Windows

阻止程序在 %appdata%、%temp% 等中執行的優點/缺點是什麼?

  • August 28, 2015

在研究防止CryptoLocker的方法時,我看到一個論壇文章建議使用組策略對象(GPO) 和/或防病毒軟體來阻止以下位置的執行訪問:

  1. %應用程序數據%
  2. % 本地應用數據%
  3. %溫度%
  4. %使用者資料%
  5. 壓縮檔案

顯然,任何寫在論壇上的東西都應該謹慎對待。不過,我確實看到了這樣做的好處,主要是因為惡意軟體喜歡在這些位置執行。當然,這也可能影響合法程序。

阻止對這些位置的執行訪問有什麼缺點?

有什麼優勢?

惡意軟體喜歡從這些位置執行的原因是合法軟體喜歡從這些位置執行。它們是使用者帳戶應該具有一定訪問權限的區域。

基於我自己系統的快速 grep 和我們網路上的隨機最終使用者帳戶:

%appdata%

現在,我在這個文件夾中有Dropbox 、 Adobe AIR的安裝程序和一些 Microsoft Office 零碎物品。

%localappdata%

join.me 和SkyDrive似乎住在這裡,或者至少最近已經開車經過。

%temp%

許多程序,無論是合法的還是其他的,都希望從這個文件夾中執行。setup.exe當您在壓縮的安裝程序存檔上執行時,安裝程序通常會將自己解壓到此文件夾的子文件夾中。

%使用者資料%

除非使用者有特殊要求,否則它通常是安全的,但請注意,上述文件夾中的至少一些可能是具有漫遊配置文件的網路上的子集。

壓縮檔案

不要直接執行程式碼,而是通常提取%temp%並從那裡執行。

至於您是否應該阻止這些區域,這取決於您的使用者通常在做什麼。如果他們需要做的只是編輯 Office 文件,在午餐時間玩掃雷,或者通過瀏覽器訪問LOB應用程序等,那麼至少在其中一些文件夾中阻止執行檔可能不會有太大問題。

顯然,同樣的方法不適用於工作負載定義不太明確的人。

引用自:https://serverfault.com/questions/574724