Guarda una demo×
×

Guarda NinjaOne in azione!

Inviando questo modulo, accetto La politica sulla privacy di NinjaOne.

Torna ai risultati
  • Windows

Come creare una policy di restrizione software per bloccare gli eseguibili da AppData e dalla cartella Download degli utenti

  • di Team Ninja

Negli ambienti IT complessi di oggi, mantenere la sicurezza degli ambienti degli utenti è essenziale. Per i professionisti IT e i Managed Service Provider (MSP), una sfida è quella di limitare l’esecuzione di eseguibili potenzialmente dannosi che risiedono in luoghi come AppData o nella cartella Download dell’utente. Considerando questa sfida, proponiamo di approfondire una potente soluzione di script per bloccare gli eseguibili da AppData e da altre posizioni designate. 

Comprendere le policy di restrizione software 

Le policy di restrizione software (SRP) sono una funzione di Windows che consente agli amministratori di controllare quali software possono essere eseguiti sui propri computer. L’SRP può essere utilizzato per bloccare specifici file eseguibili, estensioni di file o persino intere directory. 

Quando viene lanciato un file eseguibile, Windows controlla le impostazioni SRP per verificare se il file può essere eseguito. Se il file non può essere eseguito, viene visualizzato un messaggio di errore. 

L’SRP è uno strumento potente che può essere utilizzato per proteggere i computer dal malware e da altre minacce alla sicurezza. Tuttavia, è importante utilizzare SRP con attenzione, poiché può bloccare l’esecuzione di software legittimi.

Lo script Disable-AppDataExe.ps1 

Lo script Disable-AppDataExe.ps1 è uno script PowerShell che può essere utilizzato per bloccare l’esecuzione di file eseguibili nelle directory%AppData% e %UserProfile%Downloads. Lo script per bloccare gli eseguibili da AppData è personalizzabile, in modo da poter scegliere quali estensioni di file bloccare e quali directory limitare. 

#Requires -Version 5.1

<#
.SYNOPSIS
    Creates a Software Restriction Policy to block executables from AppData and a user's Downloads folder.
.DESCRIPTION
    Creates a Software Restriction Policy to block executables from AppData and a user's Downloads folder.
.EXAMPLE
     -RestrictedDirectory "%APPDATA%", "%UserProfile%Downloads"
    Creates a Software Restriction Policy to block executables from AppData and a user's Downloads folder. This is the default.
.EXAMPLE
    PS C:> Disable-AppDataExe.ps1 -RestrictedDirectory "%APPDATA%", "%UserProfile%Downloads"
    Creates a Software Restriction Policy to block executables from AppData and a user's Downloads folder. This is the default.
.OUTPUTS
    None
.NOTES
    Minimum OS Architecture Supported: Windows 10, Windows Server 2016 - DOES NOT SUPPORT WINDOWS 11
    Release Notes:
    Initial Release
    (c) 2023 NinjaOne
    By using this script, you indicate your acceptance of the following legal terms as well as our Terms of Use at https://www.ninjaone.com/terms-of-use.
    Ownership Rights: NinjaOne owns and will continue to own all right, title, and interest in and to the script (including the copyright). NinjaOne is giving you a limited license to use the script in accordance with these legal terms. 
    Use Limitation: You may only use the script for your legitimate personal or internal business purposes, and you may not share the script with another party. 
    Republication Prohibition: Under no circumstances are you permitted to re-publish the script in any script library or website belonging to or under the control of any other software provider. 
    Warranty Disclaimer: The script is provided “as is” and “as available”, without warranty of any kind. NinjaOne makes no promise or guarantee that the script will be free from defects or that it will meet your specific needs or expectations. 
    Assumption of Risk: Your use of the script is at your own risk. You acknowledge that there are certain inherent risks in using the script, and you understand and assume each of those risks. 
    Waiver and Release: You will not hold NinjaOne responsible for any adverse or unintended consequences resulting from your use of the script, and you waive any legal or equitable rights or remedies you may have against NinjaOne relating to your use of the script. 
    EULA: If you are a NinjaOne customer, your use of the script is subject to the End User License Agreement applicable to you (EULA).
#>

[CmdletBinding()]
param (
    # Paths to block executions
    [Parameter()]
    [String[]]
    $RestrictedDirectory = @("%APPDATA%", "%UserProfile%Downloads"),
    # Executables
    [Parameter()]
    [String[]]
    $ExecutableTypes = @("ADE", "ADP", "BAS", "BAT", "CHM", "CMD", "COM", "CPL", "CRT", "EXE", "HLP", "HTA", "INF", "INS", "ISP", "LNK", "MDB", "MDE", "MSC", "MSI", "MSP", "MST", "OCX", "PCD", "PIF", "REG", "SCR", "SHS", "URL", "VB", "WSC")
)

begin {
    function Test-IsElevated {
        $id = [System.Security.Principal.WindowsIdentity]::GetCurrent()
        $p = New-Object System.Security.Principal.WindowsPrincipal($id)
        if ($p.IsInRole([System.Security.Principal.WindowsBuiltInRole]::Administrator))
        { Write-Output $true }
        else
        { Write-Output $false }
    }
}
process {
    if (-not (Test-IsElevated)) {
        Write-Error -Message "Access Denied. Please run with Administrator privileges."
        exit 1
    }
    # Clear existing rules
    $BaseRegPath = 'HKLM:\SOFTWARE\Policies\Microsoft\Windows\safer'
    if (Test-Path "$BaseRegPath") { Remove-Item "$BaseRegPath" -Recurse }
    # Create our rule settings
    New-Item "$BaseRegPath"
    New-Item "$($BaseRegPath)\codeidentifiers"
    New-Item "$($BaseRegPath)\codeidentifiers\0"
    New-Item "$($BaseRegPath)\codeidentifiers\0\Paths"
    New-ItemProperty "$($BaseRegPath)\codeidentifiers" -Name 'authenticodeenabled' -Value 0 -PropertyType DWord
    New-ItemProperty "$($BaseRegPath)\codeidentifiers" -Name 'DefaultLevel' -Value 262144 -PropertyType DWord
    New-ItemProperty "$($BaseRegPath)\codeidentifiers" -Name 'TransparentEnabled' -Value 1 -PropertyType DWord
    New-ItemProperty "$($BaseRegPath)\codeidentifiers" -Name 'PolicyScope' -Value 0 -PropertyType DWord
    New-ItemProperty "$($BaseRegPath)\codeidentifiers" -Name 'ExecutableTypes' -Value $ExecutableTypes -PropertyType MultiString

    foreach ($Directory in $RestrictedDirectory) {
        $pathguid = [guid]::newguid()
        $newpathkey = "$($BaseRegPath)\codeidentifiers\0\Paths{" + $pathguid + "}"
        if ((Test-Path -LiteralPath $newpathkey) -ne $true) { New-Item $newpathkey }
        New-ItemProperty -LiteralPath $newpathkey -Name 'SaferFlags' -Value 0 -PropertyType DWord
        New-ItemProperty -LiteralPath $newpathkey -Name 'ItemData' -Value $Directory -PropertyType ExpandString
    }
    gpupdate.exe /force
}

 

Come utilizzare lo script per bloccare gli eseguibili da AppData 

Per utilizzare lo script per bloccare gli eseguibili da AppData, è necessario avere installato PowerShell ed eseguirlo con privilegi amministrativi. Una volta ottenuto lo script per bloccare gli eseguibili da AppData, è possibile lanciarlo digitando il seguente comando nel prompt di PowerShell: 

.Disable-AppDataExe.ps1

Lo script bloccherà quindi l’esecuzione dei file eseguibili specificati nelle directory specificate. 

Considerazioni finali

Lo script per bloccare gli eseguibili da AppData è uno strumento utile per bloccare l’esecuzione di file eseguibili in directory specifiche. Tuttavia, è importante essere consapevoli dei suoi limiti. Comprendendo il funzionamento di SRP e l’utilizzo dello script per bloccare gli eseguibili da AppData, è possibile contribuire a proteggere i computer da malware e altre minacce alla sicurezza. 

Ecco alcune cose aggiuntive da tenere a mente quando si utilizza lo script per bloccare gli eseguibili da AppData: 

  • Lo script bloccherà solo i file eseguibili che si trovano nelle directory specificate. Non blocca i file eseguibili che si trovano in altre directory, come ad esempio la directory Programmi. 
  • Lo script non blocca i file eseguibili attuati da un prompt dei comandi o da un file batch. 
  • Lo script per bloccare gli eseguibili da AppData può essere aggirato da utenti con privilegi amministrativi. (Potresti essere interessato a scoprire come disabilitare i privilegi amministrativi locali con PowerShell.)

NinjaOne può aiutare i professionisti IT a bloccare senza problemi i file eseguibili su un numero illimitato di endpoint. NinjaOne è una piattaforma di gestione IT basata sul cloud che offre una serie di funzionalità per la sicurezza, tra cui la possibilità di creare e distribuire policy di restrizione software (SRP). La funzione SRP di NinjaOne è facile da usare e può essere personalizzata per bloccare l’esecuzione di file eseguibili in directory specifiche, estensioni di file o persino intere applicazioni. Inoltre, la funzione SRP di NinjaOne può essere gestita a livello centrale, semplificando la scalabilità fino a un numero illimitato di endpoint. 

Ecco alcuni dei vantaggi dell’utilizzo di NinjaOne per bloccare gli eseguibili da AppData:

  • Distribuzione senza problemi: La funzione SRP di NinjaOne può essere distribuita agli endpoint senza bisogno di installazioni o configurazioni individuali. In questo modo è facile distribuire la policy ad un gran numero di endpoint in modo rapido e semplice. 
  • Gestione centralizzata : La funzione SRP di NinjaOne può essere gestita centralmente da un’unica console. In questo modo è facile creare, modificare e distribuire le policy SRP su tutti gli endpoint. 
  • Flessibilità: La funzione SRP di NinjaOne è flessibile e può essere personalizzata per soddisfare le esigenze specifiche della tua organizzazione. È possibile scegliere di bloccare i file eseguibili in base alla directory, all’estensione del file o anche all’applicazione. 
  • Scalabilità: La funzione SRP di NinjaOne può essere scalata fino a un numero illimitato di endpoint. Questo la rende una soluzione ideale per le organizzazioni di tutte le dimensioni. 

Ottieni più informazioni su NinjaOne Endpoint Management.

Passi successivi

La creazione di un team IT efficiente ed efficace richiede una soluzione centralizzata che funga da principale strumento per la fornitura di servizi. NinjaOne consente ai team IT di monitorare, gestire, proteggere e supportare tutti i dispositivi, ovunque essi si trovino, senza la necessità di una complessa infrastruttura locale.

Per saperne di più su NinjaOne Endpoint Management, fai un tour dal vivo, o inizia la tua prova gratuita della piattaforma NinjaOne.

Inizia la tua prova gratuita

Categorie:

Ti potrebbe interessare anche

Download the script

Termini e condizioni NinjaOne

Cliccando sul pulsante “Accetto” qui sotto, dichiari di accettare i seguenti termini legali e le nostre condizioni d’uso:

  • Diritti di proprietà: NinjaOne possiede e continuerà a possedere tutti i diritti, i titoli e gli interessi relativi allo script (compreso il copyright). NinjaOne ti concede una licenza limitata per l’utilizzo dello script in conformità con i presenti termini legali.
  • Limitazione d’uso: Puoi utilizzare lo script solo per legittimi scopi personali o aziendali interni e non puoi condividere lo script con altri soggetti.
  • Divieto di ripubblicazione: In nessun caso ti è consentito ripubblicare lo script in una libreria di script appartenente o sotto il controllo di un altro fornitore di software.
  • Esclusione di garanzia: Lo script viene fornito “così com’è” e “come disponibile”, senza garanzie di alcun tipo. NinjaOne non promette né garantisce che lo script sia privo di difetti o che soddisfi le tue esigenze o aspettative specifiche.
  • Assunzione del rischio: L’uso che farai dello script è da intendersi a tuo rischio. Riconosci che l’utilizzo dello script comporta alcuni rischi intrinseci, che comprendi e sei pronto ad assumerti.
  • Rinuncia e liberatoria: Non riterrai NinjaOne responsabile di eventuali conseguenze negative o indesiderate derivanti dall’uso dello script e rinuncerai a qualsiasi diritto legale o di equità e a qualsiasi rivalsa nei confronti di NinjaOne in relazione all’uso dello script.
  • EULA: Se sei un cliente NinjaOne, l’uso dello script è soggetto al Contratto di licenza con l’utente finale (EULA) applicabile.
Accetto