none
GPO ソフトウェアの制限のポリシー(RLO拡張子偽装の対策)について RRS feed

  • 質問

  • お世話になります。

    ou fuと申します。

    ・Windows Server 2008 Standard SP2
    ・Windows 7 Enterprise

    RLO拡張子偽装の対策として、グループポリシーにて以下の設定およびリンクをしています。

     [設定項目]
    「ユーザー構成」-「Windowsの設定」-「セキュリティの設定」-「ソフトウェアの制限のポリシー」
    「新しいソフトウェアの制限のポリシー(S)」-「追加の規則」-「新しいパスの規則(P)…」

     [内容]
    「新しいパスの規則」の画面が出たら、パス(P)の欄に「**」(アスタリスク2つ)を入力
    「*」と「*」の間にカーソルを合わせ右クリックし、表示されたメニューから「Unicode制御文字の挿入」
     →「RLO Start of right-to-left override」を選択

    拡張子が「exe」ファイルのファイル名にRLOを挿入し偽装した場合、開こうとすると
    「グループポリシーによりこのプログラムはブロックされています。詳細はシステム管理者に問い合わせてください」
    と表示され、ブロックされたことが確認できます。

    その他の「pdf」「txt」などのファイル名にRLOを挿入し偽装した場合、ブロックされません。
    アプリケーションが起動し、ファイルが開きます。

    これらもブロックすることは不可能なのでしょうか?

    RLOが挿入された場合、挿入されたすべてがブロックされる認識でいます。

    宜しくお願いいたします。

    2016年4月20日 5:09

回答

  • チャブーンです。

    この件ですが、おそらくこちらのページをご覧になったのだと思っています。

    http://www.atmarkit.co.jp/ait/articles/0909/28/news088_3.html

    前提ですが、この設定は「記事を書かれた方」の提案のひとつであり、MSが何らかのお墨付き(保証)を与えたものではありません。ですから広範囲な効果を期待するのは、いささか筋が違う気がします。

    そのうえでですが、おっしゃる動作(pdfやtxtでは制限されない)は仕様通りという認識です。うえの記事のグループポリシーの制限は「右から左に書かれたファイル名の『プログラム』」を制限します。一般には意識されませんが、プログラムではなくファイルをダブルクリックした場合、内部的には以下のようなコマンドラインが生成されて実行します。たとえばtxtの場合、

    "C:\Windows\system32\NOTEPAD.EXE" C:\Users\Chaboon\Desktop\text.txt

    というように、ファイル名は紐づけられた(別の)プログラムの引数として実行されます。このプログラム(ここではNOTEPAD.EXE)は「右から左に書かれたファイル名」ではないため、制限の対象にはなりません。

    うえの記事の対象範疇としては、あくまで自身がexeファイルを前提としたものであり、単体で送られてくるようなマルウェアを想定したという理解です。記事の内容自体に無理はないと思います。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    • 回答の候補に設定 佐伯玲 2016年4月22日 1:02
    • 回答としてマーク 佐伯玲 2016年5月11日 7:24
    2016年4月21日 3:23
    モデレータ

すべての返信

  • チャブーンです。

    この件ですが、おそらくこちらのページをご覧になったのだと思っています。

    http://www.atmarkit.co.jp/ait/articles/0909/28/news088_3.html

    前提ですが、この設定は「記事を書かれた方」の提案のひとつであり、MSが何らかのお墨付き(保証)を与えたものではありません。ですから広範囲な効果を期待するのは、いささか筋が違う気がします。

    そのうえでですが、おっしゃる動作(pdfやtxtでは制限されない)は仕様通りという認識です。うえの記事のグループポリシーの制限は「右から左に書かれたファイル名の『プログラム』」を制限します。一般には意識されませんが、プログラムではなくファイルをダブルクリックした場合、内部的には以下のようなコマンドラインが生成されて実行します。たとえばtxtの場合、

    "C:\Windows\system32\NOTEPAD.EXE" C:\Users\Chaboon\Desktop\text.txt

    というように、ファイル名は紐づけられた(別の)プログラムの引数として実行されます。このプログラム(ここではNOTEPAD.EXE)は「右から左に書かれたファイル名」ではないため、制限の対象にはなりません。

    うえの記事の対象範疇としては、あくまで自身がexeファイルを前提としたものであり、単体で送られてくるようなマルウェアを想定したという理解です。記事の内容自体に無理はないと思います。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    • 回答の候補に設定 佐伯玲 2016年4月22日 1:02
    • 回答としてマーク 佐伯玲 2016年5月11日 7:24
    2016年4月21日 3:23
    モデレータ
  • こんにちは、ou fu さん
    フォーラムオペレータの佐伯 玲 です。

    チャブーンさんからの返信がご参考になるかと思いますので「回答としてマーク」とさせていただきました。
    フォーラムでご質問いただいた際には返信をご確認くださいね。


    宜しくお願い致します。

    TechNet Community Support 佐伯 玲

    2016年5月11日 7:24