Author: the-x.ru

@Echo Off

:: Перечисляем пути для обработки

Set ForbiddenDirs[]=^

“%SystemDrive%\Users\%UserName%\AppData\Local\Mail.Ru”,^

“%SystemDrive%\Users\%UserName%\AppData\Local\MailRu”,^

“%SystemDrive%\Users\%UserName%\AppData\Local\Unity”,^

“%SystemDrive%\Users\%UserName%\AppData\Local\Amigo”,^

“%SystemDrive%\Users\%UserName%\AppData\Local\Apps”

:: Удаляем существующие папки, создаём новые и выставляем права

For %%A In (%ForbiddenDirs[]%) Do (

RD “%%~A” /S /Q

MD “%%~A”

Echo y|cacls “%%~A” /C /G domain.ru\adminuser:F

)

“Дальше всё просто — ставим запуск этого файла в логон скрипты, или в назначенные задания (для пользователя при входе в систему), и наслаждаемся результатом! ”
https://habrahabr.ru/post/269321/

Но товарищ yosemity высказался о более грамотной политике, и я полностью с ним согласен:

“Это очень легко решается. Убираем незамедлительно у всех админские права. Включаем SRP так же для всех (включая гендира) SRP работает начиная с ХР проф, не надо никаких Этерпрайзных Семерок. Запуск софта разрешен только из %WINDIR% и %ProgramFiles% (+x86). Юзер не может писать в указанные выше директории, следовательно не может запустить оттуда левую прогу. Из своего профиля, или из любого другого места, хоть обзапускайся, винда не разрешит. ВЕСЬ Софт разворачивается централизованно через LUP. Опционально: включаем централизованный мониторинг логов SRP с клиентских машин и весело наблюдаем за попытками бухгалтерии запустить очередной вирус «от налоговой». Спасает не только от всяких «Амигов», но и от любой заразы, даже неизвестной антивирусам.
Это всего один раз вникнуть в тему и на 99% снизить риск. Дополнительно запиливаем всем EMET с правилами (Popular и Recomended Software), чтобы повысить защиту софта от 0-day.
Ну а колхозить такие убивальщики… наверное интересно, но абсолютно неэффективно.
Добавлю, что все вышеуказанное с успехом работает у нас не первый год.”

Вот бомба:

“gpedit.msc -> Конфигурация компьютера -> Конфигурация Windows -> Параметры безопасности -> Политики ограниченного использования программ
В случае, если правил нет, система предложит сгенерировать автоматические правила, разрешающие запуск программ из папки Windows и Program Files. Так же добавим запрещающее правило для пути * (любой путь). В результате мы хотим получить возможность запуска программ только из защищенных системных папок. И что же?
Да, это мы и получим, но вот только маленькая незадача — не работают ярлыки и httpss ссылки. На ссылки еще можно забить, а без ярлыков жить плоховато.
gpedit.msc -> Конфигурация компьютера -> Конфигурация Windows -> Параметры безопасности -> Назначенные типы файлов.
Удаляем оттуда LNK и заодно HTTP и релогинимся. Получаем полностью рабочие ярлычки и проверку на местонахождение исполняемого файла.
Было сомнение, можно ли будет передавать через ярлыки параметры — можно, так что все ок.
Также для любителей стрелять себе в ногу, можно создать папку в Program Files и кинуть ярлык для нее на рабочий стол, назвав, например «Песочницей». Это позволит запускать оттуда программы без отключения политик, пользуясь защищенным хранилищем (защита через UAC).”

https://habrahabr.ru/post/101971/

И проверить всё AccessEnum

Плюсом я бы к запускаемым добавит js, jsn, vbs и т.п., чтобы убить шифровальщиков и т.п.

А если настроить еще и автоперенос и автоклин темпов через ГПО возможно – вообще супер получится!