Penso che la cosa importante da evitare sia chiunque modifichi quale file PAC si riferisca agli utenti finali, non impedendo agli utenti di leggere il file PAC stesso - che hai vinto " essere in grado di fare comunque, in quanto deve essere leggibile da tutti i sistemi endpoint e, quindi, da tutti gli utenti, per funzionare.
In altre parole, l'articolo mi dice che la minaccia è duplice:
-
il malware può alterare il file utilizzato dall'endpoint per il suo proxy
configurazione e
-
Gli attori malintenzionati possono alterare ciò che il server autoproxy non protetto funge da file PAC ufficialmente benedetto.
Non sono più un amministratore di Windows, ma come ricordo dai giorni in cui ho lavorato con loro in modo più diretto, credo che tu possa controllare quali file PAC vengono utilizzati dai tuoi utenti attraverso l'applicazione di Criteri di gruppo. In caso contrario, potrebbe essere utile qualche altra forma di Monitoraggio dell'integrità dei file. Come cita l'articolo citato, è molto difficile distinguere un buon file PAC da quello malevolo semplicemente leggendo il file, ma è molto più facile rilevare quando qualcosa è cambiato senza che sia autorizzato.
Quindi entrambi gli attacchi devono essere indirizzati da Criteri di gruppo o FIM in combinazione con antimalware sull'endpoint e sul server Web PAC. Se possibile, aiuterà anche la protezione del download del file PAC con TLS. Ma affinché il file faccia il suo lavoro, deve essere leggibile da tutti gli altri.