[GP]プログラムの実行禁止にするレジストリ

さて、今回は、グループポリシーで設定できる「コンピューターの構成⇒セキュリティの設定⇒ソフトウェアの制限ポリシー⇒追加の規制」の設定で行われる
レジストリです。

なお、追加の規制を設定したければ事前にソフトウェアの制限ポリシーの設定を設定するのが良いと思います。
今回の案件については、いくつか課題が残っていますが参考情報として公開しておきます。

1.制限ポリシーを有効にする
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\safer\codeidentifiers]
“authenticodeenabled”=dword:00000000
“DefaultLevel”=dword:00040000
“TransparentEnabled”=dword:00000001
“PolicyScope”=dword:00000000
“ExecutableTypes”=hex(7):41,00,44,00,45,00,00,00,41,00,44,00,50,00,00,00,42,00,\
41,00,53,00,00,00,42,00,41,00,54,00,00,00,43,00,48,00,4d,00,00,00,43,00,4d,\
00,44,00,00,00,43,00,4f,00,4d,00,00,00,43,00,50,00,4c,00,00,00,43,00,52,00,\
54,00,00,00,45,00,58,00,45,00,00,00,48,00,4c,00,50,00,00,00,48,00,54,00,41,\
00,00,00,49,00,4e,00,46,00,00,00,49,00,4e,00,53,00,00,00,49,00,53,00,50,00,\
00,00,4c,00,4e,00,4b,00,00,00,4d,00,44,00,42,00,00,00,4d,00,44,00,45,00,00,\
00,4d,00,53,00,43,00,00,00,4d,00,53,00,49,00,00,00,4d,00,53,00,50,00,00,00,\
4d,00,53,00,54,00,00,00,4f,00,43,00,58,00,00,00,50,00,43,00,44,00,00,00,50,\
00,49,00,46,00,00,00,52,00,45,00,47,00,00,00,53,00,43,00,52,00,00,00,53,00,\
48,00,53,00,00,00,55,00,52,00,4c,00,00,00,56,00,42,00,00,00,57,00,53,00,43,\
00,00,00,00,00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\safer\codeidentifiers\262144\Paths\{191cd7fa-f240-4a17-8986-94d480a6c8ca}]
“LastModified”=hex(b):c3,38,3a,dd,c5,34,d0,01
“Description”=””
“SaferFlags”=dword:00000000
“ItemData”=hex(2):25,00,48,00,4b,00,45,00,59,00,5f,00,4c,00,4f,00,43,00,41,00,\
4c,00,5f,00,4d,00,41,00,43,00,48,00,49,00,4e,00,45,00,5c,00,53,00,4f,00,46,\
00,54,00,57,00,41,00,52,00,45,00,5c,00,4d,00,69,00,63,00,72,00,6f,00,73,00,\
6f,00,66,00,74,00,5c,00,57,00,69,00,6e,00,64,00,6f,00,77,00,73,00,20,00,4e,\
00,54,00,5c,00,43,00,75,00,72,00,72,00,65,00,6e,00,74,00,56,00,65,00,72,00,\
73,00,69,00,6f,00,6e,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,\
00,6f,00,74,00,25,00,00,00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\safer\codeidentifiers\262144\Paths\{d2c34ab2-529a-46b2-b293-fc853fce72ea}]
“LastModified”=hex(b):02,84,3c,dd,c5,34,d0,01
“Description”=””
“SaferFlags”=dword:00000000
“ItemData”=hex(2):25,00,48,00,4b,00,45,00,59,00,5f,00,4c,00,4f,00,43,00,41,00,\
4c,00,5f,00,4d,00,41,00,43,00,48,00,49,00,4e,00,45,00,5c,00,53,00,4f,00,46,\
00,54,00,57,00,41,00,52,00,45,00,5c,00,4d,00,69,00,63,00,72,00,6f,00,73,00,\
6f,00,66,00,74,00,5c,00,57,00,69,00,6e,00,64,00,6f,00,77,00,73,00,5c,00,43,\
00,75,00,72,00,72,00,65,00,6e,00,74,00,56,00,65,00,72,00,73,00,69,00,6f,00,\
6e,00,5c,00,50,00,72,00,6f,00,67,00,72,00,61,00,6d,00,46,00,69,00,6c,00,65,\
00,73,00,44,00,69,00,72,00,25,00,00,00

このレジストリは、制限を有効にすると自動的に追加されます。
ホワイトリスト方式かブラックリスト方式かですが基本ブラックリスト方式になるようです。

で、制限するプログラムを追記した場合は以下のような記載になります。

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\safer\codeidentifiers\0\Paths\{55cb6814-28c6-402b-9015-4acfe982f158}]
“LastModified”=hex(b):95,29,08,51,c6,34,d0,01
“Description”=””
“SaferFlags”=dword:00000000
“ItemData”=”TeamViewer.exe”

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\safer\codeidentifiers\0\Paths\{c948d236-44e9-4e72-9f70-88353cb0884a}]
“LastModified”=hex(b):e1,23,b3,e9,c6,34,d0,01
“Description”=””
“SaferFlags”=dword:00000000
“ItemData”=”C:\\Program Files (x86)\\TeamViewer\\TeamViewer.exe”

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\safer\codeidentifiers\0\Paths\{e78a5d05-48e3-422f-8603-8008733fa7d5}]
“LastModified”=hex(b):21,20,e7,e9,c5,34,d0,01
“Description”=””
“SaferFlags”=dword:00000000
“ItemData”=”*teamviewer*.exe”

なお、今回の課題はpathsの後ろが動的に生成されることです。
このレジストリを追加しても制限は可能ですがちょっとねぇ。

制限するレジストリについての説明を。

SaferFlags (REG_DWORD)
0:ブロック

ItemData(REG_SZ)
ブロックするプログラム名

となります。
ではでは。

タイトルとURLをコピーしました