Общие сведения о проектировании политик AppLocker
В этом разделе, предназначенном для ИТ-специалистов, представлены вопросы проектирования, возможные ответы и последствия решений при планировании развертывания политик управления приложениями с помощью AppLocker в среде операционной системы Windows.
В начале процесса проектирования и планирования следует продумать последствия ваших проектных решений. Итоговые решения окажут воздействие на схему развертывания политики и последующее ведение обслуживания политик.
Возможность использования AppLocker в рамках политик управления приложениями в своей организации следует рассмотреть, если выполняются следующие условия.
В организации развернуты или планируется развернуть поддерживаемые версии Windows. Особые требования к версии операционной системы см. в разделе Необходимые условия для использования AppLocker.
Требуется улучшенный контроль доступа пользователей к приложениям и данным вашей организации.
Известно количество приложений в организации, и им можно управлять.
Наличие ресурсов для проверки политики относительно требований организации.
Наличие ресурсов для задействования службы технической поддержки или создания процесса самостоятельной помощи для решения проблем доступа пользователей к приложениям.
Групповыми требованиями к производительности, управлению и безопасности можно управлять с помощью политик ограничения.
Следующие вопросы представлены не в порядке приоритета или последовательном порядке. Эти вопросы следует рассмотреть при развертывании политик управления приложениями (исходя из целевой среды).
Какие приложения необходимо контролировать в вашей организации?
Возможно, вам необходимо управлять ограниченным количеством приложений в силу того, что они получают доступ к конфиденциальным данным, или же вам требуется исключить все приложения, кроме тех, которые разрешены для работы компании. Могут существовать одни бизнес-группы, которые требуют строгого контроля, и другие, в которых поощряется независимое использование приложений.
| Возможные ответы | Вопросы разработки |
|---|---|
Контроль всех приложений |
Политики AppLocker управляют приложениями, создавая список разрешенных приложений по типу файла. Также возможны исключения. Политики AppLocker можно применять только к приложениям, установленным на компьютерах, работающих под управлением одной из поддерживаемых версий Windows. Особые требования к версии операционной системы см. в разделе Необходимые условия для использования AppLocker. |
Управление отдельными приложениями |
При создании правил AppLocker формируется список разрешенных приложений. Разрешен запуск всех приложений из этого списка (за исключением приложений, включенных в список исключений). Запуск приложений, которых нет в списке, будет запрещен. Политики AppLocker можно применять только к приложениям, установленным на компьютерах, которые работают под управлением любой поддерживаемой версии Windows. Особые требования к версии операционной системы см. в разделе Необходимые условия для использования AppLocker. |
Управление только классическими приложениями, только универсальными приложениями для Windows или обоими типами приложений одновременно |
Политики AppLocker управляют приложениями, создавая список разрешенных приложений по типу файла. Поскольку универсальные приложения для Windows делятся на категории по условию издателя, управлять классическими и универсальными приложениями для Windows можно совместно. Политики AppLocker для универсальных приложений для Windows можно применять только к приложениям, установленным на компьютерах, которые поддерживают работу с Магазином Windows. Классическими же приложениями можно управлять с помощью AppLocker во всех поддерживаемых версиях Windows. Правила, настроенные в данный момент для классических приложений для Windows, можно оставить, а для универсальных приложений — создать новые. Сравнение классических и универсальных приложений для Windows см. в пункте Сравнение классических и универсальных приложений для Windows в отношении проектирования политик AppLocker этого раздела. |
Управление приложениями по бизнес-группам и пользователям |
Политики AppLocker можно применять с помощью объекта групповой политики (GPO) к объектам-компьютерам в подразделении организации. Отдельные правила AppLocker можно применять к отдельным пользователям или группам пользователей. |
Управление приложениями по компьютерам, а не пользователям |
AppLocker — это реализация политики на основе компьютера. Если домен или организационная структура сайта не основаны на логической структуре пользователя, например, состоящей из подразделений, возможно, необходимо будет настроить такую структуру перед началом планирования AppLocker. В противном случае потребуется идентификация пользователей, их компьютеров и требований доступа к приложениям. |
Представление об использовании приложений без необходимости какого-либо контроля приложений |
Политики AppLocker можно настроить для проверки использования приложений, чтобы отследить, какие приложения используются в вашей организации. Затем можно использовать журнал событий AppLocker для создания политик AppLocker. |
Важно
В следующем списке содержатся файлы или типы файлов, которыми не может управлять AppLocker.
AppLocker не защищает от выполнения 16-разрядных двоичных файлов DOS в среде виртуальной машины DOS NT (NTVDM). Эта технология позволяет запускать старые 16-разрядные программы DOS и Windows на компьютерах на базе процессора Intel 80386 и более поздних версий при наличии на этом же устройстве другой операционной системы, управляющей аппаратным обеспечением. В результате получается, что 16-разрядные двоичные файлы могут выполняться в Windows Server 2008 R2 и Windows 7, когда AppLocker настроен в иных случаях блокировать двоичные файлы и библиотеки. Если требуется запретить запуск 16-разрядных приложений, то для NTVDM.exe следует настроить правило отказа в коллекции правил для исполняемых файлов.
Использовать AppLocker для предотвращения выполнения кода вне подсистемы Win32 нельзя. В частности, это относится к подсистеме POSIX в Windows NT. Если требуется запретить запуск приложений в подсистеме POSIX, следует отключить эту подсистему.
AppLocker может управлять только файлами VBScript, JScript, BAT, CMD и сценариями Windows PowerShell. AppLocker не может управлять всем интерпретированным кодом, который выполняется в хост-процессе, например сценариями и макросами Perl. Интерпретируемый код — это форма исполняемого кода, который выполняется в рамках хост-процесса. Например, пакетные файлы Windows (BAT), выполняемые в контексте командного узла Windows (cmd.exe). Чтобы управлять интерпретированным кодом с помощью AppLocker, хост-процесс должен вызывать AppLocker перед выполнением интерпретированного кода, а затем применить решение, возвращаемое AppLocker. Не все хост-процессы вызывают AppLocker. Поэтому AppLocker не может управлять каждым видом интерпретированного кода, например макросами Microsoft Office.
Важно
Если требуется разрешить запуск этих хост-процессов, необходимо настроить соответствующие параметры безопасности для них. Например, настройте параметры безопасности в Microsoft Office, чтобы обеспечить загрузку только подписанных и доверенных макросов.
Правила AppLocker разрешают либо запрещают запуск приложения. AppLocker не контролирует работу приложений после их запуска. Приложения могут содержать флаги, передаваемые функциям, которые сигнализируют AppLocker обходить правила и разрешить загрузку другого EXE или DLL-файла. На практике приложение, запуск которого разрешен AppLocker, может использовать эти флаги для обхода правил AppLocker и запуска дочерних процессов. Необходимо выполнить процесс, который наилучшим образом подходит для тщательной проверки каждого приложения, прежде чем разрешить их запуск с помощью правил AppLocker.
Дополнительные сведения см. в разделе Соображения безопасности для AppLocker.
Сравнение классических и универсальных приложений для Windows в отношении проектирования политик AppLocker
Политики AppLocker для универсальных приложений для Windows можно применять только для приложений, установленных на компьютерах под управлением операционных систем Windows, которые поддерживают приложения Магазина Windows. Классическими приложениями для Windows можно управлять не только на компьютерах, поддерживающих универсальные приложения для Windows, но и на машинах, работающих под управлением Windows Server 2008 R2 и Windows 7. Правила для классических и универсальных приложений для Windows можно применять вместе. Различия, которые следует учитывать в случае универсальных приложений для Windows, следующие.
Все универсальные приложения для Windows могут быть установлены обычным пользователем, а для установки ряда классических приложений требуются учетные данные администратора. Поэтому в среде, где большая часть пользователей являются обычными пользователями, не требуется наличие множества правил EXE, однако может потребоваться большее количество явных политик для упакованных приложений.
Классические приложения для Windows можно создавать для изменения состояния системы, если они выполняются под учетными данными администратора. Большинство универсальных приложений для Windows не могут изменять состояние системы, так как они выполняются с ограниченными разрешениями. Разрабатывая политики AppLocker, важно понимать, может ли разрешенное приложение вносить изменения в систему.
Универсальные приложения для Windows можно приобрести в Магазине или загрузить, используя командлеты Windows PowerShell. Для приобретения универсальных приложений для Windows с помощью командлетов Windows PowerShell необходима специальная корпоративная лицензия. Классические приложения для Windows можно приобрести традиционными методами, например через поставщиков программного обеспечения или розничную торговлю.
AppLocker управляет универсальными и классическими приложениями для Windows с помощью разных коллекций правил. Можно управлять универсальными приложениями для Windows, классическими приложениями для Windows или же обоими типами приложений.
Дополнительные сведения см. в разделе Упакованные приложения и правила установщика упакованных приложений в AppLocker.
Каким образом использование приложений отслеживается в вашей организации в данный момент?
В большинстве организаций политики и методы управления приложениями меняются с течением времени. Из-за повышенных опасений в отношении безопасности и акцента на более жесткий контроль использования ваша организация может решить объединить методики управления приложениями и разработать комплексную схему управления приложениями. В AppLocker реализованы усовершенствования по сравнению с SRP в архитектуре и контроле над политиками управления приложениями.
| Возможные ответы | Вопросы разработки |
|---|---|
Политики безопасности (заданные локально или через групповую политику) |
Использование AppLocker требует активизации усилий при планировании создания правильных политик, результатом которых станет упрощение метода распределения. |
Программное обеспечение для управления приложениями от сторонних разработчиков |
Использование AppLocker требует полной оценки и реализации политики управления приложениями. |
Управляемое использование группой и подразделением |
Использование AppLocker требует полной оценки и реализации политики управления приложениями. |
Диспетчер авторизации или другие технологии доступа на основе ролей |
Использование AppLocker требует полной оценки и реализации политики управления приложениями. |
Прочее |
Использование AppLocker требует полной оценки и реализации политики управления приложениями. |
Какие операционные системы Windows для сервера или настольных ПК используются в вашей организации?
Если ваша организация поддерживает несколько операционных систем Windows, планирование политики управления приложениями будет более сложным. Начальные проектные решения должны учитывать приоритеты безопасности и управления приложениями, установленными в каждой версии операционной системы.
| Возможные ответы | Вопросы разработки |
|---|---|
Компьютеры организации работают под управлением следующих операционных систем.
|
Правила AppLocker применяются только к компьютерам под управлением поддерживаемых версий Windows, однако правила SRP можно применять ко всем версиям Windows, начиная c Windows XP и Windows Server 2003. Особые требования к версии операционной системы см. в разделе Необходимые условия для использования AppLocker. ПримечаниеЕсли используется уровень безопасности обычного пользователя, назначенный в SRP, то эти привилегии не поддерживаются на компьютерах с поддержкой AppLocker. Политики AppLocker, которые применяются с помощью объекта GPO, имеют приоритет перед политиками SRP из этого же или связанного GPO. Политики SRP можно создавать и поддерживать аналогичным образом. |
Компьютеры вашей организации работают только под управлением следующих операционных систем.
|
Используйте AppLocker для создания политик управления приложениями. |
В вашей организации имеются особые группы, для которых требуются специализированные политики управления приложениями?
Большинство бизнес-групп или отделов имеют особые требования в отношении безопасности, связанные с доступом к данным и приложениям, используемым для получения доступа к этим данным. Перед развертыванием политик управления приложениями для всей организации следует учесть область проекта для каждой группы, а также приоритеты группы.
| Возможные ответы | Вопросы разработки |
|---|---|
Да |
Для каждой группы необходимо создать список с требованиями к управлению приложениями. Несмотря на то что это может увеличить время планирования, весьма вероятно значительное повышение эффективности развертывания. Если структура GPO в данный момент не настроена и можно применять различные политики к определенным группам, то в качестве альтернативы можно применять правила AppLocker в GPO для определенных групп пользователей. |
Нет |
Политики AppLocker можно глобально применять к приложениям, установленным на компьютерах, которые работают под управлением поддерживаемых версий Windows (см. список в разделе Необходимые условия для использования AppLocker). В зависимости от количества приложений, которые необходимо контролировать, управление всеми правилами и исключениями может оказаться весьма сложной задачей. |
Ваш ИТ-отдел обладает ресурсами для анализа использования приложения, а также для разработки политик и управления ими?
Время и ресурсы, доступные для выполнения исследований и анализа, могут повлиять на компоненты плана и процессы, необходимые для постоянного управления и ведения политик.
| Возможные ответы | Вопросы разработки |
|---|---|
Да |
Выделите время для анализа требований к управлению приложениями вашей организации и планирования полного развертывания с использованием как можно более простых правил. |
Нет |
Рассмотрите целевое и поэтапное развертывание для конкретных групп с помощью небольшого количества правил. При применении элементов управления к приложениям в определенной группе изучите данное развертывание для планирования следующего развертывания. |
Ваша организация располагает службой технической поддержки?
Запрещение пользователям доступа к известным, развернутым или личным приложениям вначале приведет к увеличению уровня поддержки, который им будет необходим. Придется решать различные вопросы технической поддержки в вашей организации, чтобы обеспечить соблюдение политик безопасности и не затруднять бизнес-процесс.
| Возможные ответы | Вопросы разработки |
|---|---|
Да |
Привлеките отдел технической поддержки на ранних этапах планирования, поскольку использование приложений может быть случайно заблокировано для пользователей или пользователи могут требовать исключений для использования определенных приложений. |
Нет |
Уделите время на разработку процессов поддержки в Интернете и документирование, прежде чем приступить к развертыванию. |
Вы знаете, для каких приложений требуются политики ограничения?
Успешная реализация любой политики управления приложениями зависит от того, насколько хорошо вы знаете и понимаете то, как приложения используются в организации или бизнес-группе. Кроме того, разработка управления приложениями зависит от требований безопасности для данных и приложений, которые получают доступ к этим данным.
| Возможные ответы | Вопросы разработки |
|---|---|
Да |
Необходимо определить приоритеты управления приложениями для бизнес-группы, а затем попробовать разработать наиболее простую схему политик управления приложениями. |
Нет |
Необходимо выполнить проект аудита и сбора требований для выяснения вариантов использования приложений. AppLocker предоставляет способы для развертывания политик в режиме Только аудит, а также инструменты для просмотра журналов событий. |
Как вы развертываете или разрешаете приложения (обновленные или новые) в вашей организации?
Успешная реализация политики управления приложениями зависит от того, насколько хорошо вы знаете и понимаете то, как приложения используются в организации или бизнес-группе. Кроме того, разработка управления приложениями зависит от требований безопасности для данных и приложений, которые получают доступ к этим данным. Понимание политики обновления и развертывания поможет сформировать конструкцию политик управления приложениями.
| Возможные ответы | Вопросы разработки |
|---|---|
Специальный |
Необходимо собрать требования от каждой группы. Некоторые группы могут потребовать неограниченный доступ или доступ для установки, а другие группы — строгий контроль. |
Строгая политика или инструкции, которым нужно следовать |
Необходимо разработать правила AppLocker, которые отражают эти политики, а затем протестировать эти правила и обеспечить их ведение. |
Отсутствие процесса |
Необходимо определить, если ли у вас ресурсы для разработки политики управления приложениями и для каких групп они предназначены. |
В организации уже есть развернутая политика SRP?
Несмотря на то что SRP и AppLocker имеют одинаковую цель, AppLocker представляет собой значительно измененную версию SRP.
| Возможные ответы | Вопросы разработки |
|---|---|
Да |
Нельзя использовать AppLocker для управления параметрами политики SRP, но можно применять SRP для контроля над политиками управления приложениями на компьютерах, работающих на базе любых поддерживаемых операционных систем, которые перечислены в разделе Необходимые условия для использования AppLocker. Кроме того, если параметры AppLocker и SRP настроены в одном GPO, то только параметры AppLocker будут принудительно применены на компьютерах под управлением этих поддерживаемых операционных систем. ПримечаниеЕсли используется уровень безопасности обычного пользователя, назначенный в SRP, то эти разрешения не поддерживаются на компьютерах под управлением поддерживаемых операционных систем. |
Нет |
Политики, которые настроены для AppLocker, можно применять только к компьютерам под управлением поддерживаемых операционных систем, а вот SRP также доступна в этих операционных системах. |
Каковы приоритеты вашей организации при внедрении политик управления приложениями?
Для некоторых организаций польза от использования политик управления приложениями заключается в увеличении производительности или улучшении соответствия, в других же организациях возникнут проблемы с выполнением своих обязанностей. Выстроите эти аспекты в порядке приоритетности для каждой группы, чтобы иметь возможность оценить эффективность AppLocker.
| Возможные ответы | Вопросы разработки |
|---|---|
Производительность: организация гарантирует работу инструментов и возможность установки необходимых приложений. |
В целях внедрения инноваций и обеспечения производительности некоторым группам потребуется возможность установки и запуска различных программ из разных источников, в том числе ПО, которое они сами разрабатывают. Поэтому, если инновации и производительность приоритетны, контроль над политиками управления приложениями посредством списка разрешенных приложений может занимать много времени и сдерживать прогресс. |
Управление: организация знает, какие приложения она поддерживает, и управляет ими. |
В некоторых бизнес-группах управление использованием приложений можно выполнять из центрального пункта управления. Для этой цели политики AppLocker можно встроить в GPO. При этом управление доступом к приложениям переходит к ИТ-отделу, а также реализуется возможность управления количеством приложений, которые могут выполняться, и контроля версий этих приложений. |
Безопасность: организация должна защищать данные, в частности, предоставляя к ним доступ только утвержденным приложениям. |
AppLocker помогает защитить информацию, предоставляя доступ к приложениям, которые имеют право на работу с данными, лишь строго определенному набору пользователей. Если защита имеет наивысший приоритет, то политики управления приложениями будут наиболее строгими. |
Каким образом в настоящее время предоставляется доступ к приложениям в вашей организации?
AppLocker очень эффективен для организаций, в которых имеются требования в отношении ограничения возможности запуска приложений, если они имеют среды с простой топографией и простые цели политики управления приложениями. Например, использование AppLocker может быть целесообразно в среде, где лица, не являющиеся сотрудниками компании, имеют доступ к компьютерам, подключенным к сети организации, например в школы или библиотеки. Для крупных организаций также целесообразно развертывание политики AppLocker, когда поставлена цель достичь уровня управления настольными компьютерами для предоставления подробных данных с относительно небольшим количеством управляемых приложений или если управление приложениями выполняется с помощью небольшого количества правил.
| Возможные ответы | Вопросы разработки |
|---|---|
Пользователи работают без прав администратора. Приложения устанавливаются с помощью технологии развертывания установки. |
AppLocker помогает снизить совокупную стоимость владения для бизнес-групп, которые обычно используют конечный набор приложений, например отделы кадров и финансовые отделы. В то же время эти отделы получают доступ к строго конфиденциальной информации, большая часть которой содержит личные и конфиденциальные сведения. Создавая с помощью AppLocker правила для конкретных разрешенных приложений можно ограничить доступ посторонних приложений к этой информации. ПримечаниеAppLocker также может эффективно помочь при создании стандартизированных настольных систем в организациях, где пользователи работают от имени администраторов. Однако важно отметить, что пользователи с учетными данными администраторов могут добавлять новые правила в локальную политику AppLocker. |
Пользователи должны иметь возможность устанавливать необходимые приложения. Пользователи на данный момент имеют доступ администратора, и это будет трудно изменить. |
Применение правил AppLocker не подходит для бизнес-групп, которые должны иметь возможность устанавливать приложения по мере необходимости и без одобрения со стороны ИТ-отдела. Если это необходимо одному или нескольким подразделениям организации, вы можете не применять в них принудительно правила AppLocker или установить в AppLocker параметр принудительного применения Только аудит. |
Структура в доменных службах Active Directory основывается на иерархии организации?
Разработать политики управления приложениями на основе организационной структуры, которая уже встроена в доменные службы Active Directory (AD DS), будет проще, чем преобразовать существующую структуру в структуру организации. Поскольку эффективность политик управления приложениями зависит от возможности обновления политик, подумайте, какую организационную работу необходимо выполнить перед началом развертывания.
| Возможные ответы | Вопросы разработки |
|---|---|
Да |
Правила AppLocker можно разработать и реализовать через групповую политику, исходя из структуры AD DS. |
Нет |
ИТ-отдел должен создать схему, чтобы определить, каким образом политики управления приложениями можно применить к надлежащему пользователю или компьютеру. |
Запишите свои заключения
Следующий этап этого процесса — записать и проанализировать свои ответы на предыдущие вопросы. Если AppLocker подходит для ваших целей, можно задать собственные цели для политики управления приложениями и спланировать правила AppLocker. Этот процесс завершается созданием документа по планированию.
Подробные сведения об установке целей политик см. в разделе Определение целей по управлению приложениями.
Сведения о создании планировочного документа см. в разделе Создание документа по планированию AppLocker.