Введение в AppLocker (часть 1)

Новая функция в Windows 7 под названием AppLocker направлена на решение всех тех проблем, которым подвержены политики ограничения ПО в предыдущих версиях Windows. В этом цикле статей дается объяснение тому, почему политики ограничения ПО неэффективны, и как может помочь AppLocker.

В нескольких предыдущих поколениях ОС Windows если вы хотели ограничить приложения, которые пользователям было разрешено использовать, вашим единственным вариантом было использование Политик ограничения ПО (Software Restriction Policies), или такие утилиты сторонних производителей, как Bit9. Проблема с использованием политик ограничения ПО заключалась в том, что (если быть до конца откровенным), они не очень эффективны. Хотя пользовательские рабочие станции можно было ограничить в использовании определенных программных продуктов посредством соответствующих политик, было очень сложно создавать такие политики, которые бы пользователи не смогли обойти.

Никогда не забуду свой разговор с одним сотрудником в Редмонде много лет назад. Политики ограничения ПО только должны были появиться, и я присутствовал на их перовой демонстрации. Во время демонстрации я заметил, что пользователи довольно легко смогут обходить большинство типов политик, которые можно было создать, и я задал вопрос ведущему о том, какой должна быть хорошая политика ограничения ПО, если пользователи смогут их обходить. Мне сказали, что это было лишь первое поколение такого рода политик, и что со временем они будут становиться лучше. Мне также сказали, что несмотря на то, что пользователи смогут обходить некоторые политики, они не смогут делать это случайно. Им придется делать намеренные действия, чтобы обойти политики, после чего их можно уволить за нарушение корпоративной политики безопасности.

Должен признать, что такой ответ меня совсем не удовлетворил, но я принял тот факт, что политики ограничения ПО были принципиально новым решением, и предположил, что в последующих версиях Windows они станут значительно лучше. К моему разочарованию компания Microsoft внесла лишь незначительные изменения в политики ограничения ПО в Windows Vista и в Windows Server 2008. Они добавили новый тип правила под названием правила для сетевых зон и представили новый уровень безопасности под названием Основной пользователь (Basic User), и на этом все изменения были исчерпаны.

Хорошая новость заключается в том, что в Windows 7 компания Microsoft наконец-то переделала политики ограничения ПО. Эта новая функция также была переименована в AppLocker. Не стоит ждать, что AppLocker будет столь же полномасштабным решением, как продукты сторонних производителей, но она значительно лучше, чем были политики ограничения ПО.

Недостатки политик ограничения ПО

Прежде чем вы сможете по достоинству оценить AppLocker, вам нужно понять, в чем заключалась неэффективность политик ограничения ПО. Кроме того, AppLocker также поддерживает некоторые типы правил, которые поддерживались политиками ограничения ПО, поэтому я решил, что стоит потратить оставшуюся часть статьи на ознакомление с правилами политик ограничения ПО.

Политики ограничения ПО состоят из ряда различных типов правил. Вы можете создавать правила для сертификата, хэш-правила, правила для пути, правила для зон интернета и правила для сетевых зон.

Правила для сертификата

Правила для сертификата (Certificate rules), возможно, были самым надежным типом правил. Они позволяли вам разрешать или запрещать использование приложений на основе их цифровых подписей. Проблема с этим типом правил заключалась в том, что когда политики ограничения ПО были впервые представлены на Windows XP, практически никто не подписывал свои приложения. Даже сегодня попадаются производители программных продуктов, которые не крепят цифровые подписи к своим приложениям.

Еще одной проблемой с правилами для сертификатов являлось то, что их границы слишком широки. Если я разрешал использование приложений, подписанных Microsoft, то все приложения от Microsoft были разрешены, если только я не создавал отдельное правило с более высоким приоритетом, которое блокировало определенные приложения Microsoft.

Хэш-правила (Hash Rules)

Вторым типом правил, поддерживаемых политиками ограничения ПО, были хэш-правила. Суть заключается в том, что Windows может создавать математический хэш исполняемых файлов, и использовать этот хэш для уникальной идентификации приложения. Должен признать, что хэш-правила были хорошей идеей, когда были впервые представлены, но сегодня они непрактичны. Все, кто отвечает за управление соответствием в организации, знают, что исправления и обновления выпускаются с огромной скоростью. Всякий раз, когда вы обновляете приложение, хэш меняется для любого файла, который был заменен, делая ранее существовавшие хэш-правила недействительными.

Правила для путей (Path Rules)

Правила для путей были одним из самых слабых типов правил. Они разрешали или блокировали приложения на основе пути, по которому приложение было установлено. Это мог быть путь файловой системы или системного реестра. Проблема такого типа правил заключается в том, что если пользователь обладает достаточными правами, чтобы устанавливать приложения, у него/нее есть достаточные права, чтобы перемещать это приложение в то место, которое не ограничено правилами для пути.

Правила для зон интернета (Internet Zone Rules)

Правила для зон интернета были классическим примером хорошей идеи, которая нашла неудачное применение. Основной идеей в этом типе правил было запрещение загрузки и установки приложений из интернета пользователями на основе определенных зон, или сайтов, с которых приложения были загружены. Здесь также были определенные проблемы.

Эти правила касались только MSI файлов (установочных пакетов Windows). Еще одна проблема заключается в том, что правила для зон интернета применимы только в то время, когда файл загружается. Это означает, что если пользователь загружает ZIP файл, содержащий приложение, такой тип правил не сможет препятствовать установке приложения.

Правила для сетевых зон

Правила для сетевых зон схожи с предыдущим типом правил, но в отличие от правил для зон интернета, данные правила осматривали сетевое расположение, в котором файл существует в данное время. Например, можно было создавать политику, которая позволяла бы пользователям выполнять только те приложения, которые установлены на локальном компьютере. Основной проблемой этого типа правил является то, что до того как это правило можно применить, сомнительное приложение уже должно быть где-то в вашей сети.

Основная проблема

Я рассказал о некоторых недостатках различных типов правил, но основной проблемой является то, что политики ограничения ПО созданы для блокирования различных типов приложений. Причина, по которой такой подход является проблемой, заключается в том, что существует огромное количество приложений, не авторизированных для использования в сети, и в то же время довольно ограниченное количество приложений, которые авторизированны на работу в сети. Проще разрешить определенный набор приложений, чем пытаться заблокировать огромное количество неизвестных приложений. К счастью, AppLocker дает нам такую возможность благодаря своей функции списков разрешенных приложений. Я расскажу вам об этой и некоторых других новых функциях в следующей части цикла.

Заключение

В этой статьей я рассказал о недостатках политик ограничения ПО. В следующей части я расскажу о том, как AppLocker помогает исправить эти недостатки.