Zulassen einer DLL im Thunderbird-Profil in der Softwareeinschränkungsrichtlinie

tag-icon tag-icon windows security group-policy
Zulassen einer DLL im Thunderbird-Profil in der Softwareeinschränkungsrichtlinie

Ich implementiere auf unseren Arbeitsstationen eine Richtlinie zur Softwareeinschränkung. Die Richtlinie sieht vor, alles außer einer Liste von Whitelist-Pfaden zu blockieren.

Ich versuche, ein Verzeichnis im Profil eines Thunderbird-Benutzers auf die Whitelist zu setzen, damit die Lightning-Erweiterung funktioniert. Der Pfad ist %APPDATA%\Roaming\Thunderbird\Profiles\*\extensions\{e2fda1a4-762b-4020-b5ad-a41df1933103}\components\calbasecomps.dll.

Der Profilname des Benutzers wird zufällig generiert, daher brauche ich ein Platzhalterzeichen.

Leider scheint dies aufgrund des Platzhalters nicht zu funktionieren. Die DLL wird weiterhin von SRP blockiert.

Ich habe auch versucht, das Zertifikat auf die Whitelist zu setzen (die DLL ist mit einem Mozilla-Zertifikat signiert), aber das funktioniert nicht. Vielleicht gilt das nur für signierte EXE-Dateien?

Ich habe den Hash für den Moment auf die Whitelist gesetzt, aber da nach jeder Veröffentlichung von Thunderbird Wartungsarbeiten erforderlich sind, würde ich es vorziehen, stattdessen den Pfad auf die Whitelist zu setzen.

Applocker ist keine Option, wir verwenden Windows 10 Pro.

Irgendeine Idee?

Antwort1

Ich stand vor ein paar Minuten vor dem gleichen Problem und glaube nun, dass die Lösung einfacher ist, als Sie denken.

%APPDATA%\Roaming\Thunderbird\Profiles\*\extensions\{e2fda1a4-762b-4020-b5ad-a41df1933103}\components\calbasecomps.dll

werden:

%APPDATA%\Thunderbird\Profiles\*\extensions\{e2fda1a4-762b-4020-b5ad-a41df1933103}\components\calbasecomps.dll

(ohne den Unterordner „Roaming“ explizit anzugeben, da APPDATA ihn bereits auflöst.)

Wie dem auch sei, meiner Meinung nach besteht dadurch die Gefahr eines gezielten Angriffs, da die DLL weiterhin vom Benutzer beschreibbar bleibt.

Vorschläge sind willkommen. ;-)

Antwort2

  1. reichen Sie einen Fehlerbericht bei Mozilla ein!

  2. Definieren Sie NIEMALS Pfadregeln mit Komponenten wie „%APPDATA%“, die vollständig unter der Kontrolle des Benutzers stehen (hier gilt dies sowohl für die Variable als auch für das Verzeichnis).

  3. Definieren Sie NIEMALS auch Registrierungspfadregeln mit solchen Komponenten.

  4. Definieren Sie einen Hash oder eine Zertifikatsregel für die DLL!

verwandte Informationen