“Дальше всё просто — ставим запуск этого файла в логон скрипты, или в назначенные задания (для пользователя при входе в систему), и наслаждаемся результатом! ”
https://habrahabr.ru/post/269321/
Но товарищ yosemity высказался о более грамотной политике, и я полностью с ним согласен:
Это всего один раз вникнуть в тему и на 99% снизить риск. Дополнительно запиливаем всем EMET с правилами (Popular и Recomended Software), чтобы повысить защиту софта от 0-day.
Ну а колхозить такие убивальщики… наверное интересно, но абсолютно неэффективно.
Добавлю, что все вышеуказанное с успехом работает у нас не первый год.”
Вот бомба:
“gpedit.msc -> Конфигурация компьютера -> Конфигурация Windows -> Параметры безопасности -> Политики ограниченного использования программ
В случае, если правил нет, система предложит сгенерировать автоматические правила, разрешающие запуск программ из папки Windows и Program Files. Так же добавим запрещающее правило для пути * (любой путь). В результате мы хотим получить возможность запуска программ только из защищенных системных папок. И что же?
Да, это мы и получим, но вот только маленькая незадача — не работают ярлыки и httpss ссылки. На ссылки еще можно забить, а без ярлыков жить плоховато.
gpedit.msc -> Конфигурация компьютера -> Конфигурация Windows -> Параметры безопасности -> Назначенные типы файлов.
Удаляем оттуда LNK и заодно HTTP и релогинимся. Получаем полностью рабочие ярлычки и проверку на местонахождение исполняемого файла.
Было сомнение, можно ли будет передавать через ярлыки параметры — можно, так что все ок.
Также для любителей стрелять себе в ногу, можно создать папку в Program Files и кинуть ярлык для нее на рабочий стол, назвав, например «Песочницей». Это позволит запускать оттуда программы без отключения политик, пользуясь защищенным хранилищем (защита через UAC).”
https://habrahabr.ru/post/101971/
И проверить всё AccessEnum
Плюсом я бы к запускаемым добавит js, jsn, vbs и т.п., чтобы убить шифровальщиков и т.п.
А если настроить еще и автоперенос и автоклин темпов через ГПО возможно – вообще супер получится!