Estou implementando a Política de Restrição de Software em nossas estações de trabalho. A política é bloquear tudo, exceto uma lista de caminhos listados em branco.
Estou tentando colocar na lista branca um diretório dentro do perfil do usuário do Thunderbird para permitir que a extensão do Lightning funcione. O caminho é %APPDATA%\Roaming\Thunderbird\Profiles\*\extensions\{e2fda1a4-762b-4020-b5ad-a41df1933103}\components\calbasecomps.dll.
O nome do perfil do usuário é gerado aleatoriamente, então preciso de um curinga.
Infelizmente, isso parece não funcionar por causa do curinga. A DLL continua bloqueada pelo SRP.
Também tentei colocar o certificado na lista branca (a DLL é assinada pelo certificado Mozilla), mas não funcionou. Talvez isso se aplique apenas a .exe assinado?
Eu coloquei o hash na lista branca no momento, mas isso exigirá manutenção após cada lançamento do Thunderbird, então eu preferiria colocar o caminho na lista branca.
Applocker não é uma opção, estamos usando o Windows 10 Pro.
Qualquer ideia?
Responder1
Eu estava enfrentando o mesmo problema há poucos minutos e agora acho que a solução é mais simples do que você pensa.
%APPDATA%\Roaming\Thunderbird\Profiles\*\extensions\{e2fda1a4-762b-4020-b5ad-a41df1933103}\components\calbasecomps.dll
tornar-se:
%APPDATA%\Thunderbird\Profiles\*\extensions\{e2fda1a4-762b-4020-b5ad-a41df1933103}\components\calbasecomps.dll
(sem explicitar a subpasta "Roaming", pois APPDATA já resolve.)
De qualquer forma, IMHO, isso está exposto a um ataque direcionado, uma vez que a DLL permanecerá gravável pelo usuário.
Sugestões são bem-vindas. ;-)
Responder2
envie um relatório de bug para a Mozilla!
NUNCA defina regras de caminho com componentes como "%APPDATA%" que estão sob controle total do usuário (aqui estão a variável e o diretório).
NUNCA defina regras de caminho de registro com esses componentes também.
defina um hash ou uma regra de certificado para a DLL!