Cómo crear una directiva de restricción de software para bloquear los ejecutables de AppData y de la carpeta de descargas de los usuarios

En los complejos entornos informáticos de hoy en día, mantener la seguridad de los entornos de usuario es primordial. Para los profesionales de TI y los proveedores de servicios gestionados (MSP), uno de los retos es restringir la ejecución de ejecutables potencialmente dañinos que residen en ubicaciones como AppData o la carpeta de descargas del usuario. Teniendo en cuenta este reto, vamos a profundizar en una potente solución de script para bloquear los ejecutables de AppData y otras ubicaciones designadas.

Entender las directivas de restricción de software

Las directivas de restricción de software (SRP) son una característica de Windows que permite a los administradores controlar qué software puede ejecutarse en sus ordenadores. Una SRP puede utilizarse para bloquear archivos ejecutables específicos, extensiones de archivo o incluso directorios enteros.

Cuando se ejecuta un archivo ejecutable, Windows comprueba la configuración SRP para ver si se permite la ejecución del archivo. Si el archivo no puede ejecutarse, aparecerá un mensaje de error.

La SRP es una potente herramienta que puede utilizarse para ayudar a proteger los ordenadores contra el malware y otras amenazas a la seguridad. Sin embargo, es importante utilizarla con cuidado, ya que también puede bloquear la ejecución de software legítimo.

El script Disable-AppDataExe.ps1

El script Disable-AppDataExe.ps1 es un script de PowerShell que se puede utilizar para bloquear la ejecución de archivos ejecutables en los directorios %AppData% y %UserProfile%Downloads. El script para bloquear los ejecutables de AppData es personalizable, por lo que puedes elegir qué extensiones de archivo bloquear y qué directorios restringir.

#Requires -Version 5.1

<#
.SYNOPSIS
    Creates a Software Restriction Policy to block executables from AppData and a user's Downloads folder.
.DESCRIPTION
    Creates a Software Restriction Policy to block executables from AppData and a user's Downloads folder.
.EXAMPLE
     -RestrictedDirectory "%APPDATA%", "%UserProfile%Downloads"
    Creates a Software Restriction Policy to block executables from AppData and a user's Downloads folder. This is the default.
.EXAMPLE
    PS C:> Disable-AppDataExe.ps1 -RestrictedDirectory "%APPDATA%", "%UserProfile%Downloads"
    Creates a Software Restriction Policy to block executables from AppData and a user's Downloads folder. This is the default.
.OUTPUTS
    None
.NOTES
    Minimum OS Architecture Supported: Windows 10, Windows Server 2016 - DOES NOT SUPPORT WINDOWS 11
    Release Notes:
    Initial Release
    (c) 2023 NinjaOne
    By using this script, you indicate your acceptance of the following legal terms as well as our Terms of Use at https://www.ninjaone.com/terms-of-use.
    Ownership Rights: NinjaOne owns and will continue to own all right, title, and interest in and to the script (including the copyright). NinjaOne is giving you a limited license to use the script in accordance with these legal terms. 
    Use Limitation: You may only use the script for your legitimate personal or internal business purposes, and you may not share the script with another party. 
    Republication Prohibition: Under no circumstances are you permitted to re-publish the script in any script library or website belonging to or under the control of any other software provider. 
    Warranty Disclaimer: The script is provided “as is” and “as available”, without warranty of any kind. NinjaOne makes no promise or guarantee that the script will be free from defects or that it will meet your specific needs or expectations. 
    Assumption of Risk: Your use of the script is at your own risk. You acknowledge that there are certain inherent risks in using the script, and you understand and assume each of those risks. 
    Waiver and Release: You will not hold NinjaOne responsible for any adverse or unintended consequences resulting from your use of the script, and you waive any legal or equitable rights or remedies you may have against NinjaOne relating to your use of the script. 
    EULA: If you are a NinjaOne customer, your use of the script is subject to the End User License Agreement applicable to you (EULA).
#>

[CmdletBinding()]
param (
    # Paths to block executions
    [Parameter()]
    [String[]]
    $RestrictedDirectory = @("%APPDATA%", "%UserProfile%Downloads"),
    # Executables
    [Parameter()]
    [String[]]
    $ExecutableTypes = @("ADE", "ADP", "BAS", "BAT", "CHM", "CMD", "COM", "CPL", "CRT", "EXE", "HLP", "HTA", "INF", "INS", "ISP", "LNK", "MDB", "MDE", "MSC", "MSI", "MSP", "MST", "OCX", "PCD", "PIF", "REG", "SCR", "SHS", "URL", "VB", "WSC")
)

begin {
    function Test-IsElevated {
        $id = [System.Security.Principal.WindowsIdentity]::GetCurrent()
        $p = New-Object System.Security.Principal.WindowsPrincipal($id)
        if ($p.IsInRole([System.Security.Principal.WindowsBuiltInRole]::Administrator))
        { Write-Output $true }
        else
        { Write-Output $false }
    }
}
process {
    if (-not (Test-IsElevated)) {
        Write-Error -Message "Access Denied. Please run with Administrator privileges."
        exit 1
    }
    # Clear existing rules
    $BaseRegPath = 'HKLM:\SOFTWARE\Policies\Microsoft\Windows\safer'
    if (Test-Path "$BaseRegPath") { Remove-Item "$BaseRegPath" -Recurse }
    # Create our rule settings
    New-Item "$BaseRegPath"
    New-Item "$($BaseRegPath)\codeidentifiers"
    New-Item "$($BaseRegPath)\codeidentifiers\0"
    New-Item "$($BaseRegPath)\codeidentifiers\0\Paths"
    New-ItemProperty "$($BaseRegPath)\codeidentifiers" -Name 'authenticodeenabled' -Value 0 -PropertyType DWord
    New-ItemProperty "$($BaseRegPath)\codeidentifiers" -Name 'DefaultLevel' -Value 262144 -PropertyType DWord
    New-ItemProperty "$($BaseRegPath)\codeidentifiers" -Name 'TransparentEnabled' -Value 1 -PropertyType DWord
    New-ItemProperty "$($BaseRegPath)\codeidentifiers" -Name 'PolicyScope' -Value 0 -PropertyType DWord
    New-ItemProperty "$($BaseRegPath)\codeidentifiers" -Name 'ExecutableTypes' -Value $ExecutableTypes -PropertyType MultiString

    foreach ($Directory in $RestrictedDirectory) {
        $pathguid = [guid]::newguid()
        $newpathkey = "$($BaseRegPath)\codeidentifiers\0\Paths{" + $pathguid + "}"
        if ((Test-Path -LiteralPath $newpathkey) -ne $true) { New-Item $newpathkey }
        New-ItemProperty -LiteralPath $newpathkey -Name 'SaferFlags' -Value 0 -PropertyType DWord
        New-ItemProperty -LiteralPath $newpathkey -Name 'ItemData' -Value $Directory -PropertyType ExpandString
    }
    gpupdate.exe /force
}

 

Cómo utilizar el script para bloquear los ejecutables de AppData

Para utilizar el script para bloquear los ejecutables de AppData, necesitarás tener PowerShell instalado y ejecutarlo con privilegios administrativos. Una vez que tengas el script para bloquear los ejecutables de AppData, puedes ejecutarlo escribiendo el siguiente comando en el prompt de PowerShell:

.Disable-AppDataExe.ps1

El script bloqueará la ejecución de los archivos ejecutables especificados en los directorios especificados.

Reflexiones finales

El script para bloquear los ejecutables de AppData es una herramienta útil para bloquear la ejecución de archivos ejecutables en directorios específicos. Sin embargo, es importante ser conscientes de sus limitaciones. Si comprendes cómo funciona la SRP y cómo utilizar el script, podrás ayudar a proteger tus ordenadores frente al malware y otras amenazas para la seguridad.

Aquí hay algunas cosas adicionales a tener en cuenta cuando se utiliza el script para bloquear los ejecutables de AppData:

  • El script sólo bloqueará los archivos ejecutables que se encuentren en los directorios especificados. No bloqueará los archivos ejecutables que se encuentren en otros directorios, como el directorio Archivos de programa.
  • El script no bloqueará los archivos ejecutables que se ejecuten desde un símbolo del sistema o un archivo por lotes.
  • El script puede ser evitado por usuarios con privilegios administrativos (¿tal vez te interese este post sobre cómo desactivar privilegios administrativos locales con PowerShell?).

NinjaOne puede ayudar a los profesionales de TI a bloquear sin problemas archivos ejecutables en un número ilimitado de endpoints. NinjaOne es una plataforma de gestión de TI basada en la nube que ofrece una variedad de características para la seguridad, incluyendo la capacidad de crear y desplegar directivas de restricción de software (SRP). La función SRP de NinjaOne es fácil de usar y se puede personalizar para bloquear la ejecución de archivos ejecutables en directorios específicos, extensiones de archivo o incluso aplicaciones enteras. Además, la función SRP de NinjaOne se puede gestionar de forma centralizada, lo que facilita la ampliación a un número ilimitado de endpoints.

Estas son algunas de las ventajas de utilizar NinjaOne para bloquear archivos ejecutables:

  • Despliegue sin interrupciones: la función SRP de NinjaOne puede desplegarse en los endpoints sin necesidad de instalaciones o configuraciones individuales. Esto facilita el despliegue de la directiva en un gran número de endpoints de forma rápida y sencilla.
  • Gestión centralizada: la función SRP de NinjaOne puede gestionarse de forma centralizada desde una única consola. Esto facilita la creación, modificación y despliegue de directivas SRP en todos tus endpoints.
  • Flexibilidad: la función SRP de NinjaOne es flexible y puede personalizarse para satisfacer las necesidades específicas de tu organización. Puedes elegir bloquear archivos ejecutables por directorio, extensión de archivo o incluso aplicación.
  • Escalabilidad: la función SRP de NinjaOne puede ampliarse hasta un número ilimitado de endpoints, lo que la convierte en una gran solución para organizaciones de todos los tamaños.

Más información sobre NinjaOne Endpoint Management.

Categorías:

Quizá también te interese…

×

¡Vean a NinjaOne en acción!

Al enviar este formulario, acepto la política de privacidad de NinjaOne.

Términos y condiciones de NinjaOne

Al hacer clic en el botón “Acepto” que aparece a continuación, estás aceptando los siguientes términos legales, así como nuestras Condiciones de uso:

  • Derechos de propiedad: NinjaOne posee y seguirá poseyendo todos los derechos, títulos e intereses sobre el script (incluidos los derechos de autor). NinjaOne concede al usuario una licencia limitada para utilizar el script de acuerdo con estos términos legales.
  • Limitación de uso: solo podrás utilizar el script para tus legítimos fines personales o comerciales internos, y no podrás compartirlo con terceros.
  • Prohibición de republicación: bajo ninguna circunstancia está permitido volver a publicar el script en ninguna biblioteca de scripts que pertenezca o esté bajo el control de cualquier otro proveedor de software.
  • Exclusión de garantía: el script se proporciona “tal cual” y “según disponibilidad”, sin garantía de ningún tipo. NinjaOne no promete ni garantiza que el script esté libre de defectos o que satisfaga las necesidades o expectativas específicas del usuario.
  • Asunción de riesgos: el uso que el usuario haga del script corre por su cuenta y riesgo. El usuario reconoce que existen ciertos riesgos inherentes al uso del script, y entiende y asume cada uno de esos riesgos.
  • Renuncia y exención: el usuario no hará responsable a NinjaOne de cualquier consecuencia adversa o no deseada que resulte del uso del script y renuncia a cualquier derecho o recurso legal o equitativo que pueda tener contra NinjaOne en relación con su uso del script.
  • CLUF: si el usuario es cliente de NinjaOne, su uso del script está sujeto al Contrato de Licencia para el Usuario Final (CLUF).