Блокировка вирусов и шифровальщиков с помощью Software Restriction Policies | Windows для системных администраторов

Блокировка вирусов и шифровальщиков с помощью Software Restriction Policies

Продолжаем цикл статей о противодействии классу вирусов-шифровальщиков в корпоративной среде. В предыдущих частях мы рассмотрели  настройку защиты на файловых серверах с помощью FSRM и использования теневых снимков дисков для быстрого восстановления данных после атаки. Сегодня речь пойдет о способе предотвращения запуска исполняемых файлов вирусов-шифровальщиков (в том числе обычных вирусов и троянов) на ПК пользователей.

Помимо антивируса, еще одним барьером для предотвращения запуска вредоносного ПО на компьютерах пользователей могут быть политики ограниченного использования программ. В среде Windows это могут быть технология Software Restriction Policies  или AppLocker. Мы рассмотрим пример использования Software Restriction Policies   для защиты от вирусов.

Software Restriction Policies (SRP) предоставляют возможность разрешать или запрещать запуск исполняемых файлов с помощью локальной или доменной групповой политики.  Метод защиты от вирусов и шифровальщиков с помощью SRP предполагает запрет запуска файлов из определенных каталогов в пользовательском окружении, в которые, как правило, попадают файлы или архивы с вирусом. В подавляющем большинстве случаев файлы с вирусом, полученные из интернета или из электронный почты оказываются внутри каталога %APPDATA% профиля пользователя (в нем же находится папки %Temp% и Temporary Internet Files). В этом же каталоге хранятся распакованные временные копии архивов, когда пользователь не глядя открывает архив полученный по почте или скачанный с интернета.

При настройке SRP могут быть использованы две стратегии:

  • Разрешить запуск исполняемых файлов на компьютере только из определенных папок (как правило, это каталоги %Windir% и Program Files / Program Files x86) – это самый надежный метод, но требует длительного периода отладки и выявления нужного ПО, которое не работает в такой конфигурации
  • Запрет запуска исполняемых файлов из пользовательских каталогов, в которых в принципе не должно быть исполняемых файлов. Именно в этих каталогах в большинстве случаев оказываются файлы вируса при появлении на компьютере. Кроме того, у пользователя, не обладающего правами администратора, просто отсутствуют права на запись в каталоги системы кроме своих собственных. Поэтому вирус просто не сможет поместить свое тело куда-либо кроме директорий в профиле пользователя.

Мы рассмотрим создание SRP по второму варианту, как достаточно надежному и менее трудоемкому во внедрении.  Итак, создадим политику, блокирующую запуск файлов по определенным путям. На локальном компьютере это можно сделать с помощью консоли gpedit.msc, если политика должна использоваться в домене, нужно в консоли Group Policy Management  (gpmc.msc) создать новую политику и назначить ее на OU с компьютерами пользователей.

Примечание. Настоятельно рекомендуем перед внедрением SRP политик, протестировать их работу на группе тестовых компьютерах. В случае обнаружения легитимных программ, которые не запускаются из-за SRP, нужно добавить отдельные разрешительные правила.

В консоли редактора GPO перейдите в раздел Computer Configuration -> Windows Settings -> Security Settings . Щелкните ПКМ по Software Restriction Policies и выберите New Software Restriction Policies.

Настройка Software Restriction Policies с помощью GPOВыберите раздел Additional Rules, и создайте новое правило New Path Rule.

Новое SRP правило для пути Создадим правило, запрещающее запуск исполняемых файлов с расширением *.exe из каталога %AppData%. Укажите следующие параметры правила:

  • Path: %AppData%\*.exe
  • Security Level: Disallowed
  • Description: Блокировка запуска exe файлов из папки %AppData%

Блокировка запуска exe файлов из каталога AppDataАналогичным образом нужно создать запрещающие правила для путей, перечисленных в таблице. Т.к. переменные окружения и пути  в Windows 2003/XP и Windows Vista/выше отличаются, в таблице указаны значения для соответствующих версий ОС. Если у вас в домене еще остались Windows 2003/XP, для них лучше создать отдельную политики и назначить ее на OU с компьютерами с использованием WMI фильтра GPO по типу ОС.

Описание Windows XP и 2003 Windows Vista/7/8/10, Windows Server 2008/2012
Запрет запуска файлов из %LocalAppData% %UserProfile%Local Settings*.exe %LocalAppData%\*.exe
Запрет запуска файлов из вложенных каталогов %AppData%: %AppData%\*\*.exe %AppData%\*\*.exe
Запрет запуска файлов из вложенных каталогов %LocalAppData% %UserProfile%\Local Settings\*\*.exe %LocalAppData%\*\*.exe
Запрет запуска exe файлов из архивов, открытых с помощью WinRAR  %UserProfile%\Local Settings\Temp\Rar*\*.exe %LocalAppData%\Temp\Rar*\*.exe
Запрет запуска exe файлов из архивов, открытых с помощью 7zip  %UserProfile%\Local Settings\Temp\7z*\*.exe %LocalAppData%\Temp\7z*\*.exe
Запрет запуска exe файлов из архивов, открытых с помощью WinZip  %UserProfile%\Local Settings\Temp\wz*\*.exe %LocalAppData%\Temp\wz*\*.exe
Запрет запуска exe файлов из архивов, открытых с помощью встроенного архиватора Windows %UserProfile%\Local Settings\Temp\*.zip\*.exe %LocalAppData%\Temp\*.zip\*.exe
Запрет запуска exe файлов из каталога  %temp% %Temp%\*.exe %Temp%\*.exe
Запрет запуска exe  файлов из вложенных каталогов  %temp% %Temp%\*\*.exe %Temp%\*\*.exe
Опционально. Запрет запуска exe фалов из любых каталогов в профиле пользователя .

Важно. с эти правилом нужно быть внимательным, т.к. некоторое ПО, например плагины браузеров, установщики – хранят свои исполняемые файлы в профиле. Для таких программ нужно будет сделать правило исключения SRP
%UserProfile%\*\*.exe UserProfile%\*\*.exe

Вы можете добавить собственные каталоги. В нашем примере получился примерно такой список запрещающих правил SRP.

Список блокирующих правил SRP

Как правило, также следует запретить запуск других расширений потенциально опасных файлов (*.bat,*.vbs, *.js, *.wsh  и т.п.), ведь вредоносный код может находиться не только в *.exe файлах. Для этого нужно изменить пути в правилах SPR , удалив вхождения *.exe. Таким образом, будет запрещен запуск всех исполняемых файлов и файлов сценариев в указанных каталогах. Список «опасных» расширений файлов задается в параметрах политики SRP в разделе Designated File Types. Как вы видите, в нем уже есть предустановленный список расширений исполняемых файлов и скриптов. Можете добавить или удалить определенные расширения.

Designated File Types Осталось проверить действие политики Software Restriction Policies на клиентском компьютере. Для этого обновите политики командой gpupdate /force и попробуйте запустить исполняемый *.exe файл из любого из указанных каталогов. Должно появиться сообщение об ошибке:

Your system administrator has blocked this program. For more info, contact your system administrator.

Your system administrator has blocked this program. For more info, contact your system administrator.

Попытки запуска исполняемых файлов из защищенных каталогов, которые были блокированы политиками SRP можно отслеживать с помощью журнала событий Windows.  Интересующие нас события находятся в разделе Application, и имеют Event ID 866, с источником SoftwareRestrictionPolicies и примерно таким текстом:

Access to C:\Users\root\AppData\Local\Temp\71E88B1F-3073-436E-A3D8-D577E72DA049\dismhost.exe has been restricted by your Administrator by location with policy rule {31f4dcb9-d39b-4df3-b682-1b83892c6db4} placed on path C:\Users\root\AppData\Local\Temp\*\*.exe.

Access to exe as been restricted by your Administrator by location with policy rule

Совет. В том случае, если политика мешает запуску нужного доверенного приложения, можно добавить это файл в исключения политики (создав новое правило, указывающее на этот *.exe файл со значением Unrestricted).

Итак, мы показали общий пример техники использования политики ограниченного использования программ (SRP или Applocker) для блокировки вирусов, шифровальщиков и троянов на  компьютерах пользователей. Рассматриваемая методик позволяет существенно усилить степень защиты систем от запуска вредоносного кода пользователями.

Еще записи по теме: Group Policy
Понравилась статья? Скажи спасибо и расскажи друзьям!
Назад:
Вперед:

Комментариев: 12

Оставить комментарий
  1. Alex Kornev | 27.10.2016

    Угу. Все красиво.
    А нет ли способа заполнить/добавить Additional Rules более эффективно чем тупым тыканием мышки в GUI gpedit.msc ? Импорт/экспорт, средство редактирования .pol ?

    Ответить
    • 123 | 31.10.2016

      можно, но админы так не делают, админ должен знать все применяемые правила чтобы потом не искать в куче экспортированных чужих наборов правил причину неработоспособности системы в целом

      Ответить
      • Alex Kornev | 31.10.2016

        И в чем противоречие? Да, я хочу сам заполнить правила, но … я против тупого «кликанья мышкой» и copy-paste одних и тех же строк с незначительными изменениями (другое расширение, в данном случае).

        Ответить
    • itpro | 08.11.2016

      На самом деле хороший вопрос. Средств для импорта/экспорта нет. Теоретически на локальной машине все правила хранятся в реестре HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\safer, но у каждого правила есть уникальный ID. И как потом их перенести в домен — не понятно.
      Наверно вместо SRP стоит переключится на Applocker, он также умеет блокировать запуск исполняемых файлов по пути, но в отличии от SRP поддерживает экспорт/импорт настроек.

      Ответить
      • Alex Kornev | 08.11.2016

        Попробовал выяснить можно ли через PowerShell … и тут облом. Средства для работы с GPO есть, но крайне ограниченные.
        В частности так и не нашел даже того, что можно хоть как-то «притянуть за уши» к набивке SRP.

        Ответить
  2. akimov | 30.10.2016

    а про CryptoPrevent что нить можете рассказать?

    Ответить
    • itpro | 11.11.2016

      Судя по описанию CryptoPrevent является по сути надстройкой над той же самой SRP политикой ограничения использования программ Windows + какой-то функционал антивируса с обновлением сигнатур из некой базы

      Ответить
      • Alex | 11.11.2016

        Более того, завялено, что он меняет локальные политики (если компьютер не доменны), а на самом деле работает как «вещь в себе». Установил на тестовую машинку, прогнал его настройки, в политиках … ничего не поменялось. В реестр не полез, лень было. Автор вопрос об этом, ответил так:

        Alex
        ― Ноябрь 2, 2016 — 7:43 дп

        Прочитал, что CryptoPrevent работает с политиками.
        Поставил для теста на виртуалку с 7-кой. Применил все по Default.
        Затем запустил gpedit.msc и … в Software Restriction Policies не нашел ничего. Как-то странно…

        Валерий
        ― Ноябрь 2, 2016 — 7:04 пп

        Alex, программа работает. Пример блокировки da-vinchi-code вируса, приведен в статье. После включения блокировки просканируйте компьютер программой FRST, она все покажет.

        Ответить
        • itpro | 11.11.2016

          Возможно она работает через AppLocker, либо еще есть такая штука — множественные локальные политики (MLGPO — Multiple Local Group Policy Objects), когда на одном компьютере для разных учетных записей и групп можно создавать собственные локальные политики.

          Ответить
          • Alex Kornev | 11.11.2016

            Возможно. Будет не лень, снова подниму еще раз виртуалку и проверю. Старую тестовую грохнул уже :-)

            Ответить
  3. Maks | 22.11.2016

    Tckb elfkbnm вхождения *.exe, то у пользователей перестает запускаться IE и проводник, которые на панели задач, при этом ссылки на ворд, эксель — работают.
    Как добавить в исключения?, а то не получилось че-то с ходу, добавил путь к ярлыку\Проводник. lnk и не захотел все равно работать.

    Ответить
  4. Антон | 22.11.2016

    Попробуй создать разрешительные правила для путей %LocalAppData%\Roaming\Microsoft\Internet Explorer\Quick Launch и
    %LocalAppData%\Roaming\Microsoft\Windows\Start Menu

    Ответить
Полные правила комментирования на сайте winitpro.ru. Вопросы, не связанные с содержимым статьи или ее обсуждением удаляются.

Сказать Спасибо! можно на этой странице или (еще лучше) поделиться с друзями ссылкой на понравившуюся статью в любимой социальной сети(специально для этого на сайте присуствуют кнопки популярных соц. сетей).

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Я не робот( Обязательно отметьте)



MAXCACHE: 0.27MB/0.00133 sec