攻撃者が悪用するコマンドを制限してみた

 トピック
 公開日:2015年12月2日

★追記。
Windows10では、
Enterprise/Educationなエディションでないと
AppLockerは使えないようです。こちらを参照。
win7からアップグレードしたら使えなくなってた(^_^;)

「攻撃者が悪用するWindowsコマンド」
のランキングが発表されたそうです。
こちらこちら

 ということで、
こちらこちらを参考にコマンドの使用を制限してみました。
AppLockerというのを使って設定するようです。

 ところで、
コマンドのパスを調べるには、コマンドプロンプトから
例えば > where tasklistとか入力すれば分かります。
ただ、
ver はコマンドシェルのビルトインなコマンドのようなので、
ファイルとして存在してないようです。

 なお、
規則の初回追加時は以下のようなダイアログが出るので、
「はい」を選ぶようにします。

 ちなみに、
私が拒否設定にしてみたのは、
tasklist, net, ping, reg, at, wmic 
の6つ。
よく分かってないけど、これらを使えなくしておけば、良さげ?
qprocess や query も要らなそうだなぁ。
というか、初めて知ったコマンドが結構ある(^_^;)
個人的にたぶん使いそうにないので問題ないかと。
ipconfig はたまに使うので除外しました。

タグ:

コメント投稿