% Appdata%,% temp% इत्यादि में किसी प्रोग्राम को चलाने से रोकने के पेशेवरों / विपक्ष क्या हैं?


13

क्रिप्टोकरंसी को रोकने के तरीकों पर शोध करते हुए , मैंने एक फोरम पोस्ट देखी जिसमें निम्नलिखित स्थानों पर रन एक्सेस को ब्लॉक करने के लिए ग्रुप पॉलिसी ऑब्जेक्ट्स (GPO) और / या एंटीवायरस सॉफ़्टवेयर का उपयोग करने की सलाह दी गई है :

  1. %एप्लिकेशन आंकड़ा%
  2. % LOCALAPPDATA%
  3. % अस्थायी%
  4. %उपयोगकर्ता प्रोफ़ाइल%
  5. संपीड़ित अभिलेखागार

जाहिर है, एक मंच में कुछ भी सावधानी के साथ लिखा जाना चाहिए। मैं ऐसा करने के लिए फायदे देखता हूं, हालांकि, मुख्य रूप से क्योंकि मैलवेयर इन स्थानों से बाहर निकलना पसंद करता है। बेशक, यह वैध कार्यक्रमों को भी प्रभावित कर सकता है।

इन स्थानों पर रन एक्सेस को रोकने के लिए क्या कमियां हैं?

क्या फायदे हैं?


3
Of course, this could impact legitimate programs as well.- थोड़ा ...
15

1
उदाहरण के लिए, GitHub ने खुद को% APPDATA% में स्थापित किया, और जब मेरे sysadmin ने उस स्थान से चलने के लिए निष्पादन योग्य फ़ाइलों को ब्लॉक करने के लिए हाल ही में नए नियम लागू किए, तो Windows के लिए GitHub अब शुरू नहीं हो सका। जब यह नहीं चल सका तो SourceTree डाउन हो गया था % APPDATA% में git.exe, जो मूल रूप से GitHub द्वारा स्थापित किया गया है - थोड़ा कष्टप्रद, निश्चित रूप से ...
जिम रेनर

जवाबों:


12

मैलवेयर इन स्थानों से निष्पादित करना पसंद करता है, क्योंकि वैध सॉफ़्टवेयर इन स्थानों से निष्पादित करना पसंद करता है। वे ऐसे क्षेत्र हैं जिनके लिए उपयोगकर्ता के खाते को कुछ स्तर तक पहुंच की उम्मीद करनी चाहिए।

मेरे अपने सिस्टम के त्वरित grep और हमारे नेटवर्क पर एक यादृच्छिक अंत-उपयोगकर्ता खाते के आधार पर:

%appdata%

अभी, मुझे ड्रॉपबॉक्स मिला है , एडोब आकाशवाणी और कुछ माइक्रोसॉफ्ट ऑफिस के लिए इंस्टॉलर और इस फ़ोल्डर में समाप्त होता है।

%localappdata%

join.me और SkyDrive यहां रहते हैं, या कम से कम हाल ही में संचालित होने के लिए दिखाई देते हैं।

%temp%

बहुत सारे कार्यक्रम, वैध या अन्यथा, इस फ़ोल्डर से निष्पादित करना चाहते हैं। जब आप setup.exeसंपीड़ित इंस्टॉलर संग्रह पर चलाते हैं, तो इंस्टॉलर आमतौर पर इसे स्वयं के सबफ़ोल्डर में अनपैक कर देता है ।

%उपयोगकर्ता प्रोफ़ाइल%

यह आमतौर पर तब तक सुरक्षित रहेगा जब तक कि उपयोगकर्ता की विशेष आवश्यकताएं न हों, हालांकि ध्यान दें कि ऊपर दिए गए कम से कम कुछ फ़ोल्डर रोमिंग प्रोफाइल वाले नेटवर्क पर इसके सबसेट हो सकते हैं।

संपीड़ित अभिलेखागार

कोड को सीधे न चलाएं, इसके बजाय आम तौर पर %temp%वहां से निकालें और चलाएं।

इन क्षेत्रों को ब्लॉक करना चाहिए या नहीं, यह निर्भर करता है कि आपके उपयोगकर्ता आमतौर पर क्या कर रहे हैं। यदि उन सभी को कार्यालय दस्तावेजों को संपादित करने की आवश्यकता होती है, तो लंच के दौरान माइनस्वीपर खेलते हैं , और शायद एक ब्राउज़र के माध्यम से एक एलओबी ऐप तक पहुंचते हैं , तो आपको कम से कम इनमें से कुछ फ़ोल्डरों में निष्पादकों को ब्लॉक करने में बहुत परेशानी नहीं हो सकती है।

स्पष्ट रूप से समान दृष्टिकोण कम अच्छी तरह से परिभाषित वर्कलोड वाले लोगों के लिए काम नहीं करेगा।


क्रोम भी रहता है%appdata%
जूरी रॉबेल

5
@JuriRobl केवल उपभोक्ता संस्करण, Chrome का व्यवसाय संस्करण बेहतर व्यवहार किया गया है।
गैथ्रॉन

@JuriRobl - मेरे कार्य पीसी पर क्रोम C: \ Program Files (x86) \ Google \ Chrome \ Application में है। GAThrawn के रूप में व्यापार संस्करण। इसके अलावा, मैं अपने सिस्टम के आधार पर उदाहरण देने का प्रयास कर रहा था, किसी भी प्रकार की संपूर्ण सूची का उत्पादन नहीं कर रहा था।
रोब मोइर

6

पेशेवरों:

उन स्थानों से निष्पादित करने का प्रयास करने वाले मैलवेयर चलाने में असमर्थ होंगे।

विपक्ष:

उन स्थानों से निष्पादित करने का प्रयास करने वाले वैध कार्यक्रम चलाने में असमर्थ होंगे।


जैसा कि आपके वातावरण में कौन से वैध कार्यक्रम हैं, जिन्हें उन निर्देशिकाओं में निष्पादन के अधिकारों की आवश्यकता है, केवल आप ही कह सकते हैं, लेकिन मुझे लगता है कि रोबएम ने सिर्फ एक उच्च-स्तरीय अवलोकन के साथ उत्तर पोस्ट किया है । इन निर्देशिकाओं के निष्पादन को अवरुद्ध करने से आपको समस्याएं होंगी, इसलिए आपको यह निर्धारित करने के लिए पहले कुछ परीक्षण करने की आवश्यकता है कि आपके पास क्या समस्याएं हैं, और आपको उन्हें कैसे हल करने की आवश्यकता है।


3

वे सिफारिशें मेरे वातावरण में पूरी तरह से काम करेंगी। किसी भी उपयोगकर्ता को सॉफ़्टवेयर इंस्टॉल करने की अनुमति नहीं है, और अनुमोदित सॉफ़्टवेयर का कोई भी उल्लेखित स्थानों से निष्पादित नहीं होता है। वर्कस्टेशन में कार्यस्थान छवि में पहले से स्वीकृत सॉफ़्टवेयर है और स्क्रिप्ट द्वारा अपडेट किया गया है।

ड्रॉपबॉक्स, क्रोम, स्काइप, आदि सभी को एक अधिक स्वीकार्य "प्रोग्राम फाइल्स" इंस्टॉलेशन स्थान पर इंस्टॉल करने के दौरान फिर से स्थित किया जा सकता है।

जब तक आपके पास प्रशासक या डोमेन एडमिंस (और शायद एक विशिष्ट "इंस्टॉलर" खाता) के लिए भत्ता है, अपडेट चलाने और स्वीकृत सॉफ़्टवेयर जोड़ने में सक्षम होना चाहिए, मैं सिफारिशों से सहमत हूं।


2

मुझे लगता है कि आप न केवल इन फ़ोल्डरों के लिए बल्कि उनसे शुरू होने वाले पूरे पेड़ को सही तरीके से निष्पादित करना चाहते हैं (अन्यथा, आप क्या करना चाहते हैं, इसका कोई मतलब नहीं है)।

स्पष्ट - परिणाम यह होगा कि इनमें से कोई भी निष्पादन योग्य चलने में विफल हो जाएगा।

दुर्भाग्य से, इसमें बड़ी संख्या में वैध अनुप्रयोग शामिल होंगे।

% localappdata% और% appdata% सबसे अधिक समस्याग्रस्त हैं: ड्रॉपबॉक्स, क्रोम, स्काईड्राइव, उदाहरण के लिए, काम करने में विफल रहेंगे। अधिकांश स्वचालित अपलोडर और कई इंस्टॉलर भी काम करने में विफल रहेंगे।

% UserProfile% और भी खराब है क्योंकि इसमें% localappdata% और% appdata% और साथ ही कई अन्य फ़ोल्डर शामिल हैं।

संक्षेप में: यदि आप अनुप्रयोगों को इन फ़ोल्डरों से चलने से रोकते हैं, तो आपका सिस्टम बहुत अधिक अनुपयोगी हो सकता है।

% टेम्प% अलग है। हालांकि आपके पास कभी-कभार वैध कार्यक्रम हो सकते हैं, लेकिन यह काफी अनियंत्रित है और आमतौर पर इसके आसपास काम करना आसान होता है। दुर्भाग्यवश,% temp% आपके द्वारा विस्तारित किए जा रहे उपयोगकर्ता संदर्भ के आधार पर विभिन्न फ़ोल्डरों में फैलता है: यह% localappdata% \ temp (उपयोगकर्ता के संदर्भ में) या% SystemRoot% \ temp (संदर्भ में) में समाप्त हो सकता है प्रणाली) इसलिए आपको प्रत्येक स्थान को व्यक्तिगत रूप से सुरक्षित करना होगा।

% temp% एक अच्छा उम्मीदवार भी है क्योंकि यही वह जगह है जहाँ अधिकांश मेल प्रोग्रामों को खोलने से पहले अटैचमेंट को बचाएंगे: जो मेल-आधारित मैलवेयर के कई मामलों में मदद करेगा।

एक अच्छा ट्रिक यह है कि आप सिस्टम को सेट करते समय C: \ Users \ Default \ AppData \ Local \ temp और C: \ Users \ DefaultAppPool \ AppData \ Local \ Temp फोल्डर में सिस्टम को बदलने के लिए (और, निश्चित रूप से,% SystemRoot%) \ अस्थायी)। जब ये नए प्रोफ़ाइल बनाता है, तो विंडोज़ इन फ़ोल्डरों को कॉपी करेगा और इसलिए नए उपयोगकर्ताओं के पास एक सुरक्षित वातावरण होगा।

आप अपनी सूची में% UserProfile% \ डाउनलोड जोड़ना चाह सकते हैं: यह वह जगह है जहाँ अधिकांश ब्राउज़र उपयोगकर्ता की डाउनलोड की गई फ़ाइलें होंगे और वहाँ से निष्पादन को नकारने से सुरक्षा भी बढ़ेगी।


2

पिछले तीन महीनों से मैं अपने मुख्य कार्य केंद्र पर एक समान सेटअप के साथ चल रहा हूं। मेरे प्राथमिक उपयोगकर्ता के पास किसी निर्देशिका में अनुमतियाँ निष्पादित करने या अनुमतियाँ लिखने की अनुमति है लेकिन दोनों कभी नहीं।

इसका अर्थ है कि इस खाते द्वारा कोई नया निष्पादन योग्य परिचय नहीं दिया जा सकता है। यह समर्थक है, मैं पहले से ही सिस्टम पर प्रोग्राम को निष्पादित कर सकता हूं या अन्य खातों द्वारा इंस्टॉल किया जा सकता है, लेकिन मैं किसी भी नए प्रोग्राम को डाउनलोड नहीं कर सकता और इसे चला नहीं सकता, इसका मतलब है कि कोई भी मैलवेयर जो ब्राउज़र या अन्य माध्यम से आता है, उसे चलाने के लिए बहुत कठिन समय है मेरे सिस्टम पर, साधारण DLL इंजेक्शन भी काम नहीं करता है।

जैसा कि दूसरों ने बताया है, मुख्य समस्या यह है कि कुछ वैध सॉफ़्टवेयर मेरे द्वारा अवरुद्ध स्थानों का उपयोग करता है। मेरे मामले में:

  • Google Chrome - मैंने msi संस्करण स्थापित किया है
  • कोई भी पोर्टेबल ऐप्स एप्लिकेशन - जो अब मैं एक अलग उपयोगकर्ता के अंतर्गत चलाता हूं
  • प्रक्रिया एक्सप्लोरर - मैं सीधे निकाले गए 64 बिट संस्करण का उपयोग करता हूं
  • dis.exe - व्यवस्थापक के रूप में चलाएं, जो मुझे वैसे भी अधिकांश समय करना होगा।

इसलिए मूल रूप से मैं तीन खातों का उपयोग कर रहा हूं, एक मैं जिसके साथ लॉग इन हूं, एक अन्य सामान्य उपयोगकर्ता खाते के रूप में कुछ मान्य कार्यक्रमों को निष्पादित करने के लिए और अन्य दो के लिए नया सॉफ़्टवेयर स्थापित करने के लिए एक व्यवस्थापक खाता है।

मैं इस तथ्य को पसंद करता हूं कि यह मुझे एक वीएम में किसी भी नए डाउनलोड किए गए सॉफ़्टवेयर का परीक्षण करने के लिए मजबूर करता है।

मैं अपने अधिकांश कार्यक्रम पॉवरशेल के माध्यम से शुरू करता हूं और तीन गोले रखता हूं, प्रत्येक खाते के लिए एक मेरे लिए ठीक है। क्या यह आपके लिए काम करता है यह वास्तव में इस बात पर निर्भर करता है कि आप कितने सॉफ़्टवेयर का उपयोग करते हैं जिनका अलग-अलग तरीके से इलाज किया जाना है।

एक डेवलपर मशीन पर यह वास्तव में काम नहीं करता है क्योंकि मुझे अपना कोड संकलित करना होगा और फिर इसे निष्पादित करना होगा। इसलिए मैंने डेटा ड्राइव पर अपनी कोड निर्देशिका के लिए एक अपवाद बनाया, मैलवेयर सभी ड्राइवों को स्कैन कर सकता है और यह पता लगा सकता है।

मैं एनटीएफएस एसीएल का उपयोग कर रहा हूं, फिर इसे लागू करने की नीतियां। यह चलाने के लिए किसी भी कार्यक्रम को रोकता है, लेकिन मैं अभी भी एक PowerShell स्क्रिप्ट बना सकता हूं और फिर उसे चला सकता हूं और यह पर्याप्त नुकसान कर सकता है।

इसलिए जब यह चीजों को कठिन बना देता है तो यह 100% सुरक्षित नहीं है लेकिन फिर भी आपको अधिकांश वर्तमान मैलवेयर से बचाएगा।


0

आप उन फ़ोल्डरों में देख सकते हैं, लेकिन अधिकांश डेटा हैं, वास्तव में फ़ोल्डर का नाम क्या है। उदाहरण के लिए आप क्रोम देखेंगे, लेकिन वास्तविक निष्पादन योग्य c: \ प्रोग्राम फ़ोल्डर में है।

मैं प्रोग्राम फ़ोल्डर को छोड़कर सभी निष्पादन योग्य को कंप्यूटर पर चलाने से रोकता हूं। केवल अस्थायी रूप से अनुमति दी जब मुझे कुछ स्थापित करने की आवश्यकता होती है, और मुझे कभी कोई समस्या नहीं हुई है।


-1

मैं निर्देशिकाओं की एक त्वरित खोज की अनुशंसा करता हूं, यह देखने के लिए कि आपके पास वर्तमान में उनमें से प्रत्येक में क्या है। यदि उनमें से कुछ भी निष्पादित नहीं हो रहा है, तो अब फोरम में मार्गदर्शन का पालन करें। क्या आपको भविष्य में किसी समस्या का सामना करना चाहिए, बस तब अपने विकल्पों का आकलन करें। इनमें से अधिकांश में वैसे भी निष्पादन योग्य नहीं होना चाहिए।

हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.