Я внедряю политику ограничения программного обеспечения на наших рабочих станциях. Политика заключается в блокировке всего, кроме списка разрешенных путей.
Я пытаюсь добавить в белый список каталог внутри профиля пользователя Thunderbird, чтобы разрешить работу расширения Lightning. Путь — %APPDATA%\Roaming\Thunderbird\Profiles\*\extensions\{e2fda1a4-762b-4020-b5ad-a41df1933103}\components\calbasecomps.dll.
Имя профиля пользователя генерируется случайным образом, поэтому мне нужен подстановочный знак.
К сожалению, это, похоже, не работает из-за подстановочного знака. DLL продолжает блокироваться SRP.
Я также пробовал добавить сертификат в белый список (DLL подписан сертификатом Mozilla), но это не работает. Может быть, это применимо только к подписанным .exe?
На данный момент я добавил хэш в белый список, но это потребует обслуживания после каждого выпуска Thunderbird, поэтому я бы предпочел вместо этого добавить в белый список путь.
Applocker не подходит, мы используем Windows 10 Pro.
Есть идеи?
решение1
Несколько минут назад я столкнулся с той же проблемой, и теперь я думаю, что решение проще, чем вы думаете.
%APPDATA%\Roaming\Thunderbird\Profiles\*\extensions\{e2fda1a4-762b-4020-b5ad-a41df1933103}\components\calbasecomps.dll
становиться:
%APPDATA%\Thunderbird\Profiles\*\extensions\{e2fda1a4-762b-4020-b5ad-a41df1933103}\components\calbasecomps.dll
(без явного указания подпапки «Roaming», поскольку APPDATA уже разрешает ее.)
В любом случае, IMHO, это подвергает риску целенаправленную атаку, поскольку эта DLL останется доступной для записи пользователем.
Предложения приветствуются. ;-)
решение2
отправьте отчет об ошибке в Mozilla!
НИКОГДА не определяйте правила пути с компонентами типа «%APPDATA%», которые находятся под полным контролем пользователя (здесь и переменная, и каталог).
НИКОГДА не определяйте правила путей реестра с такими компонентами.
определите правило хэша или сертификата для DLL!