Applocker ve Yazılım kısıtlama politikası

Amaç, kullanıcıların terminal sunucusunda istenmeyen programlar çalıştırmasını engellemektir.

Microsoft ve diğerlerinden yeni Applocker özelliğinin eski Yazılım Kısıtlama Politikasından% 100 daha iyi olduğunu ve ikincisinin değiştirilmesi olarak önerildiğini söyleyen birçok makale okudum.

Çekirdek modu yürütme dışında Applocker'ın gerçek avantajlarını anladığımdan emin değilim. İşlevlerinin çoğu Yazılım Kısıtlama Politikası ile çoğaltılabilir.

Aynı zamanda, oldukça işe yaramaz hale getiren bir BÜYÜK dezavantajı vardır: genişletilemez ve kısıtlamak istediğiniz özel dosya uzantılarını ekleyemezsiniz.

Applocker'ın SRP'ye göre avantajları nelerdir ve yazılım kontrolü için ne önerirsiniz?

Windows 7 Enterprise / Ultimate, AppLocker'ı piyasaya sürdüğü için Yazılım Kısıtlama İlkesi Microsoft tarafından kullanımdan kaldırılmıştır ( SRP'nin etkili bir şekilde desteklendiğini iddia eden teknoloji ).

Uygulamada, SRP'nin hem yanlış negatifler hem de yanlış pozitifler için bazı tuzakları vardır. AppLocker'ın hala aktif olarak bakımı ve desteklenmesi avantajı vardır. AppLocker bir seçenekse, zamanınızı ve alınan riskleri hesaba kattıktan sonra daha ucuz olabilir. Uygun bir üçüncü taraf alternatifi de olabilir (ancak bu soru bu seçeneği içermiyordu :).

Umarım herhangi birine girmeden önce SRP'nin tuzaklarını mükemmel bir şekilde anlarsınız </sarcasm>. Bazıları Vadims Podāns'un güzel bir güvenlik makalesinde açıklanmıştır .

Bilinen tuzaklar

1. Varsayılan olarak, \Windowsklasörden yürütmeye izin verilir. Bazı alt klasörler kullanıcılar tarafından yazılabilir. Applocker aynıdır, ancak en azından resmi belgeler bu sınırlamadan bahseder .

   EDIT: " Kullanıcı yazma yazma ile tüm klasörleri numaralandırmak için, örneğin, Sysinternals paketinden AccessEnum yardımcı programını kullanabilirsiniz." (veya AccessChk ).

   Teknik olarak, belgeler varsayılan kuralları geçersiz kılmaya karşı da sizi uyarır . DÜZENLEME: Bir NSA belgesi SRP ile kara listeye 16 klasör örneği verir , ancak kayıt defteri yolu kuralları ters eğik çizgileri yanlış kullanır;

   Açık olan soru, \Windowsbunun yerine neden bireysel yolları dikkatlice beyaz listeye almıyoruz . ( \Windows\*.exeMiras dahil System32\*.exe, vb.). Bunun hiçbir yerinde hiçbir cevap fark etmedim :(.

2. %systemroot%SRP gibi ortam değişkenleri kullanıldığında, ortam değişkeni temizlenerek kullanıcılar tarafından atlanabilir. EDIT: Bunlar önerilen varsayılanlarda kullanılmaz. Bununla birlikte, kullanmak cazip olabilir. Bu tabanca AppLocker'da sabitlenmiştir, çünkü asla ortam değişkenlerine bakmaz.

3. Önerilen varsayılan \Program Files, modern 64 bit yüklemelerde kullanılan iki farklı seçeneğe izin vermeyi ihmal eder . Bunu daha güvenli "kayıt defteri yollarını" kullanarak çözerken, rasgele durumlarda yanlış reddetme raporları vardır ve bunlar test sırasında kolayca gözden kaçabilir. örneğin, SpiceWorks SRP howto hakkındaki yorumlara bakın . DÜZENLEME: Bu, kayıt defterinin WOW6432Node öğesinden ilgili yolları okuyan 32 bit uygulamalarla ilgilidir: çözünürlük, tüm programların 32 bit ve 64 bit makinelerde başlatılmasına bağlı olarak Sınırsız olarak çalışmasına izin vermek için SRP'ye her iki yolu da eklemektir . bir x64 veya x86 ana bilgisayar işlemi:%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir (x86)% %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramW6432Dir%
4. Varsayılan uzantılar, Windows tarafından desteklenen PowerShell komut dosyalarını (* .PS1) yasaklar . ( Videoya bakın ). Ve APPX de ... Microsoft'un karşılaştırma tablosuna göre, SRP Windows 8'de "Paketlenmiş uygulamaları" yönetemiyor, bunun ne anlama geldiğini bilmiyorum.
5. Kayıt yolunu kuralları (bulunmasına rağmen Microsoft'un kendi yerleşik XP / Server 2003 için kurallar) hemen son yüzde işaretinden sonra eğik çizgi olmamalıdır çalışmaya (kural için sırayla forwardslashes ile değiştirilmelidir ve her ters eğik 1 / 2 / 3 ).
6. SRP için bulduğum kaynakların hiçbiri sizin için tam listeyi bir araya getirmedi. Ve sadece Vadims Podāns'un makalesini kazara keşfettim. Orada başka neler gizleniyor?
7. Birçok kaynak LNK dosyalarının listeden kaldırılmasını önerir. (Sık Kullanılanları kırmamak için Web Kısayolları ?!). Rahatsız edici bir şekilde, hiçbir kaynak LNK güvenlik açıklarını tartışmıyor gibi görünmüyor ... veya komut dosyası tercümanlarının beklenmeyen bir uzantıya sahip dosyaları çalıştırmasını sağlıyorwscript /e ...
8. Masaüstünde LNK dosyalarına izin vererek uzlaşmaya çalışırsanız ve kullanıcılara masaüstüne yazma erişimi bırakırsanız, artık ilkenizi tamamen atlayabilirler. Vadims Podāns güzel ipucu tekrar. Açıklamanın bir yol kuralındaki herhangi bir uzantıyı kullanmaya uygulandığını unutmayın. Microsoft *.Extensionuyarı olmaksızın bu duruma ilişkin çok sayıda örnek sunmaktadır. Yani resmi belgelere güvenemezsiniz ve şimdi düzeltilmesi pek mümkün görünmüyor.
9. [Potansiyel AppLocker dezavantajı]. Vadims Podāns, eşlenen sürücüleri kullanan SRP girişlerinin çalışmadığını bildirir. Bunun yerine UNC yolu kullanılmalıdır. Belki daha sonra eşlenmiş bir sürücüye erişmek için başvururlardı? % 100 net değil. Görünüşe göre AppLocker farklıydı: İkisinden biri ile çalışmadı: "Bilinmeyen bir nedenden dolayı, UNC yolları Applocker'da çalışmıyor! ."

Pragmatik yaklaşım

Yazılım beyaz listesi potansiyel olarak çok güçlü bir savunmadır. Alaycı olursak: Microsoft bu yüzden daha düşük fiyatlı sürümleri kullanımdan kaldırır ve daha karmaşık sürümleri icat eder.

Belki başka seçenek yoktur (3. taraf çözümleri içerir). O zaman pragmatik bir yaklaşım, SRP'yi mümkün olduğunca basit bir şekilde yapılandırmayı denemek olacaktır. Bilinen deliklerle ekstra bir savunma katmanı olarak ele alın. Yukarıdaki tuzaklarla eşleşen:

1. Varsayılan kurallardan başlayın (Win7 öncesi dönemden itibaren :).
2. Ortam değişkenlerini kullanmamayı tercih edin, örn %systemroot%.
3. \Program Files\Modern 64 bit makinelerde her iki dizine de izin verildiğinden emin olmak için kurallar ekleyin . Ekstra "kayıt defteri yolları" için gereken \Program Files\64-bit bilgisayarlarda %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir (x86)%ve gerekir %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramW6432Dir%.
4. Kayıt defteri yolu kurallarına eklerken, yüzde işaretinden hemen sonra ters eğik çizgi bırakın ve diğer ters eğik çizgileri \ön eğik çizgilerle değiştirin /(örn. %HKEY_LOCAL_MACHINE\Software\CompanyName\CustomApps%App/Bin/start.exe)
5. PS1'i kontrollü uzantılar listesine ekleyin.
6. Yönetilebilir bir SRP yapılandırmasının, onu yenmeye kararlı bir kullanıcıya karşı güvenli olmadığını anlayın. Amaç, kullanıcıların politika dahilinde çalışmasına yardımcı olmak / onları teşvik etmek, onları "arabayla indirme" gibi saldırılara karşı korumaktır.
7. LNK dosyalarına izin ver. (Tercihen bazı yol kuralıyla değil, uzantılar listesinden çıkararak).
8. Yukarıyı görmek :).
9. Oturum açma komut dosyası klasörünüze izin verildiğinden emin olun. NSA belgesi eklemeyi önerir \\%USERDNSDOMAIN%\Sysvol\. (Bkz. Nokta # 2, içini çekin, sonra bkz. Nokta # 6).

SRP'nin AppLocker'ın gerçekten fayda sağlayabileceği bazı ek özellikleri olduğunu kabul ediyorum.

Olduğu söyleniyor, ben AppLocker ( bu karşılaştırma tarafından belgelendiği gibi) büyük faydaları olarak görüyorum :

• AppLocker kuralları belirli bir kullanıcıya veya bir kullanıcı grubuna hedeflenebilirken, SRP tüm bilgisayarda uygulanır.
• AppLocker, denetim modunu destekler, böylece kurallar uygulanmadan önce test edilebilir. SRP'nin eşdeğer bir günlük modu yok.

Benim için en büyük avantaj, yayıncı tarafından imzalanmış yürütülebilir dosyaları beyaz listeye ekleme yeteneğidir. Bu http://technet.microsoft.com/en-us/library/ee460943(v=ws.10).aspx adresine bir göz atın

AppLocker'ın hiçbir faydası yoktur, Microsoft yayınlanan açık yalanlar: 1. SAFER kurallarına sahip GPO'lar kullanıcılara ve kullanıcı gruplarına eklenebilir; 2. Windows Vista, bir etki alanı denetleyicisi olmadan aynı sonucu elde eden birden çok yerel GPO'yu tanıttı; 3. Denetim modu, NO uygulaması olmayan genişletilmiş günlük kaydı özelliği ile kullanılabilir.

Şirketimde Applocker kullanıyorum. Kullandığımız strateji: Her şeyi temel olarak reddet (aslında: Applocker varsayılanları) ve sonra önerileni yapın: yalnızca imzalı uygulamalara (ofis, adobe, wintools, balta vb.) İzin veren bir kural yapın. Çoğu, belki de tüm kötü amaçlı yazılım imzalı bir yazılım değildir, bu yüzden yürütülmez. Hiçbir bakım gerektirmez. Yalnızca 3 ekstra eski uygulamaya izin vermek zorunda kaldım.

Ayrıca UNC yollarını kullanamayacağımı teyit edemiyorum. Bazı ekstra güvenlik reddi kurallarında UNC yolunu başarıyla kullanıyorum. Tuzak çevre değişkenlerini kullanıyor: Applocker için çalışmıyorlar. * Joker karakterler kullanın. Windows 2008 R2 ve Windows 2012 R2'de kullanıyorum.

Çok beğendim: Performans düşüşü neredeyse hiç yok. Belgelerin dediği gibi: Applocker Uygulama Kimliği Hizmetine güveniyor (otomatik olarak başladığından emin olun).