% appdata %, % temp % 등에서 프로그램 실행을 차단하는 장단점은 무엇입니까?

13

CryptoLocker 를 방지하는 방법을 연구하는 동안 GPO ( 그룹 정책 개체 ) 및 / 또는 바이러스 백신 소프트웨어를 사용하여 다음 위치에서 실행 액세스를 차단 하는 포럼 게시물을 보았습니다 .

  1. % appdata %
  2. % localappdata %
  3. % temp %
  4. %유저 프로필%
  5. 압축 아카이브

당연히 포럼에서 작성된 내용은주의해서 사용해야합니다. 그러나 맬웨어가 주로 이러한 위치에서 실행되기를 원하기 때문에이 작업을 수행하면 이점이 있습니다. 물론 이것은 합법적 인 프로그램에도 영향을 줄 수 있습니다.

이러한 위치에 대한 실행 액세스를 차단하는 단점은 무엇입니까?

장점은 무엇입니까?

windows  security  malware 
찌름
소스
3
Of course, this could impact legitimate programs as well.-약간 ...
TheCleaner
1
예를 들어, GitHub가 % APPDATA %에 자체 설치되었으며 내 sysadmin이 최근에 새 위치에서 실행 파일이 실행되지 않도록 새 규칙을 시행 할 때 Windows 용 GitHub를 더 이상 시작할 수 없었습니다. GitHub가 처음 설치 한 % APPDATA %의 git.exe-물론 약간 성가시다.
Jim Raynor

답변:

12

이러한 위치에서 맬웨어가 실행되는 것을 좋아하는 이유는 합법적 인 소프트웨어가이 위치에서 실행되기를 좋아하기 때문입니다. 이들은 사용자 계정이 어느 정도의 수준의 액세스 권한을 가지고 있어야하는 영역입니다.

내 시스템의 빠른 grep과 네트워크의 임의의 최종 사용자 계정을 기반으로합니다.

%appdata%

지금 은 Adobe AIR 의 설치 프로그램 이자 몇 가지 Microsoft Office 확률과 Dropbox있으며이 폴더에서 끝납니다.

%localappdata%

join.me와 SkyDrive 가 여기에있는 것처럼 보이거나 적어도 최근에 운전 한 것 같습니다.

%temp%

합법적이거나 다른 많은 프로그램이이 폴더에서 실행되기를 원할 것입니다. setup.exe압축 된 설치 프로그램 아카이브에서 실행할 때 설치 프로그램은 일반적으로이 하위 폴더로 압축을 풉니 다 .

%유저 프로필%

사용자가 특정 요구 사항을 갖지 않는 한 일반적으로 안전하지만 로밍 프로필이있는 네트워크에서 위의 폴더 중 일부가이 폴더의 하위 집합 일 수 있습니다.

압축 아카이브

코드를 직접 실행하지 말고 일반적으로 코드를 추출하여 %temp%실행하십시오.

이러한 영역을 차단해야하는지 여부와 관련하여 사용자가 일반적으로 수행하는 작업에 따라 다릅니다. Office 문서를 편집 하고 점심 식사 중에 지뢰 찾기 를하고 브라우저 등을 통해 LOB 앱에 액세스하는 것만으로도 이러한 폴더 중 일부에서 실행 파일을 차단하는 데 큰 어려움이 없을 수 있습니다.

워크로드가 덜 정의 된 사람들에게는 동일한 방법이 적용되지 않습니다.

롭 모아 르
소스
Chrome%appdata%
Juri Robl의
5
@ JuriRobl 소비자 버전 만 Chrome비즈니스 버전 이 훨씬 더 잘 작동합니다.
GAThrawn '12
@JuriRobl-업무용 PC의 Chrome은 C : \ Program Files (x86) \ Google \ Chrome \ Application에 있습니다. GAThrawn이 말하는 비즈니스 버전. 또한 내 시스템의 내용을 기반으로 예제를 제공하려고 시도했지만 철저한 목록을 작성하지 않았습니다.
Rob Moir 2014
6

장점 :

해당 위치에서 실행하려는 맬웨어는 실행할 수 없습니다.

단점 :

해당 위치에서 실행하려는 합법적 인 프로그램은 실행할 수 없습니다.

해당 디렉토리에서 실행 권한이 필요한 환경에있는 합법적 인 프로그램에 대해서는 말할 수 있지만 RobM은 방금 높은 수준의 개요로 답변을 게시했습니다 . 이러한 디렉토리에서 실행을 차단하면 문제가 발생하므로 먼저 문제를 해결하고 해결 방법을 결정하기 위해 몇 가지 테스트를 수행해야합니다.

희망이없는
소스
3

이러한 권장 사항은 내 환경에서 완벽하게 작동합니다. 사용자는 소프트웨어를 설치할 수 없으며 승인 된 소프트웨어 중 어느 것도 언급 된 위치에서 실행되지 않습니다. 워크 스테이션에는 승인 된 소프트웨어가 워크 스테이션 이미지에 사전 설치되고 스크립트로 업데이트됩니다.

Dropbox, Chrome, Skype 등은 모두 설치 중에보다 적합한 "프로그램 파일"설치 위치로 재배치 할 수 있습니다.

관리자 또는 도메인 관리자 (및 특정 "설치자"계정)가 업데이트를 실행하고 승인 된 소프트웨어를 추가 할 수 있도록 허용하는 한, 권장 사항에 동의합니다.

알데 린
소스
2

이 폴더뿐만 아니라 그로부터 시작하는 전체 트리에 대한 실행 권한을 거부하고 싶다고 가정합니다 (그렇지 않으면 원하는 작업을 수행 할 필요가 없습니다).

명백한 결과는 이들에 위치한 실행 파일이 실행되지 않는 것입니다.

불행히도 여기에는 다소 많은 합법적 인 응용 프로그램이 포함됩니다.

% localappdata % 및 % appdata %가 가장 문제가되는 것입니다. 예를 들어 Dropbox, Chrome, SkyDrive는 작동하지 않습니다. 대부분의 자동 업 로더와 많은 설치 프로그램도 작동하지 않습니다.

% UserProfile %에는 % localappdata % 및 % appdata %와 다른 여러 폴더가 포함되어 있으므로 훨씬 더 나쁩니다.

한마디로 :이 폴더에서 응용 프로그램을 실행하지 못하게하면 시스템을 거의 사용할 수 없게 될 수 있습니다.

% temp %가 다릅니다. 간혹 합법적 인 프로그램이 실행되는 경우도 있지만 매우 드물고 일반적으로 해결하기가 쉽습니다. 불행하게도 % temp %는 확장하려는 사용자 컨텍스트에 따라 다른 폴더로 확장됩니다. % localappdata % \ temp (사용자의 컨텍스트) 또는 % SystemRoot % \ temp (의 컨텍스트) 각 위치를 개별적으로 확보해야합니다.

% temp %는 대부분의 메일 프로그램이 첨부 파일을 열기 전에 첨부 파일을 저장하는 곳이기 때문에 좋은 후보입니다. 많은 메일 기반 maleware에 도움이됩니다.

시스템을 설정할 때 C : \ Users \ Default \ AppData \ Local \ temp 및 C : \ Users \ DefaultAppPool \ AppData \ Local \ Temp 폴더에서 우선 순위를 변경하는 것이 좋습니다 (물론 % SystemRoot % \ temp). Windows는 새 프로필을 만들 때 이러한 폴더를 복사하므로 새 사용자는 안전한 환경을 갖게됩니다.

% UserProfile % \ Downloads를 목록에 추가하고 싶을 수도 있습니다. 대부분의 브라우저는 사용자가 다운로드 한 파일과 동일하며 실행을 거부하면 보안이 강화됩니다.

스테판
소스
2

지난 3 개월 동안 나는 메인 워크 스테이션에서 비슷한 설정으로 실행하고 있습니다. 기본 사용자는 디렉토리에 대한 실행 권한이나 쓰기 권한이 있지만 둘다는 아닙니다.

이는이 계정으로 새로운 실행 파일을 도입 할 수 없음을 의미합니다. 그것은 전문가입니다. 시스템에 이미 있거나 다른 계정으로 설치된 프로그램을 실행할 수는 있지만 새 프로그램을 다운로드하여 실행할 수는 없습니다. 브라우저 또는 다른 방법을 통해 들어오는 맬웨어는 실행하기가 훨씬 더 어렵습니다. 내 시스템에서 간단한 DLL 삽입도 작동하지 않습니다.

다른 사람들이 지적했듯이 주요 문제는 일부 합법적 인 소프트웨어가 내가 차단 한 위치를 사용한다는 것입니다. 나의 경우에는:

  • Chrome-msi 버전을 설치했습니다
  • 다른 사용자로 실행되는 모든 휴대용 앱 응용 프로그램
  • 프로세스 탐색기-추출 된 64 비트 버전을 직접 사용합니다.
  • dism.exe-관리자로 실행하십시오. 어쨌든 대부분의 시간을해야합니다.

기본적으로 저는 3 개의 계정을 사용하고 있습니다. 하나는 로그인 한 상태이고 다른 일반 사용자 계정은 확인 된 특정 프로그램을 실행하고 다른 하나는 새 두 개의 소프트웨어를 설치하는 관리자 계정입니다.

VM에서 새로 다운로드 한 소프트웨어를 테스트해야한다는 사실이 마음에 듭니다.

PowerShell을 통해 대부분의 프로그램을 시작하고 각 계정마다 하나씩 세 개의 셸이 있습니다. 이것이 당신을 위해 작동하는지 여부는 실제로 다르게 취급 해야하는 소프트웨어의 양에 달려 있습니다.

개발자 컴퓨터에서 코드를 컴파일 한 다음 실행해야하기 때문에 실제로 작동하지 않습니다. 따라서 데이터 드라이브의 코드 디렉토리에 대한 예외를 만들었습니다. 멀웨어는 모든 드라이브를 검사하여 찾을 수 있습니다.

정책을 적용하는 대신 NTFS ACL을 사용하고 있습니다. 이렇게하면 모든 프로그램이 실행되지 않지만 PowerShell 스크립트를 만든 다음 실행할 수 있으며 충분한 손상을 줄 수 있습니다.

따라서 상황을 더 어렵게 만드는 것은 100 % 안전하지는 않지만 여전히 최신 맬웨어로부터 사용자를 보호합니다.

피터 한 도르프
소스
0

해당 폴더를 볼 수 있지만 대부분 폴더 이름이 지정된 데이터입니다. 예를 들어 크롬이 표시되지만 실제 실행 파일은 c : \ programs 폴더에 있습니다.

프로그램 폴더를 제외한 모든 실행 파일이 컴퓨터의 어느 곳에서나 실행되지 않도록 차단합니다. 무언가를 설치해야 할 때만 일시적으로 허용되었으며 아무런 문제가 없었습니다.

CooloutAC
소스
-1

현재 각 디렉토리에있는 내용을 보려면 디렉토리를 빠르게 검색하는 것이 좋습니다. 아무것도 실행되지 않으면 포럼의 지침을 따르십시오. 나중에 문제가 발생하면 단순히 옵션을 평가하십시오. 이들 중 대부분은 어쨌든 실행 파일이 없어야합니다.

크리스 존스
소스
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.