2022-02-17 Thu: Discord 乗っ取り対策のため、制御文字 RLO が挿入されているファイルの実行を制限する
#2022-02-17 #2022-02 #2022 #Thu #Windows #Windows11
キッカケ
Twitter で話題になった下記。
Discordでexeファイルによる乗っ取りが問題になっており「exeファイルを開かない」という人もいるが、拡張子を偽造する手口もあるので注意してほしい
ゴール
グループポリシーエディタ を使用して、パスに制御文字 RLO が含まれていた場合にファイルを実行出来ないようにする。
手順
Windows キー => cmd で検索し、コマンドプロンプト を右クリック => 管理者として実行 をクリック
https://gyazo.com/f46eb465196ab9556b24002e1aedef93
※ 設定次第で、UAC (パスワード確認)が出てくることもある。
コマンドプロンプトに、gpedit と入力し、グループポリシーエディターを開く。
https://gyazo.com/6137d75d5dc1964d612bd8d5d048aff9
コンピュータの構成 => Windowsの設定 => セキュリティの設定 => ソフトウェアの制限ポリシー を右クリックし、新しい制限ポリシーの追加 をクリック。
https://gyazo.com/cd47e58731ab18f421759bdc9dc2158b
追加の規則 をダブルクリック。
https://gyazo.com/6fca4329c99555a6ede66977033ffaa0
右ペインの空いているところで、右クリックし、新しいパスの規則 をクリック。
https://gyazo.com/9a3fb3857885a5f7568b0f458650769a
パスに ** を入力し、二つの記号の間で右クリックし、RLO を挿入する。
https://gyazo.com/f3861b3427ed3079cd98e07843027340
セキュリティレベルが、許可しない になっていることを確認。説明はわかりやすいよう記載する(任意)。
私は説明に、Restricts the execution of files that contain the control character RLO in the file name. と入力した。(英語が正しいのかは、知らない)
https://gyazo.com/543e8004f10cfd1b983de937ff91d82e
OK をクリックして完了。グループポリシーエディターを閉じる。
結果確認
ササッと exe を作って試した。エラー内容的にポリシー違反で引っかかったのかが判断が難しい。。
なお、その実行ファイルは即 Windows Defender にさらわれたw
https://gyazo.com/c50a9085682dbc4ee7f34462fb95a711
参考:Windows Defender の保護の履歴
https://gyazo.com/d42785309877430f87c438903121e242