L'utilizzo della funzionalità SRP di Windows consente di proteggere il sistema evitando di eseguire, anche inavvertitamente, virus e malware.
Alcuni malware, infatti, vengono eseguiti a partire da file compressi o avviati aprendo direttamente l'allegato ad un messaggio di posta elettronica.
Quando si avvia un file eseguibile dall'interno di un archivio Zip, ad esempio, questo viene caricato partendo da una sottocartella della directory %temp% di Windows. Bloccando il caricamento dei file eseguibili dalla cartella Temp di Windows, si può automaticamente scongiurare l'esecuzione di elementi potenzialmente dannosi.
Come bloccare l'esecuzione di programmi in Windows
Sebbene il funzionamento di SRP poggi sull'impostazione di apposite policy di gruppo, intervenendo direttamente sulla configurazione del registro di Windows (nelle edizioni meno costose di Windows la finestra per la gestione delle policy di gruppo non è presente), è possibile bloccare l'esecuzione dei programmi in Windows.Alcuni dei ransomware più pericolosi (vedere Infezione da Cryptolocker e CryptoWall: dati in pericolo; Cryptolocker e CryptoWall: Italia sotto attacco), una volta insediatisi sul sistema dell'utente, vengono caricati a partire dalle cartelle di sistema %appdata% e %localappdata%.
Ecco perché, quindi, un'ottima mossa potrebbe essere quella di bloccare l'avvio di qualsiasi eseguibile dalla cartella %appdata% così come da %localappdata%, %programdata% ed %userprofile%.
Da queste cartelle (a cui ci siamo riferiti utilizzando la corrispondente variabile d'ambiente Windows: Breve guida all'uso delle variabili d'ambiente in Windows) non dovrebbe essere mai necessario, di norma, caricare un file eseguibile.
Quando ciò accade, il programma merita di essere bloccato ed analizzato con attenzione.
Oltre a bloccare l'esecuzione di programmi da cartelle specifiche, può rivelarsi un'ottima idea anche quella di impedire il caricamento di quei file che hanno una doppia estensione.
read full article
