Ricerca

mercoledì 31 agosto


Bloccare esecuzione di programmi in Windows

Bloccare esecuzione di programmi in Windows

di Michele Nasi (12/12/2014)

Tutte le versioni di Windows integrano un meccanismo detto Software Restriction Policies (SRP) che consente di bloccare l'esecuzione dei programmi. Impostando apposite restrizioni, si può fare in modo che l'esecuzione dei programmi non sia possibile, ad esempio, a partire da alcune cartelle specifiche.

L'utilizzo della funzionalità SRP di Windows consente di proteggere il sistema evitando di eseguire, anche inavvertitamente, virus e malware.
Alcuni malware, infatti, vengono eseguiti a partire da file compressi o avviati aprendo direttamente l'allegato ad un messaggio di posta elettronica.
Quando si avvia un file eseguibile dall'interno di un archivio Zip, ad esempio, questo viene caricato partendo da una sottocartella della directory %temp% di Windows. Bloccando il caricamento dei file eseguibili dalla cartella Temp di Windows, si può automaticamente scongiurare l'esecuzione di elementi potenzialmente dannosi.

Come bloccare l'esecuzione di programmi in Windows

Sebbene il funzionamento di SRP poggi sull'impostazione di apposite policy di gruppo, intervenendo direttamente sulla configurazione del registro di Windows (nelle edizioni meno costose di Windows la finestra per la gestione delle policy di gruppo non è presente), è possibile bloccare l'esecuzione dei programmi in Windows.

Alcuni dei ransomware più pericolosi (vedere Infezione da Cryptolocker e CryptoWall: dati in pericolo; Cryptolocker e CryptoWall: Italia sotto attacco), una volta insediatisi sul sistema dell'utente, vengono caricati a partire dalle cartelle di sistema %appdata% e %localappdata%.

Ecco perché, quindi, un'ottima mossa potrebbe essere quella di bloccare l'avvio di qualsiasi eseguibile dalla cartella %appdata% così come da %localappdata%, %programdata% ed %userprofile%.
Da queste cartelle (a cui ci siamo riferiti utilizzando la corrispondente variabile d'ambiente Windows: Breve guida all'uso delle variabili d'ambiente in Windows) non dovrebbe essere mai necessario, di norma, caricare un file eseguibile.
Quando ciò accade, il programma merita di essere bloccato ed analizzato con attenzione.

Oltre a bloccare l'esecuzione di programmi da cartelle specifiche, può rivelarsi un'ottima idea anche quella di impedire il caricamento di quei file che hanno una doppia estensione. L'utilizzo della doppia estensione è un espediente ampiamente utilizzato dagli sviluppatori di malware. Ancor'oggi, infatti, Windows di default non visualizza le estensioni per i tipi di file conosciuti. Un file che si chiama nome.pdf.exe potrebbe essere visualizzato semplicemente come nome.pdf traendo così in inganno l'utente (con la complicità di un'icona inserita ad arte nel file EXE).
A tal proposito, suggeriamo vivamente la lettura dell'articolo Visualizzare le estensioni dei file in Windows e smascherare chi usa pericolosi trucchi.

Le policy per il blocco dei programmi sono contenute nella seguente chiave del registro di sistema: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\ Microsoft\Windows\safer\codeidentifiers\0\Paths.
Digitando, al prompt dei comandi, quanto segue, è possibile verificare quali restrizioni sono eventualmente imposte:

reg query HKLM\SOFTWARE\Policies\ Microsoft\Windows\safer\codeidentifiers\0\Paths

Nel caso in cui si ricevesse il messaggio d'errore Errore: Impossibile trovare la chiave del Registro di sistema o il valore specificato, significa che nessun criterio restrittivo è attualmente in vigore.

CryptoPrevent: per bloccare programmi senza intervenire sul registro di Windows

L'applicazione gratuita CryptoPrevent consente di bloccare l'esecuzione dei programmi in Windows senza dover metter mano all'Editor del registro di sistema.

Consigliamo l'utilizzo della versione "portable" dell'applicazione, scaricabile gratuitamente cliccando sul link pubblicato nel riquadro di colore giallo in calce all'articolo.

Una volta scaricato l'archivio compresso del programma, si dovrà estrarne il contenuto in una cartella di propria scelta quindi fare doppio clic sul file CryptoPrevent.exe.

Bloccare esecuzione di programmi in Windows

Con un clic sul pulsante OK, si accederà alla finestra principale di CryptoPrevent.

Bloccare esecuzione di programmi in Windows

L'opzione selezionata in modo predefinito è Default: consente di bloccare l'esecuzione dei programmi dalle principali cartelle di sistema (solo le directory dove gli eseguibili non dovrebbero esservi...!) e di scongiurare l'esecuzione dei file dotati di doppia estensione.

Scegliendo l'opzione Maximum protection, CryptoPrevent bloccherà anche il caricamento degli eseguibili dalla cartella %temp% nonché il caricamento di BCDEDIT.EXE (per evitare che un malware possa alterare le opzioni di boot di Windows).
L'attivazione della Maximum protection potrebbe impattare negativamente sulle procedura d'installazione di alcuni software e sul funzionamento di certe applicazioni per il backup dei dati.
In caso di problemi, si potranno disattivare – almeno temporaneamente – i criteri di protezione impostati con CryptoPrevent.

Dopo aver fatto clic sul pulsante Apply, suggeriamo di rispondere affermativamente alla comparsa del messaggio che segue:

Bloccare esecuzione di programmi in Windows

Agendo sulla successiva finestra, si dovrà indicare a CryptoLocker che cosa fare con gli eventuali elementi presenti nelle cartelle oggetto d'intervento.

Bloccare esecuzione di programmi in Windows

Rispondendo , tutti i file presenti nelle cartelle oggetto di restrizione saranno automaticamente inseriti in una "white list" e potranno così essere regolarmente avviati. Viceversa, rispondendo No, l'esecuzione di qualunque file sarà impedita perché sarà gestita da Windows attenendosi alle restrizioni (SRP) impostate con CryptoPrevent.

Alla comparsa del messaggio Policies created, but you should restart the PC to ensure the changes take effect, si dovrà cliccare il pulsante in modo da riavviare il sistema (solo così le restrizioni diverranno effettive).

Rientrando in Windows e provando ad avviare un eseguibile da una delle cartelle oggetto di restrizione, si otterrà un messaggio simile al seguente:

Bloccare esecuzione di programmi in Windows

Avviando nuovamente CryptoPrevent quindi cliccando sul menù Advanced, Software restriction policy editor, si otterrà l'elenco completo delle restrizioni impostate in Windows:

Bloccare esecuzione di programmi in Windows

Con un clic sul menù Advanced, Show more advanced options, invece, si potranno eventualmente attivare ulteriori restrizioni.

Bloccare esecuzione di programmi in Windows

Molto interessanti ed utili sono %localappdata%\* e Block executables temporarily extracted from archives che consentono, rispettivamente, di bloccare l'esecuzione di file dalla cartella temporanea e dagli archivi compressi.

Grazie all'intervento appena apportato, eventuali malware che gli utenti dovessero eseguire per sbaglio o per distrazione non avrebbero vita facile sul sistema ed il loro caricamento verrebbe immediatamente bloccato da parte di Windows.
Ovviamente, l'utilizzo di SRP non sostituisce l'utilizzo di una valida soluzione antimalware, meglio se integra funzionalità per l'analisi comportamentale, meglio se si avvale anche di meccanismi di "intelligenza collettiva", meglio se "centralizzata".

CryptoPrevent portable

Download: foolishit.com (cliccare su Download CryptoPrevent in calce alla pagina)
Compatibile con: Windows XP, Windows Vista, Windows 7, Windows 8, Windows 8.1, Windows 10
Licenza: Freeware

Articolo seguente: Scansione antivirus online: come prevenire infezioni malware
Articolo precedente: Come creare partizione di ripristino in Windows
30826 letture
Ultimi commenti
inviato da unax > pubblicato il 25/03/2016 09:48:50
ma se io volessi aggiungere nuove regole alla chiave HKEY_LOCAL_MACHINE\SOFTWARE\Policies\ Microsoft\Windows\safer\codeidentifiers\0\Paths come fa cryptoprevent? perchè io ho provato ad esempio ad impedire l'esecuzione di exe dalla cartella documenti ma non funziona gli exe continuano ad esere eseguiti
inviato da XYZs > pubblicato il 28/02/2016 06:03:36
Su windows 8.1 e 10 può dare problemi con l'installazione/aggiornamento delle app? visto che gli eseguibili, almeno nel caso di 8.1 sono sotto C:\Users\***\AppData\Local\Packages\***
inviato da Michele Nasi > pubblicato il 16/03/2015 09:05:35
Controllo Gustavo, intanto grazie per la tua verifica :wink: ...Se anche qualcun altro riuscisse a fare intanto qualche ulteriore test...
inviato da Gustavo > pubblicato il 16/03/2015 09:00:05
Ciao Michele, ho aggiornato e ripetuto i test su W8.1. Se la qualità della .gif è troppo bassa, la uppo con qualche colore in più :mrgreen: Non viene ripreso l'UAC che parte appena dopo aver cliccato su IObitUninstallerPortable.exe, ma si vede lampeggiare la carrella (si dovrebbe capire che da una sottocartella di %temp% riesco a far partire un programma e da %temp% lo stesso programma è bloccato) http://i.imgur.com/L8qwBME.gif Impostazioni: http://i.imgur.com/Z9GB5b8.png http://i.imgur.com/X0vskfq.png
inviato da Michele Nasi > pubblicato il 25/12/2014 08:57:53
Per effettuare automaticamente le modifiche sulle chiavi di registro indicate, ho presentato il software CryptoPrevent. Se lo utilizzi potrai immediatamente verificare quali interventi vengono apportati sul contenuto delle chiavi indicate. Ritengo che l'articolo sia completo; forse non sono stato sufficientemente chiaro nell'esposizione?
inviato da Bruno.M > pubblicato il 24/12/2014 18:35:54
Mancano le istruzioni di cosa scrivere nel registro nel percorso indicato per ottenere il blocco voluto!! Anche per i file che hanno doppie estensioni. Così l'articolo è incompleto.


Leggi tutti i commenti

Commenta anche su Facebook
Link alla home page de IlSoftware.it

P.IVA: 02472210547 | Copyright © 2001 - 2016

PRIVACY | INFORMATIVA ESTESA COOKIES | Info legali | Pubblicità | Contatti | Storia | Supporta | Credits

Segui i nostri Feed RSS de IlSoftware.it Segui i nostri Feed RSS