◇ ファイルハッシュ・ファイルパス・アスタリスクで完全につぶす

長くなってきたため、ファイルハッシュ・ファイルパス・アスタリスクで実行の可能性すら奪います。理由は先のとおり、ファイルをコピーして実行された際の対策のためです。

操作 ユーザー 名前 条件 例外
許可 {あなたのPC名}\nobody %OSDRIVE%\Users* パス
拒否 {あなたのPC名}\nobody %SYSTEM32%\attrib.exe パス
拒否 {あなたのPC名}\nobody %SYSTEM32%\bitsadmin.exe パス
拒否 {あなたのPC名}\nobody %SYSTEM32%\certutil.exe パス
拒否 {あなたのPC名}\nobody %SYSTEM32%\cscript.exe パス
拒否 {あなたのPC名}\nobody %SYSTEM32%\curl.exe パス
拒否 {あなたのPC名}\nobody %SYSTEM32%\forfiles.exe パス
拒否 {あなたのPC名}\nobody %SYSTEM32%\ftp.exe パス
拒否 {あなたのPC名}\nobody %SYSTEM32%\ipconfig.exe パス
拒否 {あなたのPC名}\nobody %SYSTEM32%\mmc.exe パス
拒否 {あなたのPC名}\nobody %SYSTEM32%\mshta.exe パス
拒否 {あなたのPC名}\nobody %SYSTEM32%\msiexec.exe パス
拒否 {あなたのPC名}\nobody %SYSTEM32%\net.exe パス
拒否 {あなたのPC名}\nobody %SYSTEM32%\net1.exe パス
拒否 {あなたのPC名}\nobody %SYSTEM32%\netsh.exe パス
拒否 {あなたのPC名}\nobody %SYSTEM32%\reg.exe パス
拒否 {あなたのPC名}\nobody %SYSTEM32%\Robocopy.exe パス
拒否 {あなたのPC名}\nobody %SYSTEM32%\rundll32.exe パス
拒否 {あなたのPC名}\nobody %SYSTEM32%\schtasks.exe パス
拒否 {あなたのPC名}\nobody %SYSTEM32%\taskkill.exe パス
拒否 {あなたのPC名}\nobody %SYSTEM32%\tscon.exe パス
拒否 {あなたのPC名}\nobody %SYSTEM32%\whoami.exe パス
拒否 {あなたのPC名}\nobody %SYSTEM32%\WindowsPowerShell\v1.0\powershell.exe パス
拒否 {あなたのPC名}\nobody %SYSTEM32%\WindowsPowerShell\v1.0\powershell_ise.exe パス
拒否 {あなたのPC名}\nobody %SYSTEM32%\wscript.exe パス
拒否 {あなたのPC名}\nobody %SYSTEM32%\xcopy.exe パス
拒否 {あなたのPC名}\nobody %WINDIR%\hh.exe パス
拒否 {あなたのPC名}\nobody %WINDIR%\Microsoft.NET\Framework64*\MSBuild.exe パス
拒否 {あなたのPC名}\nobody %WINDIR%\Microsoft.NET\Framework64*\MSBuild.exe パス
拒否 {あなたのPC名}\nobody %WINDIR%\regedit.exe パス
拒否 {あなたのPC名}\nobody %WINDIR%\Temp* パス
拒否 {あなたのPC名}\nobody *attrib.exe パス
拒否 {あなたのPC名}\nobody *bitsadmin.exe パス
拒否 {あなたのPC名}\nobody *certutil.exe パス
拒否 {あなたのPC名}\nobody *cscript.exe パス
拒否 {あなたのPC名}\nobody *curl.exe パス
拒否 {あなたのPC名}\nobody *forfiles.exe パス
拒否 {あなたのPC名}\nobody *ftp.exe パス はい
拒否 {あなたのPC名}\nobody *hh.exe パス
拒否 {あなたのPC名}\nobody *ipconfig.exe パス
拒否 {あなたのPC名}\nobody *mmc.exe パス
拒否 {あなたのPC名}\nobody *MSBuild.exe パス
拒否 {あなたのPC名}\nobody *mshta.exe パス
拒否 {あなたのPC名}\nobody *msiexec.exe パス
拒否 {あなたのPC名}\nobody *net.exe パス
拒否 {あなたのPC名}\nobody *net1.exe パス
拒否 {あなたのPC名}\nobody *netsh.exe パス
拒否 {あなたのPC名}\nobody *powershell.exe パス
拒否 {あなたのPC名}\nobody *powershell_ise.exe パス
拒否 {あなたのPC名}\nobody *reg.exe パス
拒否 {あなたのPC名}\nobody *regedit.exe パス
拒否 {あなたのPC名}\nobody *Robocopy.exe パス
拒否 {あなたのPC名}\nobody *rundll32.exe パス
拒否 {あなたのPC名}\nobody *schtasks.exe パス
拒否 {あなたのPC名}\nobody *taskkill.exe パス
拒否 {あなたのPC名}\nobody *tscon.exe パス
拒否 {あなたのPC名}\nobody *whoami.exe パス
拒否 {あなたのPC名}\nobody *wscript.exe パス
拒否 {あなたのPC名}\nobody *xcopy.exe パス
拒否 {あなたのPC名}\nobody C:\Users\Public* パス
許可 Everyone Program Files フォルダー内にあるすべてのファイル パス
許可 Everyone Windows フォルダー内にあるすべてのファイル パス
許可 BUILTIN\Administrators すべてのファイル パス
拒否 {あなたのPC名}\nobody attrib.exe ファイル ハッシュ
拒否 {あなたのPC名}\nobody bitsadmin.exe ファイル ハッシュ
拒否 {あなたのPC名}\nobody certutil.exe ファイル ハッシュ
拒否 {あなたのPC名}\nobody cscript.exe ファイル ハッシュ
拒否 {あなたのPC名}\nobody curl.exe ファイル ハッシュ
拒否 {あなたのPC名}\nobody forfiles.exe ファイル ハッシュ
拒否 {あなたのPC名}\nobody ftp.exe ファイル ハッシュ
拒否 {あなたのPC名}\nobody ipconfig.exe ファイル ハッシュ
拒否 {あなたのPC名}\nobody mmc.exe ファイル ハッシュ
拒否 {あなたのPC名}\nobody mshta.exe ファイル ハッシュ
拒否 {あなたのPC名}\nobody msiexec.exe ファイル ハッシュ
拒否 {あなたのPC名}\nobody net.exe ファイル ハッシュ
拒否 {あなたのPC名}\nobody net1.exe ファイル ハッシュ
拒否 {あなたのPC名}\nobody netsh.exe ファイル ハッシュ
拒否 {あなたのPC名}\nobody reg.exe ファイル ハッシュ
拒否 {あなたのPC名}\nobody Robocopy.exe ファイル ハッシュ
拒否 {あなたのPC名}\nobody rundll32.exe ファイル ハッシュ
拒否 {あなたのPC名}\nobody schtasks.exe ファイル ハッシュ
拒否 {あなたのPC名}\nobody taskkill.exe ファイル ハッシュ
拒否 {あなたのPC名}\nobody tscon.exe ファイル ハッシュ
拒否 {あなたのPC名}\nobody whoami.exe ファイル ハッシュ
拒否 {あなたのPC名}\nobody powershell.exe, powershell_ise.exe ファイル ハッシュ
拒否 {あなたのPC名}\nobody wscript.exe ファイル ハッシュ
拒否 {あなたのPC名}\nobody xcopy.exe ファイル ハッシュ
拒否 {あなたのPC名}\nobody hh.exe ファイル ハッシュ
拒否 {あなたのPC名}\nobody MSBuild.exe, MSBuild.exe ファイル ハッシュ
拒否 {あなたのPC名}\nobody regedit.exe ファイル ハッシュ

この状態で例えばC:\Windows\System32\WindowsPowerShell\v1.0\powershell.exeをコピーし、デスクトップに張り付けます。

ダブルクリックして実行し、エラーが表示されれば目的は達成されました。

これにより、「ユーザー権限の最小化」と「マルウェアに悪用されやすいアプリの制限」。そして「ファイルコピーによる実行」まで対策が完了しました。

◇ Windows Defenderでダメ押しのExploit対策

「設定」->「セキュリティ」でさらにExploit対策を実施します。

デバイスとセキュリティーコア分離のうち
　├メモリ整合性オン
　├カーネルモードハードウェ強制スタックオン
　├メモリアクセス保護オン
　├ローカルセキュリティ機関の保護オン
ウイルスと脅威の防止の設定
　├リアルタイム保護オン
　├開発者ドライブの保護オン
　├クラウド提供の保護オン
　├サンプルの自動送信オン
　├改ざん防止オン
ランサムウェアの防止
　├コントロールされたフォルダーアクセスオン
アプリとブラウザーコントロール
　├スマートアプリコントロールオン
Exploit protection
　├CFGオン
　├DEPオン
　├必須ASLRオン
　├ボトムアップASLRオン
　├高エンドロピASLRオン
　├例外チェーンを検証するオン
　└ヒープの整合性を検証するオン

一般ユーザーとして行える改ざん対策はこの程度と思われます。以降は最初に作ったマイクロソフトアカウント連携の管理者ユーザーを削除し、一般ユーザーで作業を実行します。これにより、マルウェアの感染率は遥かに低下します。さらに極限までゼロに近づける場合は、WDAC有効化、VMware上で仮想Linux＋Firejail実行などの方法もあるのですが…荷が重いので説明はここまでにします。多くのマルウェアはここまで保護された状況下においては、主要な攻撃方法（PowerShell経由でのマルウェア実行など）が行えなくなります。