[英]Windows Defender ATP - Disable .LNK files from running on USB devices
亲爱的 Stackoverflow 社区!
我有一个关于 Windows Defender、攻击面减少和端点设备管理器的问题。
为了防止 LNK Worm Expoitation 我想在可移动设备(USB 驱动器)上阻止 .LNK 文件。 示例:用户插入 USB 驱动器并双击文件“USB Drive.lnk”,该文件实际上是恶意的。
不幸的是,经过大量的研究和测试,我还没有找到一个令人满意的解决方案来解决我的问题。 也许你们中的一些人有类似的问题。
提前谢谢了!
此致
自己解决了。
我在“Application and Services Logs\Microsoft\Windows\DriverFrameworks-UserMode”路径下启用了事件查看器的登录。
然后在上面的路径中找到事件 ID 2003 时在任务计划程序中创建一个任务,该任务将被激活。
然后,此任务执行一个脚本,在具有驱动器号 D: 的 USB 存储棒上搜索 .lnk 文件。
#
# ------------- Globals -------------
#
# drive letter of usb device
$USBDeviceDriveLocation = "D:\"
# .lnk extensio
$LNKExtentsion = ".lnk"
#
# ------------- Functions -------------
#
function SearchAndRemoveFilesWithExtension
{
<#
#>
# file extension as parameter
param
(
$extension
)
# iterate through files and delete them
$FoundFiles = Get-ChildItem -Recurse -Path D:\ -Include "*$extension"
# if none lnk files found then exit
if ($FoundFiles.Count -eq 0)
{
exit
}
# remove those files
foreach ($file in $FoundFiles)
{
Remove-Item -Path $file.FullName
}
}
function Main
{
<#
.SYNOPSIS
Main Method
#>
SearchAndRemoveFilesWithExtension $LNKExtentsion
}
#
#
#
Main
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.