Como bloquear vírus e Ransomware usando políticas de restrição de software
Como bloquear vírus e Ransomware usando políticas de restrição de software
Prosseguimos com a série de artigos sobre contra-estratégias para vírus e malwares de criptografia (Ransomware, CryptoLocker, etc.) no ambiente corporativo. Anteriormente, consideramos como configurar a proteção do servidor de arquivos do Windows usando FSRM e restaurar arquivos criptografados a partir de instantâneos VSS após a infecção . Hoje falamos sobre como bloquear os executáveis do ransomware (incluindo vírus comuns e trojans) de execução em PCs de usuários.
Além do software antivírus, outra barreira para impedir que o malware seja executado em computadores do usuário. No ambiente Windows pode ser Políticas de Restrição de Software (SRP) ou AppLocker. Consideraremos o exemplo de usar as Políticas de Restrição de Software para bloquear vírus e malwares.
Políticas de restrição de software (SRP) fornece a capacidade de permitir ou proibir o lançamento de arquivos executáveis usando uma diretiva de grupo local ou de domínio. Os métodos de proteção contra vírus ou ransomware usando SRP sugerem proibir a execução de arquivos de diretórios específicos no ambiente do usuário, para o qual os arquivos ou arquivos de malware geralmente recebem. Na maioria dos casos, os arquivos que contêm um vírus são obtidos da Internet ou do e-mail e guardados no diretório % APPDATA% no perfil do usuário (as pastas % Temp% e Temporary Internet Files também estão localizadas aqui). As cópias temporárias de arquivos descompactados também são armazenadas neste diretório, quando um usuário sem pensar muito desembala um arquivo recebido por e-mail ou baixado da Internet.
Quando você configura SRP, duas estratégias podem ser usadas
- Permitir executar executáveis apenas a partir de determinadas pastas (como regra, estas são% Windir% e Arquivos de Programas / Arquivos de Programas x86) - este é o método mais confiável, mas requer um longo tempo de depuração para detectar o software que não funciona Esta configuração
- Impedir que os executáveis nos diretórios de usuários sejam executados - basicamente, esses diretórios não devem ter nenhum executável. No entanto, estas são as pastas em que os arquivos de vírus geralmente se localizam em um computador. Além disso, um usuário sem privilégios de administrador simplesmente não tem direitos para escrever em diretórios do sistema que não sejam os seus. Assim, um vírus não poderá colocar seu corpo em outro lugar além do diretório no perfil do usuário
Consideraremos a criação de SRP usando a segunda estratégia como bastante confiável e menos demorado ao implementá-la. Então, vamos criar uma política que bloqueie a execução de arquivos em locais específicos. Em um computador local, você pode fazê-lo usando o console gpedit.msc e, se a política for usada em um domínio, crie uma nova política no Gerenciamento de Diretiva de Grupo (gpmc.msc) e ligue-a para a OU contendo computadores do usuário.
No Editor de GPO, vá para Configuração do Computador -> Configurações do Windows -> Configurações de Segurança . Clique com o botão direito do mouse em Políticas de Restrição de Software e selecione Novas Políticas de Restrição de Software .
Selecione Regras Adicionais e crie uma nova regra usando a Regra do Novo Caminho .
Crie uma regra que impeça a execução de executáveis * .exe na pasta% AppData%. Especifique os seguintes parâmetros de regras:
- Caminho :% AppData% \ *. Exe
- Nível de Segurança : Não permitido
- Descrição : Não permita execução executável de% AppData%
Da mesma forma, você deve criar as regras de negação para os caminhos listados na tabela abaixo. Uma vez que variáveis e caminhos de ambiente no Windows 2003 / XP e Windows Vista ou superiores diferem, a tabela fornece valores para as versões correspondentes do sistema operacional. Se você ainda tiver o Windows 2003 / XP em seu domínio, é melhor criar uma política separada para eles e atribuí-lo à OU contendo esses computadores usando o filtro GPO WMI pelo tipo de sistema operacional.
| Descrição | Windows XP e 2003 | Windows Vista / 7/8/10, Windows Server 2008/2012 |
| Não permita que executáveis sejam executados a partir de% LocalAppData% | % UserProfile% Local Settings * .exe | % LocalAppData% \ *. Exe |
| Não permita executáveis de% AppData% subpastas | % AppData% \ * \ *. Exe | % AppData% \ * \ *. Exe |
| Não permita que executáveis sejam executados a partir de% LocalAppData% subpastas | % UserProfile% \ Configurações locais \ * \ *. Exe | % LocalAppData% \ * \ *. Exe |
| Bloquear executáveis executados a partir de anexos de arquivo abertos com o WinRAR | % UserProfile% \ Configurações locais \ Temp \ Rar * \ *. Exe | % LocalAppData% \ Temp \ Rar * \ *. Exe |
| Bloquear executáveis executados a partir de anexos de arquivo abertos com 7zip | % UserProfile% \ Configurações locais \ Temp \ 7z * \ *. Exe | % LocalAppData% \ Temp \ 7z * \ *. Exe |
| Bloquear executáveis executados a partir de anexos de arquivo abertos com o WinZip | % UserProfile% \ Local Settings \ Temp \ wz * \ *. Exe | % LocalAppData% \ Temp \ wz * \ *. Exe |
| Os executáveis de blocos são executados a partir de anexos de arquivo abertos usando o suporte Zip incorporado do Windows | % UserProfile% \ Configurações locais \ Temp \ *. Zip \ *. Exe | % LocalAppData% \ Temp \ *. Zip \ *. Exe |
| Não permita que executáveis sejam executados a partir de% temp% | % Temp% \ *. Exe | % Temp% \ *. Exe |
| Não permita que os executáveis sejam executados a partir de subpastas% temp% | % Temp% \ * \ *. Exe | % Temp% \ * \ *. Exe |
| Opcional . Não permita que executáveis sejam executados a partir de qualquer diretório no perfil do usuário. | % UserProfile% \ * \ *. Exe | UserProfile% \ * \ *. Exe |
Você também pode adicionar seus próprios diretórios. No nosso caso, temos a seguinte lista de regras SRP preventivas.
Como regra, você deve evitar que outros arquivos potencialmente perigosos (* .bat, *. Vbs, * .js, * .wsh, etc.) sejam executados, uma vez que não apenas os arquivos * .exe podem conter códigos mal-intencionados. Para fazê-lo, altere os caminhos nas regras SRP, excluindo ocorrências * .exe. Assim, você impedirá que todos os executáveis e arquivos de cenários desses diretórios sejam executados. A lista de extensões de arquivo "perigosas" é especificada nos parâmetros da política SRP na seção Tipos de arquivos designados . Como você pode ver, existe uma lista predefinida de extensões executáveis e de script. Você pode adicionar ou excluir extensões específicas.
Você só precisa se certificar de se as Políticas de Restrição de Software funcionam em um computador cliente. Para fazê-lo, atualize as políticas usando o comando gpupdate / force e tente executar um executável * .exe de qualquer uma das pastas especificadas. A seguinte mensagem de erro deve aparecer:
As tentativas de executar executáveis a partir das pastas protegidas bloqueadas por políticas SRP podem ser rastreadas usando o Registro de Eventos do Windows. Os eventos podem ser encontrados na seção Aplicação com Event ID 866e SoftwareRestrictionPolicies como fonte, o texto é semelhante ao seguinte:
O acesso a C: \ Users \ root \ AppData \ Local \ Temp \ 71EBBB1F-3073-436E-A3DB-D577172DA029 \ dismhost.exe foi restrito pelo Administrador por local com a regra de política {31f4bdb9-d39b-4bf3-d628-1b83892c6bd2} Colocado no caminho C: \ Users \ admin \ AppData \ Local \ Temp \ * \ *. Exe.
Então, mostramos um exemplo geral de técnica de política de restrição de software (SRP ou Applocker) para bloquear vírus, malware de criptografia ou trojans em computadores de usuários. A técnica descrita permite aumentar significativamente o nível de proteção do sistema de executar códigos maliciosos por usuários comuns.
Comentários
Postar um comentário