% sicher, aber es schützt Sie dennoch vor der meisten aktuellen Malware.

Peter Hahndorf
quelle
0

Sie können in diesen Ordnern nachsehen, aber die meisten sind Daten, genau nach denen der Ordner benannt ist. Zum Beispiel sehen Sie Chrome, aber die eigentliche ausführbare Datei befindet sich im Ordner c: \ programs.

Ich verhindere, dass alle ausführbaren Dateien auf dem Computer ausgeführt werden können, mit Ausnahme der Programmordner. Nur vorübergehend erlaubt, wenn ich etwas installieren muss und ich noch nie Probleme hatte.

CooloutAC
quelle
-1

Ich empfehle eine schnelle Suche in den Verzeichnissen, um zu sehen, was Sie aktuell in jedem von ihnen haben. Wenn von ihnen jetzt nichts ausgeführt wird, befolgen Sie die Anleitungen im Forum. Sollten Sie in Zukunft auf ein Problem stoßen, prüfen Sie einfach Ihre Optionen. Die meisten davon sollten sowieso keine ausführbaren Dateien enthalten.

Chris Jones
quelle