堆栈内存溢出
  繁体   English   中英

Windows Defender ATP - 禁止.LNK 文件在 USB 设备上运行

[英]Windows Defender ATP - Disable .LNK files from running on USB devices

 原文  2022-09-01 11:52:57       windows/ security/ exploit/ usb-drive/ windows-defender

问题描述

亲爱的 Stackoverflow 社区!

我有一个关于 Windows Defender、攻击面减少和端点设备管理器的问题。

为了防止 LNK Worm Expoitation 我想在可移动设备(USB 驱动器)上阻止 .LNK 文件。 示例:用户插入 USB 驱动器并双击文件“USB Drive.lnk”,该文件实际上是恶意的。

不幸的是,经过大量的研究和测试,我还没有找到一个令人满意的解决方案来解决我的问题。 也许你们中的一些人有类似的问题。

提前谢谢了!

此致

1 个解决方案

解决方案1
 0  2022-09-13 12:15:52

自己解决了。

我在“Application and Services Logs\Microsoft\Windows\DriverFrameworks-UserMode”路径下启用了事件查看器的登录。

然后在上面的路径中找到事件 ID 2003 时在任务计划程序中创建一个任务,该任务将被激活。

然后,此任务执行一个脚本,在具有驱动器号 D: 的 USB 存储棒上搜索 .lnk 文件。

#
#  ------------- Globals ------------- 
#

# drive letter of usb device
$USBDeviceDriveLocation = "D:\"

# .lnk extensio
$LNKExtentsion = ".lnk"

#
#  ------------- Functions ------------- 
#

function SearchAndRemoveFilesWithExtension
{
    <#
    
    #>

    # file extension as parameter
    param
    (
        $extension
    )

    # iterate through files and delete them
    $FoundFiles = Get-ChildItem -Recurse -Path D:\ -Include "*$extension"

    # if none lnk files found then exit
    if ($FoundFiles.Count -eq 0)
    {
        exit
    }

    # remove those files
    foreach ($file in $FoundFiles)
    {
        Remove-Item -Path $file.FullName
    }
}


function Main
{
    <#
        .SYNOPSIS
            Main Method
    #>
    SearchAndRemoveFilesWithExtension $LNKExtentsion

}


#
#
#
Main

暂无
暂无

声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.

相关问题 禁用USB存储设备 在 Windows 上记录 USB 设备 如何更改windows Defender 的日志文件? 从 Windows 设备上的 USB 驱动器自动运行 在Windows中禁用特定的USB端口 是否可以通过 CMD 命令行从注册表中删除“Windows Defender”? 通过USB将文件从iOS设备传输到Windows PC 如何使用sqlite封装ruby以便从USB棒在Windows上运行它 Windows Defender防病毒API Windows Defender Antivirus 扫描来自 C# [AccessViolation 异常]
相关标签
 
粤ICP备18138465号  © 2020-2024 STACKOOM.COM