Προγραμματισμός

Λίστα επιτρεπόμενων εφαρμογών στα Windows 7 και Windows Server 2008 R2

Το AppLocker της Microsoft, η δυνατότητα ελέγχου εφαρμογών που περιλαμβάνεται στα Windows 7 και Windows Server 2008 R2, είναι μια βελτίωση στις Πολιτικές περιορισμού λογισμικού (SRP) που εισήχθησαν με τα Windows XP Professional. Το AppLocker επιτρέπει τον καθορισμό κανόνων εκτέλεσης εφαρμογών και εξαιρέσεών τους βάσει των χαρακτηριστικών αρχείων, όπως διαδρομή, εκδότης, όνομα προϊόντος, όνομα αρχείου, έκδοση αρχείου και ούτω καθεξής. Οι πολιτικές μπορούν στη συνέχεια να εκχωρηθούν σε υπολογιστές, χρήστες, ομάδες ασφαλείας και οργανωτικές μονάδες μέσω της υπηρεσίας καταλόγου Active Directory.

Η αναφορά περιορίζεται σε ό, τι μπορεί να εξαχθεί από αρχεία καταγραφής και η δημιουργία κανόνων για τύπους αρχείων που δεν ορίζονται στο AppLocker μπορεί να είναι δύσκολη. Αλλά το μεγαλύτερο μειονέκτημα του AppLocker είναι ότι περιορίζεται σε υπολογιστές-πελάτες Windows 7 Enterprise, Windows 7 Ultimate και Windows Server 2008 R2. Τα Windows 7 Professional μπορούν να χρησιμοποιηθούν για τη δημιουργία πολιτικής, αλλά δεν μπορούν να χρησιμοποιήσουν το AppLocker για την επιβολή κανόνων. Το AppLocker δεν μπορεί να χρησιμοποιηθεί για τη διαχείριση παλαιότερων εκδόσεων των Windows, αν και τόσο το SRP των Windows XP όσο και το AppLocker μπορούν να ρυθμιστούν με παρόμοιο τρόπο ώστε να επηρεάζουν μια πολιτική για όλη την επιχείρηση.

[Διαβάστε την κριτική του Κέντρου δοκιμών για λύσεις επιτρεπόμενων εφαρμογών από Bit9, CoreTrace, Lumension, McAfee, SignaCert και Microsoft. Συγκρίνετε αυτές τις λύσεις επιτρεπόμενων εφαρμογών με τις δυνατότητες. ]

Το AppLocker μπορεί να ρυθμιστεί τοπικά χρησιμοποιώντας το αντικείμενο Local Computer Policy (gpedit.msc) ή χρησιμοποιώντας Active Directory και Group Policy Objects (GPO). Όπως πολλές από τις τελευταίες τεχνολογίες με δυνατότητα Active Directory της Microsoft, οι διαχειριστές θα χρειαστούν τουλάχιστον έναν υπολογιστή με Windows Server 2008 R2 ή Windows 7 για να ορίσουν και να διαχειριστούν το AppLocker. Οι υπολογιστές με Windows 7 θα πρέπει να έχουν εγκαταστήσει τη λειτουργία κονσόλας διαχείρισης πολιτικής ομάδας ως μέρος των εργαλείων διαχείρισης απομακρυσμένου διακομιστή (RSAT) για Windows 7 (δωρεάν λήψη). Το AppLocker βασίζεται στην ενσωματωμένη υπηρεσία ταυτότητας εφαρμογών, η οποία κανονικά ορίζεται σε τύπο μη αυτόματης εκκίνησης από προεπιλογή. Οι διαχειριστές πρέπει να διαμορφώσουν την υπηρεσία ώστε να ξεκινά αυτόματα.

Μέσα στο αντικείμενο τοπικής πολιτικής ή ομάδας, το AppLocker ενεργοποιείται και διαμορφώνεται κάτω από το \ Computer Configuration \ Windows Settings \ Security Settings \ Application Control Policies container [εικόνα οθόνης].

Από προεπιλογή, όταν είναι ενεργοποιημένοι, οι κανόνες AppLocker δεν επιτρέπουν στους χρήστες να ανοίγουν ή να εκτελούν αρχεία που δεν επιτρέπονται συγκεκριμένα. Οι δοκιμαστές για πρώτη φορά θα επωφεληθούν επιτρέποντας στο AppLocker να δημιουργήσει ένα προεπιλεγμένο σύνολο "ασφαλών κανόνων" χρησιμοποιώντας την επιλογή Δημιουργία προεπιλεγμένων κανόνων. Οι προεπιλεγμένοι κανόνες επιτρέπουν την εκτέλεση όλων των αρχείων στα Windows και του Program Program, καθώς και στα μέλη της ομάδας Administrators να εκτελούν οτιδήποτε.

Μία από τις πιο αξιοσημείωτες βελτιώσεις σε σχέση με το SRP είναι η δυνατότητα εκτέλεσης του AppLocker σε οποιονδήποτε συμμετέχοντα υπολογιστή χρησιμοποιώντας την επιλογή Αυτόματη δημιουργία κανόνων [εικόνα οθόνης] για γρήγορη δημιουργία ενός βασικού συνόλου κανόνων. Σε λίγα λεπτά, δεκάδες έως εκατοντάδες κανόνες μπορούν να δημιουργηθούν σε σχέση με μια γνωστή καθαρή εικόνα, εξοικονομώντας τους διαχειριστές του AppLocker οπουδήποτε από ώρες έως ημέρες εργασίας.

Το AppLocker υποστηρίζει τέσσερις τύπους συλλογών κανόνων: Εκτελέσιμο, DLL, Windows Installer και Script. Οι διαχειριστές SRP θα παρατηρήσουν ότι η Microsoft δεν διαθέτει πλέον κανόνες μητρώου ή επιλογές ζώνης Διαδικτύου. Κάθε συλλογή κανόνων καλύπτει ένα περιορισμένο σύνολο τύπων αρχείων. Για παράδειγμα, οι εκτελέσιμοι κανόνες καλύπτουν 32-bit και 64-bit .EXEs και .COMs; Όλες οι εφαρμογές 16-bit μπορούν να αποκλειστούν εμποδίζοντας την εκτέλεση της διαδικασίας ntdvm.exe. Οι κανόνες σεναρίων καλύπτουν τους τύπους αρχείων .VBS, .JS, .PS1, .CMD και .BAT. Η συλλογή κανόνων DLL καλύπτει .DLL (συμπεριλαμβανομένων των βιβλιοθηκών που συνδέονται στατικά) και OCX (Object Linking and Embedding Control Extensions, γνωστά και ως στοιχεία ελέγχου ActiveX).

Εάν δεν υπάρχουν κανόνες AppLocker για μια συγκεκριμένη συλλογή κανόνων, επιτρέπεται η εκτέλεση όλων των αρχείων με αυτήν τη μορφή αρχείου. Ωστόσο, όταν δημιουργείται ένας κανόνας AppLocker για μια συγκεκριμένη συλλογή κανόνων, επιτρέπεται η εκτέλεση μόνο των αρχείων που επιτρέπονται ρητά σε έναν κανόνα. Για παράδειγμα, εάν δημιουργήσετε έναν εκτελέσιμο κανόνα που επιτρέπει αρχεία .exe % SystemDrive% \ FilePath για εκτέλεση, επιτρέπεται η εκτέλεση μόνο εκτελέσιμων αρχείων που βρίσκονται σε αυτήν τη διαδρομή.

Το AppLocker υποστηρίζει τρεις τύπους συνθηκών κανόνων για κάθε συλλογή κανόνων: Κανόνες διαδρομής, Κανόνες κατακερματισμού αρχείων και Κανόνες εκδότη. Οποιαδήποτε συνθήκη κανόνα μπορεί να χρησιμοποιηθεί για να επιτρέψει ή να αρνηθεί την εκτέλεση και μπορεί να οριστεί για έναν συγκεκριμένο χρήστη ή ομάδα. Οι κανόνες κατακερματισμού διαδρομής και αρχείου είναι αυτονόητοι. Και οι δύο δέχονται σύμβολα μπαλαντέρ. Οι κανόνες του Publisher είναι αρκετά ευέλικτοι και επιτρέπουν την αντιστοίχιση πολλών πεδίων οποιουδήποτε αρχείου με ψηφιακή υπογραφή με συγκεκριμένες τιμές ή μπαλαντέρ. Χρησιμοποιώντας μια βολική μπάρα ολίσθησης στο AppLocker GUI [εικόνα οθόνης], μπορείτε να αντικαταστήσετε γρήγορα τις συγκεκριμένες τιμές με μπαλαντέρ. Κάθε νέος κανόνας επιτρέπει άνετα μία ή περισσότερες εξαιρέσεις. Από προεπιλογή, οι κανόνες του Publisher θα αντιμετωπίζουν τις ενημερωμένες εκδόσεις αρχείων όπως οι πρωτότυπες ή μπορείτε να εφαρμόσετε μια ακριβή αντιστοίχιση.

Μια σημαντική διάκριση μεταξύ του AppLocker και των λεγόμενων ανταγωνιστών είναι ότι το AppLocker είναι πραγματικά μια υπηρεσία, ένα σύνολο API και καθορισμένων από τον χρήστη πολιτικών με τα οποία μπορούν να διασυνδεθούν άλλα προγράμματα. Η Microsoft κωδικοποίησε τα Windows και τους ενσωματωμένους διερμηνείς σεναρίων για διασύνδεση με το AppLocker, ώστε αυτά τα προγράμματα (Explorer.exe, JScript.dll, VBScript.dll και ούτω καθεξής) να μπορούν να επιβάλουν τους κανόνες που έχουν ορίσει οι πολιτικές του AppLocker. Αυτό σημαίνει ότι το AppLocker είναι πραγματικά μέρος του λειτουργικού συστήματος και δεν παρακάμπτεται εύκολα όταν οι κανόνες καθορίζονται σωστά.

Ωστόσο, εάν πρέπει να δημιουργήσετε έναν κανόνα για έναν τύπο αρχείου που δεν ορίζεται στον πίνακα πολιτικής του AppLocker, μπορεί να χρειαστεί κάποια δημιουργικότητα για να επιτευχθεί το επιθυμητό αποτέλεσμα. Για παράδειγμα, για να αποτρέψετε την εκτέλεση αρχείων σεναρίου Perl με την επέκταση .PL, θα πρέπει να δημιουργήσετε έναν εκτελέσιμο κανόνα που να αποκλείει τον διερμηνέα σεναρίου Perl.exe. Αυτό θα μπλοκάρει ή θα επιτρέπει σε όλα τα σενάρια Perl και θα απαιτούσε κάποια επινοητικότητα για να αποκτήσει πιο λεπτομερή έλεγχο. Αυτό δεν είναι ένα μοναδικό ζήτημα, καθώς τα περισσότερα προϊόντα σε αυτήν την κριτική έχουν τον ίδιο τύπο περιορισμού.

Η διαμόρφωση και οι κανόνες του AppLocker μπορούν εύκολα να εισαχθούν και να εξαχθούν ως αναγνώσιμα αρχεία XML, οι κανόνες μπορούν να εκκαθαριστούν γρήγορα σε περίπτωση έκτακτης ανάγκης και να διαχειρίζονται όλοι τους χρησιμοποιώντας το Windows PowerShell. Η αναφορά και η ειδοποίηση περιορίζονται σε ό, τι μπορεί να αντληθεί από τα κανονικά αρχεία καταγραφής συμβάντων. Αλλά ακόμη και με τους περιορισμούς του AppLocker, η τιμή της Microsoft - χωρίς, εάν χρησιμοποιείτε Windows 7 και Windows Server 2008 R2 - μπορεί να αποτελέσει ισχυρό δέλεαρ για ενημερωμένα καταστήματα της Microsoft.

Αυτή η ιστορία, "Λίστα επιτρεπόμενων εφαρμογών στα Windows 7 και Windows Server 2008 R2", και κριτικές πέντε λύσεων επιτρεπόμενων για εταιρικά δίκτυα, δημοσιεύθηκε αρχικά στο .com. Ακολουθήστε τις τελευταίες εξελίξεις στην ασφάλεια πληροφοριών, στα Windows και στην ασφάλεια τελικού σημείου στο .com.