Estoy implementando una Política de restricción de software en nuestras estaciones de trabajo. La política es bloquear todo excepto una lista de rutas de la lista blanca.
Estoy intentando incluir en la lista blanca un directorio dentro del perfil del usuario de Thunderbird para permitir que funcione la extensión Lightning. El camino es %APPDATA%\Roaming\Thunderbird\Profiles\*\extensions\{e2fda1a4-762b-4020-b5ad-a41df1933103}\components\calbasecomps.dll.
El nombre del perfil del usuario se genera aleatoriamente, por lo que necesito un comodín.
Desafortunadamente, esto no parece funcionar debido al comodín. SRP sigue bloqueando la DLL.
También intenté incluir el certificado en la lista blanca (la DLL está firmada por el certificado de Mozilla), pero esto no funciona. ¿Quizás esto se aplique solo a .exe firmado?
Incluí el hash en la lista blanca por el momento, pero esto requerirá mantenimiento después de cada lanzamiento de Thunderbird, por lo que preferiría incluir la ruta en la lista blanca.
Applocker no es una opción, estamos usando Windows 10 Pro.
¿Alguna idea?
Respuesta1
Me enfrenté al mismo problema hace unos minutos y ahora creo que la solución es más sencilla de lo que cree.
%APPDATA%\Roaming\Thunderbird\Profiles\*\extensions\{e2fda1a4-762b-4020-b5ad-a41df1933103}\components\calbasecomps.dll
convertirse en:
%APPDATA%\Thunderbird\Profiles\*\extensions\{e2fda1a4-762b-4020-b5ad-a41df1933103}\components\calbasecomps.dll
(sin explicitar la subcarpeta "Roaming", ya que APPDATA ya la resuelve).
De todos modos, en mi humilde opinión, esto se expone a un ataque dirigido, ya que el usuario podrá escribir en esa DLL.
Las sugerencias son bienvenidas. ;-)
Respuesta2
¡Presente un informe de error a Mozilla!
NUNCA defina reglas de ruta con componentes como "%APPDATA%" que están bajo control total del usuario (aquí están tanto la variable como el directorio).
NUNCA defina reglas de ruta de registro con dichos componentes también.
¡Defina un hash o una regla de certificado para la DLL!