％appdata％、％temp％などでプログラムの実行をブロックすることの長所と短所は何ですか？

CryptoLockerを防ぐ方法を調査しているときに、グループポリシーオブジェクト（GPO）やウイルス対策ソフトウェアを使用して、次の場所で実行アクセスをブロックするようにアドバイスするフォーラムの投稿を見ました。

1. ％アプリデータ％
2. ％localappdata％
3. ％temp％
4. ％UserProfile％
5. 圧縮アーカイブ

明らかに、フォーラムで書かれたものはすべて注意して取るべきです。ただし、主にマルウェアがこれらの場所から実行されることを好むため、これを行う利点があります。もちろん、これは正当なプログラムにも影響を与える可能性があります。

これらの場所への実行アクセスをブロックすることの欠点は何ですか？

利点は何ですか？

マルウェアがこれらの場所から実行することを好む理由は、正当なソフトウェアがこれらの場所から実行することを好むためです。これらは、ユーザーのアカウントがある程度のアクセス権を持っていると予想される領域です。

私自身のシステムの簡単なgrepとネットワーク上のランダムなエンドユーザーアカウントに基づいて：

%appdata%

現在、Adobe AIRのインストーラーであるDropboxと、Microsoft Officeのオッズがいくつかあり、このフォルダーで終わります。

%localappdata%

join.meとSkyDriveはここに住んでいるか、少なくとも最近は通り抜けたようです。

%temp%

多くのプログラムは、合法であるかどうかに関係なく、このフォルダーから実行したいと思うでしょう。通常、インストーラーはsetup.exe、圧縮されたインストーラーアーカイブを実行すると、このサブフォルダーに解凍されます。

％UserProfile％

ユーザーに特定の要件がない限り、通常は安全です。ただし、上記のフォルダーの少なくとも一部は、ローミングプロファイルを使用するネットワーク上のこのサブセットである可能性があることに注意してください。

圧縮アーカイブ

コードを直接実行しないでください。代わりに、通常%temp%はそこから抽出して実行します。

これらの領域をブロックする必要があるかどうかについては、ユーザーが通常行っていることによって異なります。Officeドキュメントを編集し、昼食時にマインスイーパをプレイし、ブラウザなどを介してLOBアプリにアクセスするだけであれば、これらのフォルダーの少なくとも一部で実行可能ファイルをブロックするのに苦労することはないでしょう。

明確に定義されていないワークロードを持つ人々には、明らかに同じアプローチは機能しません。

長所：

これらの場所から実行しようとするマルウェアは実行できません。

短所：

これらの場所から実行しようとする正当なプログラムは実行できません。

これらのディレクトリで実行権限を必要とする環境にある正当なプログラムについては、あなただけが言うことができますが、RobMは高レベルの概要を備えた答えを投稿しました。これらのディレクトリからの実行をブロックすると問題が発生するため、最初にいくつかのテストを行って、発生する問題とその回避策を決定する必要があります。

これらの推奨事項は、私の環境で完全に機能します。ユーザーはソフトウェアをインストールできません。また、承認されたソフトウェアは上記の場所から実行されません。ワークステーションには、ワークステーションイメージにプリインストールされ、スクリプトによって更新された承認済みソフトウェアがあります。

インストール中にDropbox、Chrome、Skypeなどをすべて、より適切な「プログラムファイル」のインストール場所に再配置できます。

管理者またはドメイン管理者（および場合によっては特定の「インストーラー」アカウント）が更新を実行し、承認されたソフトウェアを追加できるようにしている限り、推奨事項に同意します。

これらのフォルダだけでなく、それらから始まるツリー全体に対しても実行権を拒否したいと思います（そうでなければ、やりたいことをする意味がありません）。

-明らかな-結果は、これらにある実行可能ファイルが実行に失敗することです。

残念ながら、これにはかなり多数の正当なアプリケーションが含まれます。

％localappdata％と％appdata％は最も問題のあるものです。たとえば、Dropbox、Chrome、SkyDriveは動作しません。ほとんどの自動アップローダーと多くのインストーラーも機能しません。

％UserProfile％には、％localappdata％と％appdata％の両方と他の多くのフォルダーが含まれているため、さらに悪化します。

つまり、これらのフォルダーからアプリケーションを実行できないようにすると、システムがほとんど使用できなくなる可能性があります。

％temp％は異なります。そこから合法的なプログラムを実行している場合もありますが、非常にまれであり、通常は簡単に回避できます。残念ながら、％temp％は展開元のユーザーコンテキストに応じて異なるフォルダーに展開されます。％localappdata％\ temp（ユーザーのコンテキスト内）または％SystemRoot％\ temp（のコンテキスト内）システム）ので、各場所を個別に保護する必要があります。

また、ほとんどのメールプログラムが添付ファイルを開く前に保存するので、％temp％も適切な候補です。これは、メールベースのマルウェアの多くの場合に役立ちます。

1つの良い方法は、システムのセットアップ時にC：\ Users \ Default \ AppData \ Local \ tempおよびC：\ Users \ DefaultAppPool \ AppData \ Local \ Tempフォルダーの前提条件を変更することです（もちろん、％SystemRoot％ \ temp）。Windowsは、新しいプロファイルを作成するときにこれらのフォルダーをコピーするため、新しいユーザーは安全な環境になります。

リストに％UserProfile％\ Downloadsを追加することをお勧めします。これは、ほとんどのブラウザーがユーザーのダウンロードしたファイルと同じ場所であり、そこからの実行を拒否するとセキュリティも向上します。

過去3か月間、メインワークステーションで同様の設定で実行しています。プライマリユーザーには、ディレクトリに対する実行権限または書き込み権限がありますが、両方はありません。

つまり、このアカウントでは新しい実行可能ファイルを導入できません。それはプロです。すでにシステムにあるプログラムや他のアカウントによってインストールされたプログラムを実行できますが、新しいプログラムをダウンロードして実行することはできません私のシステムでは、単純なDLLインジェクションも機能しません。

他の人が指摘したように、主な問題は、正当なソフトウェアの中にはブロックした場所を使用するものがあることです。私の場合：

• Google Chrome-msiバージョンをインストールしました
• 任意のポータブルアプリアプリケーション-別のユーザーで実行するようになりました
• プロセスエクスプローラー-抽出された64ビットバージョンを直接使用します
• dism.exe-管理者として実行します。ほとんどの場合、とにかくこれを行う必要があります。

したがって、基本的には3つのアカウントを使用します。1つはログインに使用し、もう1つの通常のユーザーアカウントは特定の検証済みプログラムを実行し、もう2つは管理者アカウントで新しいソフトウェアをインストールします。

VMで新しくダウンロードしたソフトウェアをテストする必要があるという事実が気に入っています。

私はほとんどのプログラムをPowerShell経由で起動し、3つのシェルを持っています。各アカウントに1つあれば問題ありません。これが実際に機能するかどうかは、使用するソフトウェアの量によって異なります。

開発者のマシンでは、コードをコンパイルしてから実行する必要があるため、これは実際には機能しません。そのため、データドライブ上のコードディレクトリに対して例外を作成しました。マルウェアはすべてのドライブをスキャンし、これを見つけることができました。

これを実施するために、ポリシーではなくNTFS ACLを使用しています。これにより、プログラムが実行できなくなりますが、PowerShellスクリプトを作成して実行することで、十分なダメージを与えることができます。

そのため、物事は難しくなりますが、100％安全ではありませんが、最新のマルウェアからは依然として保護されます。

これらのフォルダーを調べることはできますが、ほとんどはデータであり、まさにフォルダーの名前です。たとえば、クロムが表示されますが、実際の実行可能ファイルはc：\ programsフォルダーにあります。

プログラムフォルダーを除くコンピューター上の任意の場所で実行可能なすべての実行可能ファイルをブロックします。何かをインストールする必要がある場合にのみ一時的に許可され、問題は一度もありません。

ディレクトリをすばやく検索して、現在各ディレクトリにあるものを確認することをお勧めします。それらから何も実行されていない場合は、フォーラムのガイダンスに従ってください。将来、問題に遭遇した場合は、オプションを評価するだけです。とにかく、これらのほとんどには実行可能ファイルが含まれていません。