Прелести технологии AppLocker. Часть 1

Введение
Что такое AppLocker, также его достоинства и недочеты по сопоставлению с технологией SRP
Где находится AppLocker и правила по дефлоту
Заключение

Введение

Красоты технологии AppLocker. Часть 1 Разрешаете ли вы своим юзерам запускать, устанавливать и обновлять приложения, с которыми они работают? А ведь конкретно юзеры, сами того не хотя, могут послужить основной предпосылкой инфецирования как собственного рабочего компьютера, так и целого парка компов вашей организации. Юзер может из дома принести на зараженном USB-накопителе некий новый гламурный календарь и установить либо же в просторах Веба загрузить какое-то программное обеспечение даже как бы с доверенного источника. Примером тому может послужить статья «Как тривиально обходятся антивирусы и их «поведенческие анализаторы»», которая сначала января была размещена на Хабре. Ну, либо, в последнем случае, юзер может получить письмо от недоброжелателя, который предложит установить, скажем, хороший твиккер, позволяющий в 100500 раз прирастить производительность системы. Но программка, которую юзер загрузит по обозначенной в письме ссылке, будет содержать вирус, тем, без помощи других предоставив хакеру доступ к собственному компу.

Соответственно, может появиться последующий вопрос. Должны ли ваши юзеры иметь на выполнение таких действий бескрайний контроль либо же вы желаете на основании каких-либо специфичных правил настроить для собственных юзеров ограничения на выполнение обозначенных выше операций? Какими бы трастовыми не были дела меж сотрудниками вашей компании, все равно, следует настраивать определенные ограничения, благодаря которым ваши компы будут в безопасности. Если же в вашей организации еще не развернуты правила подобного нрава, также все юзеры работают на компьютерах под управлением операционной системы Windows 7, то разработка, описанная в данном цикле статей, предназначена конкретно вам!

Еще, не так издавна, как операционная система Windows 7 начала выходить на прилавки, уже многие знали о том, что в семерке появилась такая разработка, как AppLocker, которую мгновенно многие начали именовать инноваторским прорывом, созданным для увеличения безопасности, предотвращая пуск ненужных приложений. В принципе, данная статья является первой частью цикла статей по данной технологии. В статьях, посвященных технологии AppLocker, я расскажу о том, что все-таки собой представляет разработка AppLocker, о разработке и управлении правилами и политиками AppLocker, об аудите развертывания политик, а самое главное, о недочетах, по сопоставлению с, как на данный момент считается, устаревшей технологией политики ограниченного использования программ (Software Restriction Policies, SRP).

Вначале я рассчитываю, что данный цикл будет содержать 5 статей, посвященных данной технологии, а конкретно:

В этой, вводной статье, вы узнаете о том, что такое AppLocker, о его преимуществах и недочетах по сопоставлению с политиками SRP, также о разработке правил, применяемых по дефлоту в AppLocker.

Во 2-ой статье подвергнутся рассмотрению разные сценарии использования правил данной технологии.

3-я статья будет посвящена политикам AppLocker.

В четвертой статье текущего цикла подвергнется рассмотрению режим аудита, также действия, связанные с AppLocker.

И в заключительной, пятой статье, посвященной работе с AppLocker я расскажу о вероятных ошибках и их траблшутинге AppLocker, также о вероятных дилеммах, с которыми вы можете столкнуться.

Для того чтоб вы могли сопоставить многофункциональные способности данной технологии с политиками ограниченного использования программ, я постараюсь публиковать статьи по обеим технологиям так, чтоб вы могли параллельно узнавать об обеих разработках, позволяющих управлять работой с приложениями.

Что такое AppLocker, также его достоинства и недочеты по сопоставлению с технологией SRP

Красоты технологии AppLocker. Часть 1Сначала, думаю, стоит поведать, что все-таки собой представляет разработка AppLocker. Как уже было отмечено во внедрении данной статьи, AppLocker является компонентом операционных систем Windows 7 и Windows Server 2008 R2, отвечающим за ограничение использования программного обеспечения юзерам либо группам юзеров на основании определенных правил. С помощью данной технологии, админам предоставляется возможность создавать правила, нацеленные на исполняемые файлы (к таким файлам относятся файлы с расширениями *.exe, также *.com), пакеты установщика Windows (а конкретно, файлы установщика Windows *.msi и файлы характеристик установки *.msp). Также, не считая обозначенных выше файлов первой категории, у вас есть еще возможность настраивать правила для файлов заставки *.scr. Кроме обозначенных выше файлов, также можно создавать правила для таких сценариев, как пакетные файлы *.bat, сценарии командной строчки *.cmd, сценарии PowerShell *.ps1, файлы VBScript *.vbs, также сценарии JavaScript (файлы с расширением *.js). И последнее, зачем можно создавать правила AppLocker – это динамические библиотеки *.dll и файлы *.ocx, которые создаются в четвертой, сокрытой по дефлоту категории. Но, невзирая на такую прекрасную разбивку по расширениям файлов, AppLocker не позволяет для кастомизации правил добавлять какие-то специальные расширения файлов, что можно было делать с помощью политик ограниченного использования программ.

В принципе, данную технологию нереально именовать революционным прорывом в осуществлении управления пуска и установки программного обеспечения юзерами, потому что еще за длительное время до возникновения операционных систем Windows 7 и Windows Server 2008 R2 в собственной производственной среде админы уже издавна делали правила на ограничение использования программного обеспечения с помощью одноименного компонента, который, кстати, также был упомянут во вводной части этой статьи. Кстати, даже на данный момент в почти всех источниках можно отыскать такое кодовое заглавие AppLocler, как SRP v2.0, потому что команда разработки данной технологии, вероятнее всего, подразумевала, что конкретно разработка AppLocker будет считаться логическим продолжением политик ограниченного использования программ.

У внимательного читателя, вероятнее всего, еще начиная со введения этой статьи появился таковой вопрос: вот я уже много раз написал о том, что такие технологии как AppLocker и политики ограничения использования программ очень похожи, но какая же меж ними разница и чем одна разработка может быть лучше другой? Невзирая на то, что разработка AppLocker довольно новенькая и по сопоставлению с таким старожилом как политики ограничения использования программ основной целью перед пиар-группой Microsoft, стояло преподнесение новейшей технологии как значительно улучшенной перед SRP, в большинстве источников, способности данной технологии значительно приукрашены. В принципе, более подробный сравнительный анализ способностей обоих технологий провел Вадимс Поданс, о чем и была написана, в свое время, статья у него на блоге.

Соответственно, можно выделить последующие общие моменты для обеих технологий: во-1-х, с помощью обеих технологий вы сможете создавать как разрешающие, так и запрещающие правила. Во-2-х, используя как AppLocker, так и SRP вы сможете настраивать правила, использующие условия хешей и пути. Ну и в-3-х, обе технологии позволяют вести аудит политики, также предоставляют возможность просмотра сообщений об ошибках.

А сейчас об различиях. Сначала, с помощью ограниченного использования программ вы сможете создавать правила для сертификатов, также для зоны сети, чего нет в AppLocker. Кроме этого, политики ограниченного использования программ позволяют делать особенные деяния, также использовать системные переменные окружения и пути, обозначенные в системном реестре Windows. Также как, было отмечено мало ранее, в политиках ограниченного использования программ можно было управлять расширениями файлов, на которые должны применяться политики ограничения, что было по некий причине исключено из способностей AppLocker.

Но, с помощью последней технологии, вы сможете создавать правила, использующие условие издателя, что позволяет инспектировать приложении, на основании его цифровой подписи. Еще, потому что AppLocker не поддерживает системные переменные окружения, с помощью многофункциональных способностей этой технологии вы сможете создавать собственные переменные окружения. Ну, и вприбавок, AppLocker предоставляет способности импорта и экспорта собственных политик, также объединения нескольких сделанных ранее политик AppLocker в одну политику. И последнее, что необходимо подчеркнуть из преимуществ AppLocker, так это интуитивно понятный мастер сотворения нового правила, в отличие от единственного диалогового окна, с помощью которого настраивались правила в SRP, а любителям PowerShell безо всякого сомнения понравится то, что сейчас появилась возможность управлять политиками AppLocker средствами этой технологии.

Ну и, думаю, следует еще направить внимание на то, что в то время, как политики ограниченного использования программ применялись сходу ко всем юзерам, с помощью AppLocker можно назначать политики для определенных юзеров либо же групп юзеров. Но необходимо держать в голове, что одно правило AppLocker вы сможете применить только к одной группе. Но, невзирая на какие-то малозначительные плюсы либо минусы хоть какой из этих технологий, вероятнее всего, главным недочетом AppLocker будет то, что данный компонент операционной системы включен только только в редакции Enterprise и Ultimate операционной системы Windows 7 (в случае с Windows Server 2008 R2, естественно, AppLocker находится во всех редакциях). И конкретно из-за этого аспекта многие компании могут мгновенно отрешиться от использования AppLocker, потому что их парк компов может все еще содержать компы, работающие под операционной системой Windows XP.

Где находится AppLocker и правила по дефлоту

До того как перебегать к созданию правил и политик AppLocker, думаю, следует разобраться, где же можно отыскать данное средство. Как уже было сказано, компонент AppLocker устанавливается в хоть какой редакции операционной системы Windows Server 2008 R2, также при установке Windows 7 Enterprise и Ultimate.

Чтоб открыть AppLocker на локальной машине, которая заходит в рабочую группу либо вообщем не подключена к сети, вы сможете открыть оснастку «Локальная политика безопасности» и в дереве оснастки развернуть узел «Политики управления приложениями».

В свою очередь, в доменном окружении, AppLocker следует использовать, используя многофункциональные способности групповой политики. Как следует, на контроллере домена откройте оснастку «Управление групповой политикой», после чего разверните узел с наименованием вашего леса, узел «Домены», потом узел с заглавием вашего домена. Изберите контейнер «Объекты групповой политики» и в данном контейнере сделайте новый объект групповой политики, скажем, «Правила AppLocker для пользователей», нажмите на нем правой кнопкой мыши и для открытия оснастки «Редактор управления групповыми политиками» из контекстного меню изберите команду «Изменить». В уже отобразившейся оснастке, в дереве оснастки разверните узел Конфигурация компьютераПолитикиКонфигурация WindowsПараметры безопасностиПолитики управления приложениями и перейдите к узлу «AppLocker».

Когда вы настраиваете объекты групповой политики с расширением клиентской стороны AppLocker, непременно направьте внимание на то, что на клиентских компьютерах, на которые должны распространяться правила, непременно должна быть запущена служба «Удостоверения приложения». К примеру, вы сможете настроить эту службу с помощью узла «Службы» характеристик безопасности групповой политики либо же пользоваться многофункциональными способностями одноименного элемента предпочтения групповой политики.

Также как и в случае с политиками ограниченного использования программ, для AppLocker вы сможете сделать правила по дефлоту. Для того чтоб сделать новое правило, следует для редактируемого вами объекта групповой политики, в области сведений каждого вложенного узла AppLocker, именуемых коллекциями правил, вызвать контекстное меню и избрать команду «Создать правила по умолчанию». Как данная функция будет выбрана, сходу для мотивированного узла будут сделаны три правила, а конкретно:

Правило, разрешающее запускать все файлы, расположенные в папке Windows;
Правило, разрешающее запускать все файлы, расположенные в папках «Program Files» (в этом случае, если на мотивированном компьютере установлены 64-разрядная операционная система, данное правило будет применяться как для файлов из папки Program Files, так и для файлов, которые находятся в папке «Program Files (x86)»);
Также правило, позволяющее запускать юзерам, которые являются локальными админами любые файлы, что, в принципе, делать очень не нужно.

Другими словами, после сотворения правил по дефлоту в каждом узле AppLocker, следует удалить правило, разрешающее локальным админам запускать любые приложения и, соответственно, в каждой коллекции правил бросить только по два правила, сделанных по дефлоту. Процесс сотворения правил по дефлоту для исполняемых файлов изображен на последующей иллюстрации:

Красоты технологии AppLocker. Часть 1
Прирастить набросок

Рис. 1. Создание правил по дефлоту для исполняемых файлов

После того как правила по дефлоту будут сделаны, правила AppLocker начнут применяться на юзеров мгновенно в этом случае, если данное средство настраивается на локальном компьютере с помощью обозначенной выше оснастки либо же через 90-120 минут по дефлоту, если правила AppLocker настраивались в доменном окружении с помощью многофункциональных способностей групповой политики.

Заключение

Естественно, создание правил по дефлоту считается только началом опции ограничений на внедрение приложений с помощью многофункциональных способностей технологии AppLocker. В этой, вводной, статье было поведано о том, что собой представляет разработка AppLocker. Также было поведано об различиях меж технологией AppLocker и политиками ограниченного использования программ. Вы узнали о том, как и с помощью какой оснастки можно получить доступ к многофункциональным способностям AppLocker, также как можно сделать правила AppLocker, применяемые по дефлоту. В последующей статье я расскажу о разработке собственных правил средствами AppLocker, созданных для ограничения доступа к определённым приложениям.

Аналогичный товар: Комментирование на данный момент запрещено, но Вы можете оставить ссылку на Ваш сайт.

Комментарии закрыты.