Share via

  • Articolo

Esperto a tutto tondo AppLocker: ’S è primo protezione panacea?

Greg Shields

Contenuti

Applicazioni Whitelisting
AppLocker: Più di SRP versione 2
Una distribuzione semplice di AppLocker

’S esiste una dicitura long-standing nel nostro settore che non vi sono una panacea. Definito come un “ rimedio per tutti i diseases, evils o difficoltà ”, panacea adatta disponibili, ma neverrealized rappresentano la soluzione IT per terminare tutte le soluzioni.

Si tratta di approccio convenzionale che nessun singolo prodotto mai completamente può offrire tale correzione unica per tutti i problemi, indipendentemente da come disco rigido gli agenti del prodotto che potrebbero tentare di convincere è in caso contrario. Ancora in esplorare le nuove funzionalità di AppLocker di Windows 7 e Windows Server 2008 R2, È necessario chiedersi se Microsoft è diventato chiusura.

Per comprendere meglio le potenzialità di AppLocker, considerare le nozioni di base di protezione del sistema di gestione. Malware è una minaccia costante. Indipendentemente dal fatto che infetta i sistemi tramite un browser o viene inserito tramite un attacco di tipo worm, overwhelms a volte anche il firewall migliore e motori antimalware. Inoltre, anche con un approccio a più livelli alla protezione nel proprio ambiente, la combinazione di questi strumenti può non essere preparata per tale attacco zero-day temuto.

Ancora c'è un thread comune tra praticamente tutti i pezzi di software dannoso: Il codice deve essere elaborata perché possa danneggiare i sistemi.

Questo singolo punto genera la domanda per gli amministratori: "Se praticamente tutti i malware richiede l'elaborazione di essere pericolosa, Impossibile possibile proteggere manualmente impedendo che l'elaborazione che si verifichino in primo luogo?"

La risposta è: Assolutamente. E la soluzione per questo problema è AppLocker.

Applicazioni Whitelisting

AppLocker ha sue radici nella tecnologia di criteri di gruppo denominata Criteri restrizione software (SRP), che debuted con Windows XP e Windows Server 2003. SRP è stato introdotto il concetto di blacklists e whitelists in relazione a non consentito e consentito di file eseguibili in un dominio Windows. Il concetto è semplice:

  • Con un blacklist è l'amministratore, identificare gli eseguibili specifici che non sono consentiti dall'esecuzione di computer del dominio. Al momento dell'avvio, i processi vengono verificati contro il blacklist prima fase di esecuzione. Se un processo si trova nel blacklist, non è consentita l'esecuzione e all'utente viene invece visualizzata con un messaggio di errore.
  • Con un elenco di whitelist l'opposto diventa true. Utilizzando un elenco whitelist, è possibile invece specificare i processi che possono essere eseguite sui computer. Avviato processi verranno confrontati con l'elenco whitelist prima dell'esecuzione. Solo quelli l'elenco whitelist è consentiti eseguire;quelli non nell'elenco whitelist viene impediti l'esecuzione.

Con il Security Rollup Package, uno di questi due paradigmi era possibile, con la predefinita con particolare attenzione la disabilitazione delle applicazioni. Con il passare del tempo, tuttavia, è diventato evidente che il concetto di whitelisting potrebbe essere notevolmente più potente. Mentre whitelisting coinvolti più causa da inserire nei criteri di ogni applicazione approvato per l'esecuzione, era un metodo rischiosi per impedire tutti gli altri elementi.

In effetti, sfruttando il paradigma whitelisting del Security Rollup Package, un ambiente possibile specificare quali applicazioni erano state testate, verificate e approvate dai relativi amministratori, quindi Criteri di protezione. Tutti gli altri elementi, compresi i moduli la maggior parte dell'esecuzione di malware e altre applicazioni quasi-legitimate non approvate da IT, negato in modo esplicito l'esecuzione. Nessuna elaborazione, nessun software dannoso, no infection.

Ma durante semplice nel concetto, tecnologia del Security Rollup Package non è più complesso nell'implementazione. Nonostante la potenza, SRP è stato implementato da solo un pochi gli ambienti. Determinare l'insieme di applicazioni accettabile è un processo complicato e complesso con supporto minimo per l'automazione. Apportare anche un piccolo errore in un pacchetto cumulativo di protezione Criteri di gruppo, può significare la prevenzione dell'esecuzione di tutti i software nel dominio. Troppo rischiosa e troppo complessa dall'amministratore nella configurazione, SRP raramente lo effettuate nella maggior parte degli ambientiradars.

AppLocker: Più di SRP versione 2

Tecnologia del AppLocker è progettato per aumentare di livelli di adozione incorporando migliori funzionalità di gestione. Integrazione più strettamente con i sistemi operativi Windows 7 e Windows Server 2008 R2, AppLocker sfrutta i concetti del Security Rollup Package per creare una soluzione più utilizzabile.

Il primo modo in cui AppLocker migliora su SRP prevede la tramite l'aggiunta di una modalità di controllo solo l'applicazione (vedere di figura 1). In questa modalità, computer configurati ed eseguibile regole solo rapporto in cui avvengono le violazioni di criteri. Combinando modalità applicazione solo del AppLocker controllo con un elenco vuoto whitelist, è possibile identificare rapidamente i tipi di applicazioni eseguite sui computer all'interno del dominio. Con informazioni di controllo viene inserite nel registro eventi AppLocker di ciascun computer, i dettagli su tali applicazioni e i file eseguibili possono essere documentati per l'imposizione successiva.

1009fig1.gif

Figura 1 AppLocker in modalità di solo controllo. (fare clic sull'immagine per ingrandirla)

Un secondo meccanismo migliora regola Creazione guidata automatico. Trovato nel GPO della AppLocker console è una selezione per generare automaticamente regole (vedere di figura 2). Questa opzione avvia una procedura guidata analizzerà qualsiasi struttura di file del computer di riferimento, cercare file eseguibili. Qualsiasi file eseguibile trovato nel percorso assegnato o sottocartelle può avere una regola generata automaticamente. Che punta verso questa procedura guidata verso un computer di riferimento con installato automaticamente il software di comuni dell'ambiente genera un elenco di regole. Tale elenco utilizzabile come punto di partenza per la personalizzazione successiva.

1009fig2.gif

Nella figura 2 di AppLocker automaticamente generazione eseguibile regole guidata (fare clic l'immagine per ingrandirla)

AppLocker semplifica anche la regola di generazione, riducendo il numero di classi di regole a tre. È progettati per essere utilizzato in combinazione e troverete che ogni classe di regola fornisce un approccio diverso per limitare l'esecuzione di software:

  • Regole di percorso creare una restrizione in base al nome o il percorso del file dell'eseguibile. Ad esempio, è possibile creare una regola percorso per un determinato nome di file (sol.exe) o una combinazione di nome di file e il carattere jolly (sol*.exe) per acquisire le modifiche limitate a un nome di file. È possibile utilizzare caratteri jolly in combinazione con percorsi di file (%ProgramFiles%\Microsoft Games\ *).
  • Regole di hash di file vengono create per superare alcune limitazioni evidenti con le regole di percorso. Utilizzando una regola percorso, un file eseguibile è possibile accedere spostandolo all'esterno di un percorso gestito o modificando sufficientemente il nome del file. Utilizzando una regola di hash di file, viene creato un hash crittografico di un file gestito. Basare le regole di disattivazione di file generato un hash significa che rimangono gestiti indipendentemente da dove è sta si trovino nel sistema. Mentre si aumenta la sicurezza della soluzione complessiva, il lato negativo diventa evidente file cambiano nel tempo a causa di patch o aggiornamenti. Per questo motivo, l'utilizzo di regole di hash di file richiede ulteriori a causa diligenza come software è aggiornato.
  • Regole di pubblicazione è necessario che il file eseguibile gestito è firmato digitalmente. Tale firma digitale consente il file da con restrizioni in base alle relativo editore, il nome del prodotto, versione nome file e file. Una scala di slittamento e fornisce l'opzione valore personalizzato è la possibilità di regolare le caratteristiche desiderati e che sono facoltativi. Ad esempio, è possibile limitare un file basato sul server di pubblicazione, il nome di prodotto e il nome file durante l'impostazione di un carattere jolly per la versione del file (vedere la figura 3). Il risultato finale: Gli aggiornamenti di versione successivi di tale file vengono approvati automaticamente.

1009fig3.gif

Nella figura 3 creazione e personalizzazione di una regola di pubblicazione. (fare clic sull'immagine per ingrandirla)

Un'aggiunta utile finale è la possibilità di creare eccezioni speciali associate a qualsiasi classe di regola. Queste eccezioni consentono una definizione di ulteriore dei quali file eseguibili sono consentiti per l'esecuzione, piuttosto che non sono consentiti. Ad esempio, è possibile consentire l'esecuzione di qualsiasi file eseguibile nella cartella %ProgramFiles%\Microsoft Office\ *, ma specificamente impedire Winproj.exe a causa delle licenze di restrizioni o per altri motivi.

Poiché AppLocker impostazioni vengono in genere create tramite Criteri di gruppo, l'assegnazione delle regole della funzionalità Protezione esecuzione programmi può essere incentrato sui computer in ambiente o singoli utenti. All'interno del gruppo Criteri di gestione Editor (GPME), le impostazioni definite per i computer AppLocker trovano nel percorso Configurazione Computer | criteri | impostazioni Windows | impostazioni di protezione | Criteri di controllo di applicazione. Queste definito per gli utenti sono nella stessa posizione in Configurazione utente. Di conseguenza, qualsiasi combinazione di utente e le configurazioni incentrato su computer può essere resi base sull'applicazione dei criteri di gruppo. L'unione di criteri è la additivi, significato che non eseguono l'override dei criteri di gruppo o le regole di sostituzione già presente in un collegato oggetto (criteri di gruppo). Assegnato tramite Criteri di gruppo di regole verranno applicate utilizzando l'ordine dell'applicazione stesso GPO tradizionale.

Adesso, principale limitazione del AppLocker riguarda le versioni del sistema operativo che applicano le regole. Sul lato client, solo 7 per Windows Ultimate e Windows 7 Enterprise possono partecipare AppLocker regola imposizione. Per i server, qualsiasi edizione di Windows Server 2008 R2 fatta eccezione per Server Web di Windows e Windows Server Foundation applicherà le regole di AppLocker. Mentre Microsoft potrebbe back-porta questa funzionalità in versioni precedenti del sistema operativo, questa funzione è attualmente aggiunge all'elenco di buoni motivi per cui un aggiornamento di Windows 7. (In questo documento, nessuna informazione è stata rilasciata su una porta possibile di backup per versioni precedenti del sistema operativo.)

Una parte di compatibilità buone notizie: Base di criteri di gruppo del AppLocker non richiede nessun aggiornamento dei controller di dominio (DC) per supportare la distribuzione dei relativi criteri. Esistente di Windows Server 2003 e controller di dominio di Windows Server 2008 possono host AppLocker criteri.

Una distribuzione semplice di AppLocker

Se AppLocker aggiunta utili suoni di protezione all'ambiente di piccole dimensioni, la seguente procedura riguardano l'implementazione della soluzione. Ovviamente, l'implementazione non verrà eseguita finché non è stato aggiornato una percentuale notevole del desktop e portatili a Windows 7. Sistemi operativi precedenti a Windows 7 e Windows Server 2008 R2 non applica le regole di AppLocker, ma rispetteranno quelle applicate tramite SRP. Mentre le regole di Security Rollup Package e AppLocker non direttamente convertibili, le informazioni che raccogliere tramite la modalità di controllo solo del AppLocker possono essere convertite manualmente per l'utilizzo nel Security Rollup Package.

Distribuzione AppLocker implica più passaggi, a partire da determinare come implementare la tecnologia e la creazione di un computer di riferimento per isolare l'insieme iniziale di applicazioni. Tenere presente che, a differenza di SRP, applicazione ­ Raccoglitore automaticamente il presupposto che che verrà creato un elenco di whitelist delle applicazioni. Sebbene la creazione di un'architettura blacklist è possibile, in questo modo non è consigliabile semplicemente perché tale approccio non fornisce la stessa potenza funzionalità Protezione esecuzione programmi offerta da whitelists.

Il documento intitolato "Pianificazione e criteri di distribuzione Windows AppLocker," Microsoft descrive un nove-processo di passaggio per l'implementazione di applicazioni ­ Raccoglitore in un ambiente. Mentre questo documento è in versione beta in questo articolo, la versione attualmente disponibile include significativi dettagli sulla creazione di un'infrastruttura AppLocker completata correttamente. Per ragioni di semplicità, tuttavia, qui sono pochi passaggi necessari per iniziare.

Innanzitutto, creare un elenco di applicazioni che l'organizzazione IT considera accettabile per l'esecuzione. È possibile creare manualmente l'elenco intervistando i proprietari di applicazione nella propria organizzazione. È possibile iniziare creando e interrogare il computer di riferimento contenente le applicazioni comunemente disponibili nell'azienda. Iniziare creando l'istanza del sistema operativo, o immagini utilizzando l'immagine preferita-soluzione di distribuzione e verificare che le applicazioni a destra sono installate. A questo computer, è necessario installare anche remoto Systems amministrazione Toolkit (RSAT) per Windows 7, disponibile sul sito Web. Gli RSAT include i componenti GPME necessari per la creazione di regole AppLocker.

Quando è pronto per l'analisi, creare un nuovo oggetto Criteri di gruppo e avviarlo all'interno di GPME. Passare a configurazione computer | criteri | impostazioni Windows | impostazioni di protezione | Criteri di controllo di applicazione | AppLocker fare clic sul collegamento nel riquadro di destra per configurazione imposizione di regola. Nella finestra risultante, selezionare la casella contrassegnato come configurato in modalità eseguibile e impostata la regola a controllo. Questa impostazione gestisce i comportamenti esistenti su sistemi gestiti durante il reporting AppLocker violazioni di regole nel registro eventi locale.

Si noterà che questa finestra è una scheda avanzata, entro il quale è possibile attivare insieme di regole DLL. AppLocker è in grado di creare regole basate sulle DLL oltre ai file eseguibili. Mentre è possibile implementare questa impostazione per una maggiore protezione, in questo modo verrà aggiunto un carico aggiuntivo amministrativo poiché sarà necessario isolare e configurare le regole per tutte le DLL in ambiente oltre ai file eseguibili. Poiché un file eseguibile può sfruttare più DLL, tale operazione può essere un incubo di gestione. Abilitazione della regola DLL insieme anche influirà sulle prestazioni del sistema poiché l'elaborazione di ogni DLL verrà richiedono la convalida prima di esecuzione.

Il passaggio successivo è la configurazione l'insieme predefinito di regole eseguibile. Fare clic con il pulsante destro del mouse il sub-node AppLocker lo stesso nome e scegliere di creare regole predefinite. Tre regole vengono create per impostazione predefinita. Due consentire l'esecuzione di tutti i file nelle cartelle Windows e programmi, mentre il terzo (visualizzato in di figura 4) consente ai membri del gruppo Administrators locale per eseguire tutte le applicazioni. Questa terza regola esclude in modo efficiente gli amministratori locali l'elaborazione della regola.

1009fig4.gif

Nella figura 4 predefinita regola esclusione gli amministratori locali dalla funzionalità Protezione esecuzione programmi. (fare clic sull'immagine per ingrandirla)

Una volta che è completo, fare clic nuovamente con il pulsante destro del mouse sul nodo regole eseguibile e scegliere di generare automaticamente regole. Questa procedura guidata verrà interrogato il computer locale per gli eseguibili potenziali per la regola di creazione, motivo per cui si deve essere eseguito su computer di riferimento. Per impostazione predefinita, la procedura guidata verificherà per file eseguibili nel percorso C:\Programmi, anche se i percorsi alternativi possono essere controllati modificando le opzioni della procedura guidata.

Facendo clic su Avanti nella procedura guidata visualizza la schermata di Preferenze regole. In questo caso, è possibile creare regole di pubblicazione per i file firmati digitalmente o di creare regole di hash per tutti i file. Regole di percorso possono essere create automaticamente in questa schermata, ma solo quando i file già non sono stati firmati digitalmente agli editori corrispondenti. Fare clic su Avanti nuovamente viene completata la scansione del sistema e consente una schermata in cui è possibile visualizzare l'elenco di regole. Le regole che non si desidera creare possono essere eliminate facendo clic sul collegamento per esaminare il file che sono stato analizzato, quindi deselezione la casella di controllo accanto ai file appropriati. Una volta che è completo, fare clic su Crea.

Completamento di questa attività in un sistema Windows 7 appena generato aggiunge quattro nuove regole. Sebbene alcune più file eseguibili vengono trovati in questa posizione, la procedura guidata verrà dalle regole di insieme gruppo predefinito per semplificare le proprie applicazioni. A questo punto, se si ritiene come monitoraggio per altri tipi di file eseguibile, è possibile configurare le regole per gli script e file eseguibili basati su Windows Installer in questa posizione GPME stessa.

A questo punto, l'oggetto Criteri di gruppo inizierà configurazione client di destinazione in base all'appartenenza a unità ORGANIZZATIVA. Poiché i criteri di imposizione di regola sono impostato su solo controllo, non si verifica effettivamente Nessuna limitazione per l'esecuzione. Durante questo periodo, è consigliabile esaminare i registri eventi su vari sistemi gestiti per verificare se le regole sono lavorativi per l'ambiente in uso o se l'applicazione impedisce a un file eseguibile necessario da esecuzione. Utilizzare queste informazioni per modificare il set di regole esistente in modo che funzionino correttamente per l'ambiente in uso.

Quando si è pronti per spostare da report sui file eseguibili per impedire effettivamente tali, è solo passare nuovamente al nodo AppLocker nel GPME e modificare le proprietà dell'applicazione da solo controllo Applica regole.

Ovviamente, è necessario più progetto di pianificazione e testing prior to distribuzione. Ma verranno visualizzato iniziare questi semplici passaggi. Mentre AppLocker potrebbe non essere il panacea completa della protezione, la capacità per impedire a tutti i file eseguibili assolutamente approvati esecuzione significa che è effettivamente, realmente chiudere.

Greg Shields, MVP, è un partner presso incentrati Technology. Ulteriori della Shields'Appassionato di All Trades suggerimenti e indicazioni in di ConcentratedTech.com.