Lista dopuštenih aplikacija u sustavima Windows 7 i Windows Server 2008 R2

Microsoftov AppLocker, značajka upravljanja aplikacijama uključena u Windows 7 i Windows Server 2008 R2, poboljšanje je pravila o ograničenju softvera (SRP) uvedena sa sustavom Windows XP Professional. AppLocker omogućuje definiranje pravila izvršavanja aplikacija i njihovih izuzetaka na temelju atributa datoteke kao što su put, izdavač, naziv proizvoda, naziv datoteke, verzija datoteke itd. Pravila se tada mogu dodijeliti računalima, korisnicima, sigurnosnim grupama i organizacijskim jedinicama putem Active Directory.

Izvješćivanje je ograničeno na ono što se može izvući iz datoteka dnevnika, a stvaranje pravila za vrste datoteka koje nisu definirane u AppLockeru može biti teško. No, najveći nedostatak AppLockera je taj što je ograničen na klijente Windows 7 Enterprise, Windows 7 Ultimate i Windows Server 2008 R2. Windows 7 Professional može se koristiti za izradu pravila, ali ne može koristiti AppLocker za provođenje pravila na sebi. AppLocker se ne može koristiti za upravljanje ranijim verzijama sustava Windows, iako se i SRP i AppLocker za Windows XP Pro mogu slično konfigurirati da utječu na politike u cijelom poduzeću.

[Pročitajte pregled Centra za testiranje rješenja za stavljanje na popis dopuštenih aplikacija od Bit9, CoreTrace, Lumension, McAfee, SignaCert i Microsoft. Usporedite ova rješenja s dopuštenih aplikacija po značajkama. ]  

AppLocker se može konfigurirati lokalno pomoću objekta Lokalna računalna politika (gpedit.msc) ili pomoću Objekata aktivnih direktorija i grupnih pravila (GPO). Kao i većina Microsoftovih najnovijih tehnologija s omogućenim Active Directoryom, administratori će trebati barem jedno računalo sa sustavom Windows Server 2008 R2 ili Windows 7 pridruženo domeni da definiraju i administriraju AppLocker. Računala sa sustavom Windows 7 trebat će značajku konzole za upravljanje grupnim pravilima instaliranu kao dio Alata za udaljeno administriranje poslužitelja (RSAT) za Windows 7 (besplatno preuzimanje). AppLocker oslanja se na ugrađenu uslugu Application Identity, koja je prema zadanim postavkama obično postavljena na ručno pokretanje. Administratori bi trebali konfigurirati uslugu da se automatski pokreće.

Unutar objekta lokalne ili grupne politike AppLocker je omogućen i konfiguriran pod spremnikom \ Computer Configuration \ Windows Settings \ Security Settings \ Application Control Policies [slika zaslona].

Prema zadanim postavkama, kada su omogućena, pravila AppLockera ne dopuštaju korisnicima otvaranje ili pokretanje datoteka koje nisu izričito dopuštene. Prvi puta testeri će imati koristi ako AppLockeru omoguće stvaranje zadanog skupa "sigurnih pravila" pomoću opcije Stvori zadana pravila. Zadana pravila omogućuju pokretanje svih datoteka u sustavu Windows i programskih datoteka, zajedno s dopuštanjem članovima grupe Administratori da pokreću bilo što.

Jedno od najzapaženijih poboljšanja u odnosu na SRP je mogućnost pokretanja AppLockera na bilo kojem računalu koje sudjeluje pomoću opcije Automatski generiraj pravila [slika zaslona] za brzo generiranje osnovnog skupa pravila. U nekoliko minuta mogu se stvoriti deseci do stotine pravila protiv poznate čiste slike, čime se administratori AppLockera čuvaju bilo gdje, od sati do dana rada.

AppLocker podržava četiri vrste zbirki pravila: izvršnu, DLL, Windows Installer i Script. Administratori SRP-a primijetit će da Microsoft više nema pravila registra ili mogućnosti internetskih zona. Svaka zbirka pravila obuhvaća ograničeni skup vrsta datoteka. Na primjer, izvršna pravila obuhvaćaju 32-bitne i 64-bitne .EXE-ove i .COM-ove; sve se 16-bitne aplikacije mogu blokirati sprečavanjem izvođenja procesa ntdvm.exe. Pravila skripti pokrivaju tipove datoteka .VBS, .JS, .PS1, .CMD i .BAT. Zbirka DLL pravila obuhvaća .DLL-ove (uključujući statički povezane knjižnice) i OCX-ove (Object Linking and Embedding Control Extensions, aka ActiveX kontrole).

Ako ne postoje pravila AppLocker za određenu kolekciju pravila, sve datoteke s tim formatom datoteke mogu se pokretati. Međutim, kada se kreira pravilo AppLocker za određenu kolekciju pravila, samo datoteke izričito dopuštene u pravilu smiju se pokretati. Na primjer, ako stvorite izvršno pravilo koje omogućuje pokretanje .exe datoteka u % SystemDrive% \ FilePath , samo izvršne datoteke smještene na tom putu smiju se pokretati.

AppLocker podržava tri vrste uvjeta pravila za svaku kolekciju pravila: Pravila puta, Pravila raspršivanja datoteka i Pravila izdavača. Bilo koji uvjet pravila može se koristiti za dopuštanje ili odbijanje izvršenja i može se definirati za određenog korisnika ili grupu. Pravila raspršivanja puta i datoteke sama se po sebi objašnjavaju; obojica prihvaćaju zamjenske simbole. Pravila izdavača prilično su fleksibilna i omogućuju podudaranje nekoliko polja bilo koje digitalno potpisane datoteke s određenim vrijednostima ili zamjenskim znakovima. Korištenjem prikladne trake klizača u AppLocker GUI-ju [slika zaslona], možete brzo zamijeniti određene vrijednosti zamjenskim znakovima. Svako novo pravilo prikladno omogućuje jednu ili više iznimki. Pravila izdavača prema zadanim postavkama tretirat će ažurirane verzije datoteka isto kao i s izvornicima ili možete provesti točno podudaranje.

Važna razlika između AppLockera i takozvanih konkurenata je da je AppLocker stvarno usluga, skup API-ja i korisnički definiranih pravila s kojima drugi programi mogu sučeljavati. Microsoft je kodirao Windows i njegove ugrađene interpretatore skripti radi povezivanja s AppLockerom tako da ti programi (Explorer.exe, JScript.dll, VBScript.dll i tako dalje) mogu provoditi pravila koja su definirala pravila AppLockera. To znači da je AppLocker uistinu dio operativnog sustava i da ga nije lako zaobići kada su pravila točno definirana.

Međutim, ako trebate izraditi pravilo za vrstu datoteke koja nije definirana u tablici pravila AppLockera, može potrajati malo kreativnosti da biste postigli željeni učinak. Na primjer, da biste spriječili izvršavanje datoteka skripti Perl s nastavkom .PL, trebali biste umjesto toga stvoriti izvršno pravilo koje je blokiralo interpretator skripte Perl.exe. To bi blokiralo ili omogućilo sve Perl skripte i zahtijevalo bi malo snalažljivosti kako bi se stekla preciznija kontrola. To nije jedinstveno pitanje, jer većina proizvoda u ovom pregledu ima istu vrstu ograničenja.

Konfiguracija i pravila AppLockera mogu se lako uvesti i izvesti kao čitljive XML datoteke, pravila se mogu brzo izbrisati u nuždi, a svima se može upravljati pomoću Windows PowerShell-a. Izvještavanje i upozoravanje ograničeni su na ono što se može izvući iz uobičajenih dnevnika događaja. No, čak i uz ograničenja AppLockera, Microsoftova cijena - besplatna, ako koristite Windows 7 i Windows Server 2008 R2 - može biti snažan mamac za najnovije Microsoftove trgovine.

Ova je priča "Popis dopuštenih aplikacija u sustavima Windows 7 i Windows Server 2008 R2" i osvrti na pet rješenja s dopuštenih rješenja za poslovne mreže prvotno objavljena na .com. Pratite najnoviji razvoj informacijske sigurnosti, sustava Windows i zaštite krajnjih točaka na .com.