GPO: Запрет скриптов в папках профиля пользователя для защиты от шифровальщиков

GPO: Запрет скриптов в папках профиля пользователя для защиты от шифровальщиков

28.02.2019 Windows 4

Можно настроить на весь комп, но я настроил для юзеров. Заходим в управление групповой политики, создаём новую политику, проходим в Конфигурация пользователя/Политики/Конфигурация Windows/Параметры безопасности/Политики ограниченного использования. Правой кнопкой создаём новую политику и в Дополнительные правила прописываем следующие правила для параноиков)

Имя	Тип	Уровень безопасности	Описание	Дата последнего изменения
%AppData%\*.bat	Путь	Запрещено		27.02.2019  13:32:44
%AppData%\*.cmd	Путь	Запрещено		27.02.2019  13:37:17
%AppData%\*\*.bat	Путь	Запрещено		27.02.2019  13:32:35
%AppData%\*\*.cmd	Путь	Запрещено		27.02.2019  13:37:26
%LocalAppData%\*.bat	Путь	Запрещено		27.02.2019  13:33:09
%LocalAppData%\*.cmd	Путь	Запрещено		27.02.2019  13:37:38
%LocalAppData%\*\*.bat	Путь	Запрещено		27.02.2019  13:33:14
%LocalAppData%\*\*.cmd	Путь	Запрещено		27.02.2019  13:37:46
%LocalAppData%\Temp\*.zip\*.bat	Путь	Запрещено		27.02.2019  13:33:35
%LocalAppData%\Temp\*.zip\*.cmd	Путь	Запрещено		27.02.2019  13:37:54
%LocalAppData%\Temp\*.zip\*.exe	Путь	Запрещено		27.02.2019  13:54:02
%LocalAppData%\Temp\7z*\*.bat	Путь	Запрещено		27.02.2019  13:33:40
%LocalAppData%\Temp\7z*\*.cmd	Путь	Запрещено		27.02.2019  13:38:02
%LocalAppData%\Temp\7z*\*.exe	Путь	Запрещено		27.02.2019  13:54:12
%LocalAppData%\Temp\Rar*\*.bat	Путь	Запрещено		27.02.2019  13:33:45
%LocalAppData%\Temp\Rar*\*.cmd	Путь	Запрещено		27.02.2019  13:38:10
%LocalAppData%\Temp\Rar*\*.exe	Путь	Запрещено		27.02.2019  13:54:21
%LocalAppData%\Temp\wz*\*.bat	Путь	Запрещено		27.02.2019  13:33:49
%LocalAppData%\Temp\wz*\*.cmd	Путь	Запрещено		27.02.2019  13:38:19
%LocalAppData%\Temp\wz*\*.exe	Путь	Запрещено		27.02.2019  13:54:28
%Temp%\*.bat	Путь	Запрещено		27.02.2019  13:34:07
%Temp%\*.cmd	Путь	Запрещено		27.02.2019  13:38:26
%Temp%\*\*.bat	Путь	Запрещено		27.02.2019  13:34:11
%Temp%\*\*.cmd	Путь	Запрещено		27.02.2019  13:38:34
%USERPROFILE%\*.com	Путь	Запрещено	запрет com в профиле пользователя	27.02.2019  13:25:06
%USERPROFILE%\*.hta	Путь	Запрещено	запрет hta в профиле пользователя	27.02.2019  13:08:48
%USERPROFILE%\*.js	Путь	Запрещено	запрет js в профиле пользователя	27.02.2019  12:50:10
%USERPROFILE%\*.pif	Путь	Запрещено	запрет pif в профиле пользователя	27.02.2019  13:43:58
%USERPROFILE%\*.scr	Путь	Запрещено	запрет scr в профиле пользователя	27.02.2019  13:43:35
%USERPROFILE%\*.vbs	Путь	Запрещено	запрет vbs в профиле пользователя	27.02.2019  13:03:07
%USERPROFILE%\*\*.com	Путь	Запрещено		27.02.2019  13:24:45
%USERPROFILE%\*\*.hta	Путь	Запрещено		27.02.2019  13:19:06
%USERPROFILE%\*\*.js	Путь	Запрещено	+подпапки	27.02.2019  12:55:46
%USERPROFILE%\*\*.pif	Путь	Запрещено		27.02.2019  13:44:06
%USERPROFILE%\*\*.scr	Путь	Запрещено		27.02.2019  13:41:48
%USERPROFILE%\*\*.vbs	Путь	Запрещено		27.02.2019  13:23:07
%USERPROFILE%\*\*\*.com	Путь	Запрещено		27.02.2019  13:28:03
%USERPROFILE%\*\*\*.hta	Путь	Запрещено		27.02.2019  13:19:14
%USERPROFILE%\*\*\*.js	Путь	Запрещено	+подпапки подпапок	27.02.2019  12:55:54
%USERPROFILE%\*\*\*.pif	Путь	Запрещено		27.02.2019  13:44:13
%USERPROFILE%\*\*\*.scr	Путь	Запрещено		27.02.2019  13:41:52
%USERPROFILE%\*\*\*.vbs	Путь	Запрещено		27.02.2019  13:23:03
%USERPROFILE%\*\*\*\*.com	Путь	Запрещено		27.02.2019  13:28:13
%USERPROFILE%\*\*\*\*.hta	Путь	Запрещено		27.02.2019  13:19:24
%USERPROFILE%\*\*\*\*.js	Путь	Запрещено	+подпапки подпапок подпапок	27.02.2019  12:56:12
%USERPROFILE%\*\*\*\*.pif	Путь	Запрещено		27.02.2019  13:44:20
%USERPROFILE%\*\*\*\*.scr	Путь	Запрещено		27.02.2019  13:41:58
%USERPROFILE%\*\*\*\*.vbs	Путь	Запрещено		27.02.2019  13:03:31
%USERPROFILE%\*\*\*\*\*.com	Путь	Запрещено		27.02.2019  13:28:26
%USERPROFILE%\*\*\*\*\*.hta	Путь	Запрещено		27.02.2019  13:20:12
%USERPROFILE%\*\*\*\*\*.js	Путь	Запрещено		27.02.2019  13:05:31
%USERPROFILE%\*\*\*\*\*.pif	Путь	Запрещено		27.02.2019  13:44:29
%USERPROFILE%\*\*\*\*\*.scr	Путь	Запрещено		27.02.2019  13:42:02
%USERPROFILE%\*\*\*\*\*.vbs	Путь	Запрещено		27.02.2019  13:03:43
%USERPROFILE%\*\*\*\*\*\*.com	Путь	Запрещено		27.02.2019  13:28:48
%USERPROFILE%\*\*\*\*\*\*.hta	Путь	Запрещено		27.02.2019  13:20:23
%USERPROFILE%\*\*\*\*\*\*.js	Путь	Запрещено		27.02.2019  13:01:11
%USERPROFILE%\*\*\*\*\*\*.pif	Путь	Запрещено		27.02.2019  13:44:37
%USERPROFILE%\*\*\*\*\*\*.scr	Путь	Запрещено		27.02.2019  13:42:08
%USERPROFILE%\*\*\*\*\*\*.vbs	Путь	Запрещено		27.02.2019  13:03:52
%USERPROFILE%\*\*\*\*\*\*\*.com	Путь	Запрещено		27.02.2019  13:28:59
%USERPROFILE%\*\*\*\*\*\*\*.hta	Путь	Запрещено		27.02.2019  13:20:36
%USERPROFILE%\*\*\*\*\*\*\*.js	Путь	Запрещено		27.02.2019  13:01:19
%USERPROFILE%\*\*\*\*\*\*\*.pif	Путь	Запрещено		27.02.2019  13:44:50
%USERPROFILE%\*\*\*\*\*\*\*.scr	Путь	Запрещено		27.02.2019  13:42:13
%USERPROFILE%\*\*\*\*\*\*\*.vbs	Путь	Запрещено		27.02.2019  13:04:03
%USERPROFILE%\*\*\*\*\*\*\*\*.com	Путь	Запрещено		27.02.2019  13:29:08
%USERPROFILE%\*\*\*\*\*\*\*\*.hta	Путь	Запрещено		27.02.2019  13:20:43
%USERPROFILE%\*\*\*\*\*\*\*\*.js	Путь	Запрещено		27.02.2019  13:01:29
%USERPROFILE%\*\*\*\*\*\*\*\*.pif	Путь	Запрещено		27.02.2019  13:44:58
%USERPROFILE%\*\*\*\*\*\*\*\*.scr	Путь	Запрещено		27.02.2019  13:42:32
%USERPROFILE%\*\*\*\*\*\*\*\*.vbs	Путь	Запрещено		27.02.2019  13:04:16
%USERPROFILE%\*\*\*\*\*\*\*\*\*.com	Путь	Запрещено		27.02.2019  13:29:19
%USERPROFILE%\*\*\*\*\*\*\*\*\*.hta	Путь	Запрещено		27.02.2019  13:21:34
%USERPROFILE%\*\*\*\*\*\*\*\*\*.js	Путь	Запрещено		27.02.2019  13:01:37
%USERPROFILE%\*\*\*\*\*\*\*\*\*.pif	Путь	Запрещено		27.02.2019  13:45:05
%USERPROFILE%\*\*\*\*\*\*\*\*\*.scr	Путь	Запрещено		27.02.2019  13:42:40
%USERPROFILE%\*\*\*\*\*\*\*\*\*.vbs	Путь	Запрещено		27.02.2019  13:04:30
%USERPROFILE%\*\*\*\*\*\*\*\*\*\*.com	Путь	Запрещено		27.02.2019  13:30:01
%USERPROFILE%\*\*\*\*\*\*\*\*\*\*.hta	Путь	Запрещено		27.02.2019  13:22:06
%USERPROFILE%\*\*\*\*\*\*\*\*\*\*.js	Путь	Запрещено	запрет в подпапке 10 уровня	27.02.2019  15:04:56
%USERPROFILE%\*\*\*\*\*\*\*\*\*\*.pif	Путь	Запрещено		27.02.2019  13:45:12
%USERPROFILE%\*\*\*\*\*\*\*\*\*\*.scr	Путь	Запрещено		27.02.2019  13:42:49
%USERPROFILE%\*\*\*\*\*\*\*\*\*\*.vbs	Путь	Запрещено		27.02.2019  13:23:12

Также не будет лишним указать, чтобы все эти скрипты у пользователей не запускались обработчиком, а открывались в блокноте. Для этого в этой же политике в Конфигурация пользователя/Настройка/Параметры панели управления/Параметры папок добавляем ассоциации на hta, js, pif, scr, vbs-файлы, чтобы открывались с помощью %SYSTEMROOT%/system32/notepad.exe

реализация подсмотрена тут:
http://winitpro.ru/index.php/2016/10/21/blokirovka-virusov-i-shifrovalshhikov-s-pomoshhyu-software-restriction-policies/
https://infostart.ru/public/310891/

 

4 комментария

  1. sdfsdf:

    Фуфло это, а не статья.
    1. Расширение bat не до конца настроено, достаточно файл кинуть в другую папку и скрипт запускается.
    2. Что за лоховской способ перечисления каталогов? Дэбил, если злоумышленник создаст папку, например, тут %USERPROFILE%\*\*\*\*\*\*\*\*\*\**\*\*\*\*\*\*\*\*\**\*\*\*\*\*\*\*\*\**\*\*\*\*\*\*\*\*\**\*\*\*\*\*\*\*\*\**\*\*\*\*\*\*\*\*\*.vbs
    то скрипт запустится, т.к. ты этот путь не настроил.
    Это касается любых папок, отличных от тех, которые ты пытался от руки нарисовать. Хотя сомневаюсь, что ты сам это писал, тупо скопипастил неудачную статью ради контента.

  2. sdfsdf:

    чтобы открывались с помощью %SYSTEMROOT%/system32/notepad.exe

    Даже на ошибки не проверяешь сучонок… Слэши в другую сторону ставятся, дэбыл

  3. Уважаемый, вы не правы. Неудивительно, ведь по манере общения у вас мозг, как у хлебушка)
    ваши слэши юзаются в вебе, а мои, правильные, в файловой системе windows

  4. Данная реализация покрывает 80-90% всех вариантов.
    Критикуешь – предлагай, умник 🙂

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *