AppLocker как средство обеспечения информационной безопасности

При построении защиты рабочей станции одним из основных правил безопасности будет использование доверенного программного обеспечения. Как этого добиться? Основным способом достичь желаемого результата до недавнего времени было использование политик ограниченного использования программ, Software Restriction Policies (SRP). В Windows 7 SRP также могут применяться, однако, скорее всего, чаще будет использоваться функция AppLocker. Прежде всего ввиду простоты использования.

AppLocker — новое приложение в составе Windows 7 и Windows Server 2008 R2, предназначенное для замены Software Restriction Policies. AppLocker содержит новые возможности для проверки действий пользователей со стороны администратора. Данное приложение позволяет следить за тем, как будут использоваться исполняемые файлы, сценарии, файлы msi (файлы Windows Installer) и библиотеки DLL.

Используя AppLocker, вы можете:

  • определять правила, которые основываются на атрибутах файлов, таких как цифровая подпись, наименование производителя программного обеспечения, имени файла, версии программного обеспечения;
  • определять правила для группы пользователей или отдельного пользователя;
  • создавать исключения из правил;
  • использовать правила в режиме «только аудит» для понимания сути сделанных изменений до их непосредственного применения;
  • выполнять импорт и экспорт правил.

Версии Windows 7, поддерживающие AppLocker

AppLocker будет доступен во всех версиях Windows Server 2008 R2 и в редакциях Windows 7 Ultimate и Windows 7 Enterprise. Рабочая станция под управлением Windows 7 Professional может использоваться для создания правил AppLocker, однако AppLocker не может применяться на компьютерах под управлением Windows 7 Professional.

Если вы проводите обновление компьютеров, использующих Software Restriction Policies, до версий Windows 7 или Windows Server 2008 R2 и затем применяете правила AppLocker, стоит учесть, что будут применены только правила AppLocker. Поэтому рекомендуется создать новый объект групповой политики (GPO) для AppLocker в окружении, использующем Software Restriction Policies и AppLocker. Различия между AppLocker и Software Restriction Policies приведены в таблице 1

Таблица 1. Различия между AppLocker и Software Restriction Policies

Группировка правил

Оснастка AppLocker Microsoft Management Console (MMC) содержит четыре раздела правил:

  • исполняемые файлы;
  • сценарии;
  • файлы Windows Installer;
  • файлы DLL.

Такая организация правил позволяет администратору дифференцировать правила по типам приложений. В таблице 2 приведено соответствие между разделами правил и форматами файлов.

Создание правил AppLocker

Для создания правил необходимо зайти в панель управления, запустить модуль «Администрирование» и выбрать пункт «Локальная политика безопасности» (см.экран 1).

Экран 1.Параметры AppLocker

По умолчанию значения правил AppLocker такие.

  • Исполняемые файлы
    – Члены группы локальных администраторов могут запускать любые приложения.
    – Члены группы Everyone могут запускать приложения из папки Windows.
    – Члены группы Everyone могут запускать приложения из папки Program Files.
  • Windows Installer
    – Члены группы локальных администраторов могут запускать любые приложения Windows Installer.
    – Члены группы Everyone могут запускать подписанные приложения Windows Installer.
    – Члены группы Everyone могут запускать приложения Windows Installer, размещенные в папке Windows\Installer.
  • Script
    – Члены группы локальных администраторов могут запускать любые сценарии.
    – Члены группы Everyone могут запускать сценарии из папки Windows.
    – Члены группы Everyone могут запускать сценарии из папки Program Files.
  • DLL
    – Члены группы локальных администраторов могут запускать любые DLL.
    – Члены группы Everyone могут запускать DLL, расположенные в папке Program Files.
    – Члены группы Everyone могут запускать DLL, расположенные в папке Windows.

Существует два пути создания правил.

  1. Создание правил с помощью мастера создания правил. При этом создается одновременно одно правило.
  2. Автоматизированная генерация правил, в ходе которой вы выбираете папку, пользователя или группу, для которой будут применяться правила, затем генерируете несколько правил для этой папки одновременно. С помощью данного мастера можно генерировать только разрешающие правила (см. экран 2).

Экран 2. Создание исполняемых правил

Об этой технологии можно рассказывать долго. Главное же, на мой взгляд, понять:

  1. Для чего вам нужна данная технология?
  2. Что вы хотите сделать?
  3. Как это отразится на вашем предприятии?
  4. И самое основное — не принесет ли это вред вместо пользы?

Не ответив на эти вопросы, нельзя применять ни одну новую технологию. И AppLocker не исключение. В любом случае неправильное применение инструмента может лишь породить новые, зачастую совсем не очевидные проблемы.

Вы уже знаете, что с помощью технологии AppLocker можно указать, какие приложения могут выполняться на компьютере. Давайте рассмотрим сценарий, при котором пользователь может выполнять те файлы, хеш которых совпадает с заранее высчитанным. Все остальные файлы выполнять нельзя. В первый момент это покажется панацеей: как замечательно, пользователь может делать только то, что мы ему явно разрешили. Но не тут-то было! В ходе работы вы обновляете версии программного обеспечения, верно? Что произойдет после обновления? Да просто обновленные файлы перестанут запускаться, ведь хеш их изменен, так? И в результате вы получите только неприятности, которые сами себе и создали!

Итак, это не выход. То есть выход, но только для тех приложений, которые не будут обновляться.

Для того чтобы создать нужные нам правила, воспользуемся реализованной в AppLocker возможностью автоматизировать процесс создания правил. Покажем это на примере папки c:\Program Files (см. экран 3).

Экран 3. Автоматическое создание исполняемых правил

Нажимаем «Далее», и в следующем окне мы должны выбрать параметры правил (см. экран 4).

Экран 4. Параметры правил

После нажатия кнопки «Далее» правила создаются, и вы можете просмотреть их. Часть правил создана с применением хеш-функций, а часть опирается на имя издателя, выпустившего данные приложения. Так как большинство регулярно обновляемых файлов являются именно подписанными файлами, после обновления имя издателя останется прежним, а следовательно, файл будет выполняться.

 

Владимир Безмалый — специалист по обеспечению безопасности, MVP Consumer Security

Журнал «Windows IT Pro», Издательство «Открытые системы» (http://www.osp.ru/)