Политики AppLocker — новинка Windows 7, доступная только в изданиях Enterprise и Ultimate, — концептуально аналогичны политикам ограниченного использования программ, но имеют несколько преимуществ, например возможность применения для учетной записи конкретного пользователя или группы или ко всем последующим версиям программных продуктов. Как вы уже знаете, правила хеша применяются только к конкретной версии приложения и должны повторно вычисляться при каждом обновлении этого приложения. Политики AppLocker размещены в узле Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Политики управления приложениями (Computer Configuration\Windows Settings\Security Settings\Application Control Policies) стандартного объекта групповой политики Windows 7 или Windows Server 2008 R2. AppLocker работает при запущенной службе Удостоверение приложения
(Application Identity). При установке Windows 7 для этой службы по умолчанию задан запуск вручную. Тестируя работу AppLocker, не меняйте тип запуска на тот случай, если вы настроите правила некорректно. При этом вам достаточно будет перезапустить компьютер, и правила AppLocker перестанут действовать. Только убедившись, что политики применяются корректно, задайте для службы Удостоверение приложения
(Application Identity) автоматический запуск. При тестировании правил AppLocker следует проявлять большую осторожность, поскольку существует угроза блокировки компьютера Windows 7, вплоть до его полной непригодности к использованию. Иногда политики AppLocker называют политиками управления приложениями (Application Control Policies).
Набор правил по умолчанию создается автоматически и разрешает доступ к стандартным файлам Windows и приложениям. Правила по умолчанию необходимы, поскольку в AppLocker действует встроенное правило нейтрализующей блокировки (fallback block), которое ограничивает выполнение любых приложений, на которые не распространяется разрешающее правило. Это означает, что после включения AppLocker вы не сможете выполнить приложение, сценарий или установщик, на которые не распространяется действие правила Разрешить
(Allow). Для каждого типа правил существуют различные правила по умолчанию. Они могут индивидуально настраиваться администратором для конкретной среды. Например, правилами для исполняемых файлов по умолчанию являются правила пути. Администратор, заинтересованный в повышенной безопасности, может заменить их правилами издателя или хеша, поскольку они более безопасны.
Чтобы создать правила по умолчанию, щелкните правой кнопкой узел Исполняемые правила
(Executable Rules), Правила установщика Windows
(Windows Installer Rules) или Правила сценариев
(Script Rules) и выберите команду Создать правила по умолчанию
(Create Default Rules).
Правила AppLocker позволяют разрешать или блокировать приложения. Правила Запретить
(Block), заданные явным образом, подавляют любые правила Разрешить
(Allow), независимо от того, каким образом определены эти правила. В этом состоит отличие от политик ограниченного использования программ, где правила обоих типов могут подавлять друг друга. Правило нейтрализующей блокировки, упомянутое выше, не перекрывает какие-либо правила. Оно просто ограничивает выполнение любого приложения, которое не было явным образом разрешено. Вам необходимо добавить правило Запретить
(Block), только если другое правило AppLocker разрешает выполнение приложения, установщика или сценария. Допустим, вы хотите разрешить использовать приложение Alpha.exe
всем сотрудникам организации, за исключением членов группы Accounting
. Вам необходимо создать два правила. Первое правило разрешит всем сотрудникам запускать Alpha.exe
, второе — заблокирует запуск Alpha.exe
членами группы Accounting
. Хотя в правила AppLocker включены исключения, эти исключения нельзя применять на основе членства в группе. Вы можете использовать явные правила Запретить
(Block), чтобы запретить выполнение приложений, которые разрешены правилами по умолчанию. Например, правила по умолчанию разрешают запуск приложения Solitaire.exe
на компьютере Windows 7. Чтобы заблокировать Solitaire.exe
, создайте явно заданное правило Запретить
(Block). Вы также можете заблокировать Solitaire.exe
, настроив исключение для правил по умолчанию. Речь об исключениях пойдет далее в этом занятии.
Исполняемые правила применяются к файлам с расширениями .exe
и .com
. Политики AppLocker относятся, главным образом, к исполняемым файлам, и вполне вероятно, что большинство политик AppLocker, с которыми вы работаете в вашей среде, будут включать в себя исполняемые правила. По умолчанию к исполняемым файлам применяются правила пути, которые позволяют всем пользователям выполнять все приложения в папках Program Files
и Windows
. Кроме того, правила по умолчанию позволяют членам группы администраторов выполнять приложения в любом расположении на компьютере. Использование исполняемых правил по умолчанию или правил аналогичной функциональности необходимо, поскольку Windows не будет должным образом функционировать, если не будет разрешено выполнение некоторых приложений, охватываемых правилами по умолчанию. Когда вы создаете правило, его область действия задается группой Все
(Everyone), хотя локальной группы Все
(Everyone) не существует. Если вы решите изменить правило, то сможете выбрать конкретную группу безопасности или учетную запись пользователя.
Правила установщика Windows действуют на файлы с расширениями .msi
и .msp
. Они применяются, чтобы заблокировать или разрешить установку ПО на компьютер. Правила установщика Windows по умолчанию позволяют группе Все
(Everyone) использовать файлы установщика с цифровой подписью и все файлы установщика Windows в папке %Systemdrive%\Windows\Installer
. Они также разрешают членам локальной группы администраторов запускать любые файлы с расширениями .msi
или .msp
. Кроме того, правила по умолчанию разрешают установку ПО или обновлений посредством групповой политики.
Важно помнить, что даже если правило AppLocker разрешает пользователю получать доступ к тому или иному файлу установщика, для установки ПО на компьютере ему потребуются соответствующие административные полномочия.
Правила установщика полезны в тех случаях, когда в вашей организации есть переносные компьютеры с Windows 7 и вам необходимо предоставить их пользователям права локального администратора. Удалив правило по умолчанию, позволяющее локальным администраторам использовать любой файл установщика, вы сможете указать, к каким файлам локальный администратор может получать доступ. В этом сценарии вы также должны ограничить доступ к редактору локальной групповой политики, иначе локальный администратор сможет обойти ваши ограничения при помощи групповой политики.
Правила сценария действуют для файлов с расширениями .psl, .bat, .cmd, .vbs и .js
. Хотя для сценариев можно использовать и правила издателя, большинство сценариев создаются администраторами для конкретных нужд и редко подписываются цифровым способом. Для сценариев, которые редко изменяются, вы должны использовать правила хеша, а для папок, содержащих регулярно обновляемые сценарии, используйте правила пути. Используя правила пути, убедитесь, что права доступа к папкам со сценариями, настроены так, чтобы в эту папку не могли быть помещены вредоносные сценарии. Правила сценария по умолчанию разрешают выполнение всех файлов, расположенных в папках Program Files
и Windows
. Они также позволяют членам группы администраторов выполнять сценарии в любом расположении.
Правила динамически подключаемых библиотек (DLL) распространяются на файлы с расширениями .dll
и .осх
, которые поддерживают выполнение приложений. Правила DLL по умолчанию не активируются при включении AppLocker. Они обеспечивают максимальный уровень безопасности, но имеют недостатки, связанные с производительностью.
Вам необходимо создать правило DLL для каждой библиотеки, используемой приложениями клиентского компьютера Windows 7. Создание правил упрощается благодаря возможности автоматически генерировать их, однако пользователи все равно заметят снижение производительности, поскольку AppLocker проверяет каждую библиотеку DLL, загружаемую приложением при каждом его запуске. Для активирования правил DLL щелкните правой кнопкой узел групповой политики Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Политики управления приложениями\AppLocker (Computer Configuration\Windows Settings\Security Settings\Application Control Policies\AppLocker), выберите команду Свойства
(Properties), перейдите на вкладку Дополнительно
(Advanced), и установите флажок Включить коллекцию правил DLL
(Enable The DLL Rule Collection).
Правила издателя AppLocker работают на основе сертификата издателя файла. В отличие от правила сертификатов в политике ограниченного использования программ, в данном случае нет необходимости получать сертификат, чтобы использовать правило издателя. Сведения о цифровой подписи извлекаются из файла приложения. Если файл не имеет цифровой подписи, вы не сможете ограничить или разрешить его выполнение при помощи правил издателя AppLocker.
Правила издателя более гибки, чем правила хеша, поскольку вы можете охватить правилом не только конкретную версию файла, но также и все его последующие версии. Это означает, что вам не нужно повторно создавать правила издателя при каждом обновлении ПО. Вы также можете разрешить выполнение только конкретной версии файла, выбрав в списке вариант В точности
(Exactly).
Используя бегунок, вы можете изменить сферу действия правил издателя, чтобы они применялись только к конкретному файлу, подписанному издателем, конкретному продукту, подписанному издателем, любому продукту, подписанному издателем или к любому продукту, подписанному любым издателем. Последний вариант применяется не ко всем приложениям, а только к приложениям с цифровой подписью. Если вы применили правило Разрешить
(Allow) и при помощи бегунка выбрали вариант Любой издатель
(Any Publisher), будут выполняться все приложения, подписанные данные издателем, но неподписанные приложения от этого же издателя не будут попадать под действие правила.
Правила хеша в AppLocker функционируют так же, как и в политиках ограниченного использования программ. Они позволяют идентифицировать конкретный двоичный файл без цифровой подписи при помощи «цифрового отпечатка» этого файла. Хеш в AppLocker более управляем, чем в политиках ограниченного использования программ. При помощи мастера создания правил вы можете автоматически создать хеш для всех файлов в конкретном расположении. Как уже говорилось, недостаток правил хеша состоит в том, что при каждом обновлении ПО хеш необходимо создавать повторно. При обновлении изменяются свойства файла, и цифровой отпечаток перестает с ним совпадать. Для создания хеша перейдите к файлу и выделите его. Существует возможность создать хеш для всех файлов в выбранной папке. Файлы в подпапках в процесс не включаются. Поскольку хеш индивидуален для каждого файла, для правил хеша нельзя создавать исключения.
Правила пути AppLocker работают аналогично правилам пути политик ограниченного использования программ. Они позволяют указать папку, к содержимому которой, включая подпапки, применяется правило, а также путь к конкретному файлу. Преимуществом правил пути является простота создания. Недостаток же в том, что это наименее защищенная форма правил AppLocker. Злоумышленник может обойти правило пути, скопировав исполняемый файл в другую папку или изменив его имя. Правила пути не более эффективны, чем права доступа к файлам и папкам, применяемые на компьютере.
Важным преимуществом AppLocker по сравнению с политиками ограниченного использования программ является возможность автоматически генерировать правила. Для настройки правил AppLocker щелкните правой кнопкой узлы Исполняемые правила
(Executable Rules), Правила установщика Windows
(Windows Installer Rules) или Правила сценариев
(Script Rules) и выберите команду Создать правила автоматически
(Automatically Generate Rules). Вам будет предложено указать папку, которую необходимо просмотреть мастеру. Параметры, позволяют автоматически генерировать правила издателя для файлов с цифровой подписью и правила хеша или правила пути для файлов без цифровой подписи. В качестве альтернативы вы вольны использовать правило хеша для всех файлов заданного типа. При генерации правил мастер просматривает папку и все подпапки, содержащиеся в ней.
Исключения позволяют отменять применение общих правил к определенным приложениям. Например, вы можете создать правило издателя, которое разрешает выполнение всех версий приложения Alpha
фирмы Contoso
, а затем использовать исключение, чтобы заблокировать выполнение версии 42 приложения Alpha
. Вы можете использовать любой способ конкретизации исключения, независимо от типа создаваемого правила. Например, можно создавать правило издателя, которое позволит выполнять на компьютере все приложения Майкрософт, но при этом настроить исключение хеша для приложения Solitaire.exe
. Разумеется, данный пример сработает только в том случае, если для папки Program Files
не создано правило пути по умолчанию. Вы можете создавать исключения как для правил Запретить
(Block), так и для правил Разрешить
(Allow).
Поскольку AppLocker может существенно влиять на функционирование приложений в вашей организации, зачастую перед началом полноценного применения политик AppLocker разумно провести аудит работы AppLocker. Это позволит проконтролировать, на какие приложения влияет AppLocker, не блокируя при этом их фактическую работу. Чтобы настроить AppLocker для проведения аудита без применения правил, настройте правила каждого типа.
События аудита AppLocker записываются в журнал событий AppLocker, который в консоли Просмотр событий
(Event Viewer) находится в узле Журналы приложений и служб
(Applications and Services Logs\Microsoft\Windows). Каждое событие содержит следующую подробную информацию:
Подробно об аудите AppLocker читайте в статье Microsoft TechNet по адресу Using Auditing to Track Which Applications Are Used
Политики ограниченного использования программ | AppLocker и политики ограниченного использования программ. Закрепление материала |