DOE AGORA Qualquer valor

Como bloquear vírus e Ransomware usando políticas de restrição de software

Como bloquear vírus e Ransomware usando políticas de restrição de software

Prosseguimos com a série de artigos sobre contra-estratégias para vírus e malwares de criptografia (Ransomware, CryptoLocker, etc.) no ambiente corporativo. Anteriormente, consideramos como configurar a proteção do servidor de arquivos do Windows usando FSRM e restaurar arquivos criptografados a partir de instantâneos VSS após a infecção . Hoje falamos sobre como bloquear os   executáveis ​​do ransomware (incluindo vírus comuns e trojans) de execução em PCs de usuários.
Além do software antivírus, outra barreira para impedir que o malware seja executado em computadores do usuário. No ambiente Windows pode ser Políticas de Restrição de Software (SRP) ou AppLocker. Consideraremos o exemplo de usar as Políticas de Restrição de Software para bloquear vírus e malwares.
Políticas de restrição de software (SRP) fornece a capacidade de permitir ou proibir o lançamento de arquivos executáveis ​​usando uma diretiva de grupo local ou de domínio. Os métodos de proteção contra vírus ou ransomware usando SRP sugerem proibir a execução de arquivos de diretórios específicos no ambiente do usuário, para o qual os arquivos ou arquivos de malware geralmente recebem. Na maioria dos casos, os arquivos que contêm um vírus são obtidos da Internet ou do e-mail e guardados no diretório % APPDATA% no perfil do usuário (as pastas % Temp% e Temporary Internet Files também estão localizadas aqui). As cópias temporárias de arquivos descompactados também são armazenadas neste diretório, quando um usuário sem pensar muito desembala um arquivo recebido por e-mail ou baixado da Internet.
Quando você configura SRP, duas estratégias podem ser usadas
  • Permitir executar executáveis ​​apenas a partir de determinadas pastas (como regra, estas são% Windir% e Arquivos de Programas / Arquivos de Programas x86) - este é o método mais confiável, mas requer um longo tempo de depuração para detectar o software que não funciona Esta configuração
  • Impedir que os executáveis ​​nos diretórios de usuários sejam executados - basicamente, esses diretórios não devem ter nenhum executável. No entanto, estas são as pastas em que os arquivos de vírus geralmente se localizam em um computador. Além disso, um usuário sem privilégios de administrador simplesmente não tem direitos para escrever em diretórios do sistema que não sejam os seus. Assim, um vírus não poderá colocar seu corpo em outro lugar além do diretório no perfil do usuário
Consideraremos a criação de SRP usando a segunda estratégia como bastante confiável e menos demorado ao implementá-la. Então, vamos criar uma política que bloqueie a execução de arquivos em locais específicos. Em um computador local, você pode fazê-lo usando o console gpedit.msc e, se a política for usada em um domínio, crie uma nova política no Gerenciamento de Diretiva de Grupo (gpmc.msc) e ligue-a para a OU contendo computadores do usuário.
Note . Recomendamos encarecidamente testar políticas de SRP em um grupo de computadores de teste antes de implementá-los. Se alguns programas legítimos não começam devido a SRP, você terá que adicionar algumas regras permissivas.
No Editor de GPO, vá para Configuração do Computador -> Configurações do Windows -> Configurações de Segurança . Clique com o botão direito do mouse em Políticas de Restrição de Software e selecione Novas Políticas de Restrição de Software .
GPO - Nova Política de Restrição de Software
Selecione Regras Adicionais e crie uma nova regra usando a Regra do Novo Caminho .
Crie uma regra que impeça a execução de executáveis ​​* .exe na pasta% AppData%. Especifique os seguintes parâmetros de regras:
  • Caminho :% AppData% \ *. Exe
  • Nível de Segurança : Não permitido
  • Descrição : Não permita execução executável de% AppData%
Política SRP para pasta appdata
Da mesma forma, você deve criar as regras de negação para os caminhos listados na tabela abaixo. Uma vez que variáveis ​​e caminhos de ambiente no Windows 2003 / XP e Windows Vista ou superiores diferem, a tabela fornece valores para as versões correspondentes do sistema operacional. Se você ainda tiver o Windows 2003 / XP em seu domínio, é melhor criar uma política separada para eles e atribuí-lo à OU contendo esses computadores usando o filtro GPO WMI pelo tipo de sistema operacional.
DescriçãoWindows XP e 2003Windows Vista / 7/8/10, Windows Server 2008/2012
Não permita que executáveis ​​sejam executados a partir de% LocalAppData%% UserProfile% Local Settings * .exe% LocalAppData% \ *. Exe
Não permita executáveis ​​de% AppData% subpastas% AppData% \ * \ *. Exe% AppData% \ * \ *. Exe
Não permita que executáveis ​​sejam executados a partir de% LocalAppData% subpastas% UserProfile% \ Configurações locais \ * \ *. Exe% LocalAppData% \ * \ *. Exe
Bloquear executáveis ​​executados a partir de anexos de arquivo abertos com o WinRAR% UserProfile% \ Configurações locais \ Temp \ Rar * \ *. Exe% LocalAppData% \ Temp \ Rar * \ *. Exe
Bloquear executáveis ​​executados a partir de anexos de arquivo abertos com 7zip% UserProfile% \ Configurações locais \ Temp \ 7z * \ *. Exe% LocalAppData% \ Temp \ 7z * \ *. Exe
Bloquear executáveis ​​executados a partir de anexos de arquivo abertos com o WinZip% UserProfile% \ Local Settings \ Temp \ wz * \ *. Exe% LocalAppData% \ Temp \ wz * \ *. Exe
Os executáveis ​​de blocos são executados a partir de anexos de arquivo abertos usando o suporte Zip incorporado do Windows% UserProfile% \ Configurações locais \ Temp \ *. Zip \ *. Exe% LocalAppData% \ Temp \ *. Zip \ *. Exe
Não permita que executáveis ​​sejam executados a partir de% temp%% Temp% \ *. Exe% Temp% \ *. Exe
Não permita que os executáveis ​​sejam executados a partir de subpastas% temp%% Temp% \ * \ *. Exe% Temp% \ * \ *. Exe
Opcional . Não permita que executáveis ​​sejam executados a partir de qualquer diretório no perfil do usuário.
Importante . Tenha cuidado com esta regra, uma vez que alguns softwares, como plugins de navegador, instaladores, armazenam seus executáveis ​​no perfil do usuário. Crie regras de exceção SRP para esses aplicativos
% UserProfile% \ * \ *. ExeUserProfile% \ * \ *. Exe
Você também pode adicionar seus próprios diretórios. No nosso caso, temos a seguinte lista de regras SRP preventivas.
Lista de regras srp
Como regra, você deve evitar que outros arquivos potencialmente perigosos (* .bat, *. Vbs, * .js, * .wsh, etc.) sejam executados, uma vez que não apenas os arquivos * .exe podem conter códigos mal-intencionados. Para fazê-lo, altere os caminhos nas regras SRP, excluindo ocorrências * .exe. Assim, você impedirá que todos os executáveis ​​e arquivos de cenários desses diretórios sejam executados. A lista de extensões de arquivo "perigosas" é especificada nos parâmetros da política SRP na seção Tipos de arquivos designados . Como você pode ver, existe uma lista predefinida de extensões executáveis ​​e de script. Você pode adicionar ou excluir extensões específicas.
Você só precisa se certificar de se as Políticas de Restrição de Software funcionam em um computador cliente. Para fazê-lo, atualize as políticas usando o comando gpupdate / force e tente executar um executável * .exe de qualquer uma das pastas especificadas. A seguinte mensagem de erro deve aparecer:
O administrador do sistema bloqueou este programa. Para mais informações, entre em contato com o administrador do sistema.
O administrador do sistema bloqueou este programa.  Para mais informações, entre em contato com o administrador do sistema.
As tentativas de executar executáveis ​​a partir das pastas protegidas bloqueadas por políticas SRP podem ser rastreadas usando o Registro de Eventos do Windows. Os eventos podem ser encontrados na seção Aplicação com Event ID 866SoftwareRestrictionPolicies como fonte, o texto é semelhante ao seguinte:
O acesso a C: \ Users \ root \ AppData \ Local \ Temp \ 71EBBB1F-3073-436E-A3DB-D577172DA029 \ dismhost.exe foi restrito pelo Administrador por local com a regra de política {31f4bdb9-d39b-4bf3-d628-1b83892c6bd2} Colocado no caminho C: \ Users \ admin \ AppData \ Local \ Temp \ * \ *. Exe.
EventID 866 SoftwareRestrictionPolicies
Dica . Se a política impede a execução de um aplicativo confiável, você pode adicionar este arquivo às exceções de política (e criar uma nova regra especificando este arquivo * .exe com o valor Sem restrições).
Então, mostramos um exemplo geral de técnica de política de restrição de software (SRP ou Applocker) para bloquear vírus, malware de criptografia ou trojans em computadores de usuários. A técnica descrita permite aumentar significativamente o nível de proteção do sistema de executar códigos maliciosos por usuários comuns.

Comentários

Ebook

Postagens mais visitadas