Windows - Stratégie de restriction logicielle pour bloquer les fichiers exe dans tous les sous-répertoires

Windows Server & IT Pro Active Directory & Entra ID
,
1

Comment puis-je bloquer tous les exécutables dans %APPDATA% ?

J’ai lu que pour CryptoLocker, c’est une bonne stratégie :

C:\Users\User\AppData\Roaming\*\*.exe

Mais cela ne protège apparemment pas au-delà d’un niveau de profondeur.

Mais qu’est-ce qui empêche quelqu’un d’aller un niveau plus profond comme C:\Users\User\AppData\Roaming\dir\dir\trojan.exe

Est-il possible de créer une stratégie qui bloque chaque exe dans appdata quelle que soit la profondeur ?

Comment gérez-vous ces problèmes ? Merci

Source : [Server Fault](Using Software Restriction Policies to Protect Against Unauthorized Software | Microsoft Learn](Using Software Restriction Policies to Protect Against Unauthorized Software | Microsoft Learn)

2

Conformément aux recommandations de Microsoft sur la restriction logicielle par GPO :

http://technet.microsoft.com/en-us/library/bb457006.aspx

Règles de chemin

Une règle de chemin peut spécifier un dossier ou le chemin complet d’un programme.
Lorsqu’une règle de chemin spécifie un dossier, elle correspond à tout programme contenu
dans ce dossier et à tous les programmes contenus dans les sous-dossiers. Les chemins
locaux et UNC sont pris en charge.

Utilisation de variables d’environnement dans les règles de chemin.

Une règle de chemin peut utiliser
des variables d’environnement. Puisque les règles de chemin sont évaluées dans
l’environnement client, la possibilité d’utiliser des variables d’environnement (par exemple,
%WINDIR%) permet à une règle de s’adapter à l’environnement d’un utilisateur particulier.

Important : Les variables d’environnement ne sont pas protégées par des listes de contrôle
d’accès (ACL). Si les utilisateurs peuvent lancer une invite de commandes, ils peuvent redéfinir
une variable d’environnement vers un chemin de leur choix.

Utilisation de caractères génériques dans les règles de chemin. Une règle de chemin peut incorporer les
caractères génériques ‘?’ et '', permettant des règles telles que ".vbs" pour correspondre à tous les fichiers
Visual Basic® Script. Quelques exemples :

•“\DC-??\login$” correspond à \DC-01\login$, \DC-02\login$

•“*\Windows” correspond à C:\Windows, D:\Windows, E:\Windows

•“c:\win*” correspond à c:\winnt, c:\windows, c:\windir

Donc, puisqu’un utilisateur peut simplement redéfinir où pointe %APPDATA%, envisagez d’utiliser la variable d’environnement APPDATA dans votre règle de chemin, au lieu du chemin complet réel du système de fichiers.

Plus de documentation :

Les exemples suivants montrent des instances d’application de variables d’environnement
à une règle de chemin :

• “%UserProfile%” correspond à C:\Documents and Settings\User et tous les sous-dossiers de ce répertoire.

• “%ProgramFiles%\Application” correspond à C:\Program Files\Application
et tous les sous-dossiers de ce répertoire.