Continuamos con la serie de artículos sobre contraestrategias a los virus y malware de cifrado (Ransomware, CryptoLocker, etc.) en el entorno corporativo. Anteriormente, consideramos cómo configurar la protección del servidor de archivos de Windows mediante FSRM y cómo restaurar archivos cifrados a partir de instantáneas de VSS después de la infección. Hoy hablaremos de cómo cuadra ejecutables de ransomware (incluidos virus y troyanos comunes) se ejecuten en las PC de los usuarios.
Además del software antivirus, otra barrera para evitar que el malware se ejecute en las computadoras de los usuarios. En el entorno de Windows pueden ser Políticas de restricción de software (SRP) o AppLocker. Consideraremos el ejemplo del uso de políticas de restricción de software para bloquear virus y malware.
Políticas de restricción de software (SRP) proporciona la capacidad de permitir o prohibir el lanzamiento de archivos ejecutables utilizando una Política de grupo local o de dominio. Los métodos de protección contra virus o ransomware. el uso de SRP sugiere prohibir la ejecución de archivos de directorios específicos en el entorno del usuario, a los que suelen llegar archivos o archivos de malware. En la mayoría de los casos, los archivos que contienen virus se obtienen de Internet o del correo electrónico y se guardan en %DATOS DE APLICACIÓN% directorio en el perfil de usuario (%Temperatura% y Archivos temporales de Internet carpetas también se encuentran aquí). Las copias temporales de archivos descomprimidos también se almacenan en este directorio, cuando un usuario sin pensarlo mucho descomprime un archivo recibido por correo electrónico o descargado de Internet.
Cuando configura SRP se pueden utilizar dos estrategias
- Permitir ejecutar ejecutables solo desde determinadas carpetas (como regla, estos son% Windir% y Archivos de programa / Archivos de programa x86): este es el método más confiable, pero requiere un tiempo de depuración prolongado para detectar el software que no funciona en esta configuración
- Evitar que se ejecuten ejecutables en directorios de usuario - Básicamente, estos directorios no deberían tener ejecutables. Sin embargo, estas son las carpetas donde generalmente se encuentran los archivos de virus en una computadora. Además, un usuario sin privilegios de administrador simplemente no tiene derechos para escribir en directorios del sistema que no sean los suyos. Por lo tanto, un virus no podrá colocar su cuerpo en ningún otro lugar que no sea el directorio del perfil de usuario.
Consideraremos la creación de SRP utilizando la segunda estrategia como bastante confiable y requiere menos tiempo al implementarla. Así que creemos una política que bloquee la ejecución de archivos desde ubicaciones específicas. En una computadora local, puede hacerlo usando gpedit.msc consola, y si la política se utilizará en un dominio, cree una nueva política en Administración de políticas de grupo (gpmc.msc) y vincularlo a la unidad organizativa que contiene las computadoras de los usuarios.
Nota. Recomendamos encarecidamente probar las políticas de SRP en un grupo de equipos de prueba antes de implementarlas. Si algunos programas legítimos no se inician debido a SRP, tendrá que agregar algunas reglas permisivas.
En el Editor de GPO, vaya a Configuración de la computadora -> Configuración de Windows -> Configuración de seguridad. Botón derecho del ratón Políticas de restricción de software y seleccione Nuevas políticas de restricción de software.
Seleccione Reglas adicionales y crea una nueva regla usando Nueva regla de ruta.
Cree una regla que evite que se ejecuten los ejecutables * .exe en la carpeta% AppData%. Especifique los siguientes parámetros de la regla:
- Camino:% AppData% *. Exe
- Nivel de seguridad: No permitido
- Descripción: No permita que los ejecutables se ejecuten desde% AppData%
De la misma manera, debe crear las reglas de denegación para las rutas enumeradas en la tabla siguiente. Dado que las variables de entorno y las rutas en Windows 2003 / XP y Windows Vista o superior difieren, la tabla proporciona valores para las versiones de SO correspondientes. Si todavía tiene Windows 2003 / XP en su dominio, será mejor que cree una política separada para ellos y la asigne a la unidad organizativa que contiene estas computadoras usando el filtro GPO WMI por el tipo de sistema operativo.
Descripción | Windows XP y 2003 | Windows Vista / 7/8/10, Windows Server 2008/2012 |
No permita que los ejecutables se ejecuten desde% LocalAppData% | % UserProfile% Configuración local * .exe | % LocalAppData% *. Exe |
No permitir ejecutables de subcarpetas% AppData% | % AppData% * *. Exe | % AppData% * *. Exe |
No permita que los ejecutables se ejecuten desde las subcarpetas% LocalAppData% | % UserProfile% Configuración local * *. Exe | % LocalAppData% * *. Exe |
Bloquear ejecutables ejecutados desde archivos adjuntos abiertos con WinRAR | % Perfil de usuario% Configuración local Temp Rar * *. Exe | % LocalAppData% Temp Rar * *. Exe |
Bloquear ejecutables ejecutados desde archivos adjuntos abiertos con 7zip | % Perfil de usuario% Configuración local Temp 7z * *. Exe | % LocalAppData% Temp 7z * *. Exe |
Bloquear ejecutables ejecutados desde archivos adjuntos abiertos con WinZip | % Perfil de usuario% Configuración local Temp wz * *. Exe | % LocalAppData% Temp wz * *. Exe |
Los ejecutables de bloque se ejecutan desde archivos adjuntos abiertos con el soporte Zip integrado de Windows | % Perfil de usuario% Configuración local Temp *. Zip *. Exe | % LocalAppData% Temp *. Zip *. Exe |
No permita que los ejecutables se ejecuten desde% temp% | % Temp% *. Exe | % Temp% *. Exe |
No permita que los ejecutables se ejecuten desde las subcarpetas% temp% | % Temp% * *. Exe | % Temp% * *. Exe |
Opcional. No permita que los ejecutables se ejecuten desde ningún directorio en el perfil de usuario.
Importante. Tenga cuidado con esta regla ya que algunos programas, como los complementos del navegador, los instaladores, almacenan sus ejecutables en el perfil del usuario. Cree reglas de excepción de SRP para estas aplicaciones |
% Perfil de usuario% * *. Exe | Perfil de usuario% * *. Exe |
También puede agregar sus propios directorios. En nuestro caso, tenemos la siguiente lista de reglas de SRP preventivas.
Como regla general, debe evitar que se ejecuten otros archivos potencialmente peligrosos (* .bat, *. Vbs, * .js, * .wsh, etc.), ya que no solo los archivos * .exe pueden contener código malicioso. Para hacerlo, cambie las rutas en las reglas de SRP eliminando las ocurrencias * .exe. Por lo tanto, evitará que se ejecuten todos los archivos ejecutables y de escenario en estos directorios. La lista de extensiones de archivo "peligrosas" se especifica en los parámetros de la política SRP en Tipos de archivos designados sección. Como puede ver, hay una lista preestablecida de extensiones ejecutables y de script. Puede agregar o eliminar extensiones específicas.
Solo debe asegurarse de que las Políticas de restricción de software funcionen en una computadora cliente. Para hacerlo, actualice las políticas usando el comando gpupdate / force e intente ejecutar un ejecutable * .exe desde cualquiera de las carpetas especificadas. Debería aparecer el siguiente mensaje de error:
El administrador de su sistema ha bloqueado este programa. Para obtener más información, comuníquese con el administrador del sistema.
Los intentos de ejecutar ejecutables desde las carpetas protegidas bloqueadas por las políticas de SRP se pueden rastrear mediante el Registro de eventos de Windows. Los eventos se pueden encontrar en el Solicitud sección con Id. De evento 866 y SoftwareRestricciónPolíticas como fuente, el texto es similar al siguiente:
El acceso a C: Users root AppData Local Temp 71EBBB1F-3073-436E-A3DB-D577172DA029 dismhost.exe ha sido restringido por su administrador por ubicación con la regla de política {31f4bdb9-d39b-4bf3-d628-1b83892c6bd2} colocado en la ruta C: Users admin AppData Local Temp * *. exe.
Consejo. Si la política impide que se ejecute una aplicación de confianza, puede agregar este archivo a las excepciones de la política (y crear una nueva regla que especifique este archivo * .exe con el valor Sin restricciones).
Así que hemos mostrado un ejemplo general de la técnica de la política de restricción de software (SRP o Applocker) para bloquear virus, malware de cifrado o troyanos en las computadoras de los usuarios. La técnica descrita permite aumentar significativamente el nivel de protección del sistema contra la ejecución de código malicioso por parte de usuarios comunes.