Прелести технологии AppLocker. Часть 1

• Введение
• Что такое AppLocker, а также его преимущества и недостатки по сравнению с технологией SRP
• Где находится AppLocker и правила по умолчанию
• Заключение

Введение

Разрешаете ли вы своим пользователям запускать, устанавливать и обновлять приложения, с которыми они работают? А ведь именно пользователи, сами того не желая, могут послужить основной причиной заражения как своего рабочего компьютера, так и целого парка компьютеров вашей организации. Пользователь может из дома принести на зараженном USB-накопителе какой-то новый гламурный календарь и установить или же в просторах Интернета загрузить какое-то программное обеспечение даже вроде бы с доверенного источника. Примером тому может послужить статья «Как элементарно обходятся антивирусы и их «поведенческие анализаторы»», которая в начале января была опубликована на Хабре. Ну, или, в крайнем случае, пользователь может получить письмо от недоброжелателя, который предложит установить, скажем, отличный твиккер, позволяющий в 100500 раз увеличить производительность системы. Но программа, которую пользователь загрузит по указанной в письме ссылке, будет содержать вирус, тем самым, самостоятельно предоставив хакеру доступ к своему компьютеру.

Соответственно, может возникнуть следующий вопрос. Должны ли ваши пользователи иметь на выполнение таких действий безграничный контроль или же вы хотите на основании каких-то специфических правил настроить для своих пользователей ограничения на выполнение указанных выше операций? Какими бы трастовыми не были отношения между сотрудниками вашей компании, все равно, следует настраивать определенные ограничения, благодаря которым ваши компьютеры будут в безопасности. Если же в вашей организации еще не развернуты правила подобного характера, а также все пользователи работают на компьютерах под управлением операционной системы Windows 7, то технология, описанная в данном цикле статей, предназначена именно для вас!

Еще, не так давно, как только операционная система Windows 7 начала выходить на прилавки, уже многие знали о том, что в семерке появилась такая технология, как AppLocker, которую моментально многие начали называть инновационным прорывом, предназначенным для повышения безопасности, предотвращая запуск нежелательных приложений. В принципе, данная статья является первой частью цикла статей по данной технологии. В статьях, посвященных технологии AppLocker, я расскажу о том, что же собой представляет технология AppLocker, о создании и управлении правилами и политиками AppLocker, об аудите развертывания политик, а самое главное, о недостатках, по сравнению с, как сейчас считается, устаревшей технологией политики ограниченного использования программ (Software Restriction Policies, SRP).

Изначально я рассчитываю, что данный цикл будет содержать пять статей, посвященных данной технологии, а именно:

В этой, вводной статье, вы узнаете о том, что такое AppLocker, о его преимуществах и недостатках по сравнению с политиками SRP, также о создании правил, используемых по умолчанию в AppLocker.

Во второй статье будут рассмотрены различные сценарии использования правил данной технологии.

Третья статья будет посвящена политикам AppLocker.

В четвертой статье текущего цикла будет рассмотрен режим аудита, а также события, связанные с AppLocker.

И в заключительной, пятой статье, посвященной работе с AppLocker я расскажу о возможных ошибках и их траблшутинге AppLocker, а также о возможных проблемах, с которыми вы сможете столкнуться.

Для того чтобы вы могли сравнить функциональные возможности данной технологии с политиками ограниченного использования программ, я постараюсь публиковать статьи по обеим технологиям так, чтобы вы могли параллельно узнавать об обеих технологиях, позволяющих управлять работой с приложениями.

Что такое AppLocker, а также его преимущества и недостатки по сравнению с технологией SRP

Прежде всего, думаю, стоит рассказать, что же собой представляет технология AppLocker. Как уже было отмечено во введении данной статьи, AppLocker является компонентом операционных систем Windows 7 и Windows Server 2008 R2, отвечающим за ограничение использования программного обеспечения пользователям или группам пользователей на основании определенных правил. При помощи данной технологии, администраторам предоставляется возможность создавать правила, нацеленные на исполняемые файлы (к таким файлам относятся файлы с расширениями *.exe, а также *.com), пакеты установщика Windows (а именно, файлы установщика Windows *.msi и файлы параметров установки *.msp). Также, кроме указанных выше файлов первой категории, у вас еще есть возможность настраивать правила для файлов заставки *.scr. Помимо указанных выше файлов, также можно создавать правила для таких сценариев, как пакетные файлы *.bat, сценарии командной строки *.cmd, сценарии PowerShell *.ps1, файлы VBScript *.vbs, а также сценарии JavaScript (файлы с расширением *.js). И последнее, для чего можно создавать правила AppLocker – это динамические библиотеки *.dll и файлы *.ocx, которые создаются в четвертой, скрытой по умолчанию категории. Однако, несмотря на такую красивую разбивку по расширениям файлов, AppLocker не позволяет для кастомизации правил добавлять какие-то специфические расширения файлов, что можно было делать при помощи политик ограниченного использования программ.

В принципе, данную технологию невозможно назвать революционным прорывом в осуществлении управления запуска и установки программного обеспечения пользователями, так как еще задолго до появления операционных систем Windows 7 и Windows Server 2008 R2 в своей производственной среде администраторы уже давно создавали правила на ограничение использования программного обеспечения при помощи одноименного компонента, который, кстати, также был упомянут во вводной части этой статьи. Кстати, даже сейчас во многих источниках можно найти такое кодовое название AppLocler, как SRP v2.0, так как команда разработки данной технологии, скорее всего, предполагала, что именно технология AppLocker будет считаться логическим продолжением политик ограниченного использования программ.

У внимательного читателя, скорее всего, еще начиная со введения этой статьи возник такой вопрос: вот я уже много раз написал о том, что такие технологии как AppLocker и политики ограничения использования программ очень похожи, но какая же между ними разница и чем одна технология может быть лучше другой? Несмотря на то, что технология AppLocker достаточно новая и по сравнению с таким старожилом как политики ограничения использования программ основной целью перед пиар-группой Microsoft, стояло преподнесение новой технологии как существенно усовершенствованной перед SRP, в большинстве источников, возможности данной технологии существенно приукрашены. В принципе, наиболее подробный сравнительный анализ возможностей обоих технологий провел Вадимс Поданс, о чем и была написана, в свое время, статья у него на блоге.

Соответственно, можно выделить следующие общие моменты для обеих технологий: во-первых, при помощи обеих технологий вы можете создавать как разрешающие, так и запрещающие правила. Во-вторых, используя как AppLocker, так и SRP вы можете настраивать правила, использующие условия хешей и пути. Ну и в-третьих, обе технологии позволяют вести аудит политики, а также предоставляют возможность просмотра сообщений об ошибках.

А теперь об отличиях. Прежде всего, при помощи ограниченного использования программ вы можете создавать правила для сертификатов, а также для зоны сети, чего нет в AppLocker. Помимо этого, политики ограниченного использования программ позволяют выполнять особые действия, а также использовать системные переменные окружения и пути, указанные в системном реестре Windows. Также как, было отмечено немного ранее, в политиках ограниченного использования программ можно было управлять расширениями файлов, на которые должны применяться политики ограничения, что было по какой-то причине исключено из возможностей AppLocker.

Однако, при помощи последней технологии, вы можете создавать правила, использующие условие издателя, что позволяет проверять приложении, на основании его цифровой подписи. Еще, так как AppLocker не поддерживает системные переменные окружения, при помощи функциональных возможностей этой технологии вы можете создавать собственные переменные окружения. Ну, и вдобавок, AppLocker предоставляет возможности импорта и экспорта своих политик, а также объединения нескольких созданных ранее политик AppLocker в одну политику. И последнее, что следует отметить из преимуществ AppLocker, так это интуитивно понятный мастер создания нового правила, в отличие от единственного диалогового окна, при помощи которого настраивались правила в SRP, а любителям PowerShell безо всякого сомнения понравится то, что теперь появилась возможность управлять политиками AppLocker средствами этой технологии.

Ну и, думаю, следует еще обратить внимание на то, что в то время, как политики ограниченного использования программ применялись сразу ко всем пользователям, при помощи AppLocker можно назначать политики для определенных пользователей или же групп пользователей. Но нужно помнить, что одно правило AppLocker вы можете применить только к одной группе. Однако, несмотря на какие-то незначительные плюсы или минусы любой из этих технологий, скорее всего, основным недостатком AppLocker является то, что данный компонент операционной системы включен только лишь в редакции Enterprise и Ultimate операционной системы Windows 7 (в случае с Windows Server 2008 R2, естественно, AppLocker присутствует во всех редакциях). И именно из-за этого нюанса многие компании могут моментально отказаться от использования AppLocker, так как их парк компьютеров может все еще содержать компьютеры, работающие под операционной системой Windows XP.

Где находится AppLocker и правила по умолчанию

Прежде чем переходить к созданию правил и политик AppLocker, думаю, следует разобраться, где же можно найти данное средство. Как уже было сказано, компонент AppLocker устанавливается в любой редакции операционной системы Windows Server 2008 R2, а также при установке Windows 7 Enterprise и Ultimate.

Чтобы открыть AppLocker на локальной машине, которая входит в рабочую группу или вообще не подключена к сети, вы можете открыть оснастку «Локальная политика безопасности» и в дереве оснастки развернуть узел «Политики управления приложениями».

В свою очередь, в доменном окружении, AppLocker следует применять, используя функциональные возможности групповой политики. Следовательно, на контроллере домена откройте оснастку «Управление групповой политикой», после этого разверните узел с наименованием вашего леса, узел «Домены», затем узел с названием вашего домена. Выберите контейнер «Объекты групповой политики» и в данном контейнере создайте новый объект групповой политики, скажем, «Правила AppLocker для пользователей», нажмите на нем правой кнопкой мыши и для открытия оснастки «Редактор управления групповыми политиками» из контекстного меню выберите команду «Изменить». В уже отобразившейся оснастке, в дереве оснастки разверните узел Конфигурация компьютера\Политики\Конфигурация Windows\Параметры безопасности\Политики управления приложениями и перейдите к узлу «AppLocker».

Когда вы настраиваете объекты групповой политики с расширением клиентской стороны AppLocker, обязательно обратите внимание на то, что на клиентских компьютерах, на которые должны распространяться правила, обязательно должна быть запущена служба «Удостоверения приложения». Например, вы можете настроить эту службу при помощи узла «Службы» параметров безопасности групповой политики или же воспользоваться функциональными возможностями одноименного элемента предпочтения групповой политики.

Также как и в случае с политиками ограниченного использования программ, для AppLocker вы можете создать правила по умолчанию. Для того чтобы создать новое правило, следует для редактируемого вами объекта групповой политики, в области сведений каждого вложенного узла AppLocker, называемых коллекциями правил, вызвать контекстное меню и выбрать команду «Создать правила по умолчанию». Как только данная опция будет выбрана, сразу для целевого узла будут созданы три правила, а именно:

1. Правило, разрешающее запускать все файлы, расположенные в папке Windows;
2. Правило, разрешающее запускать все файлы, расположенные в папках «Program Files» (в том случае, если на целевом компьютере установлены 64-разрядная операционная система, данное правило будет применяться как для файлов из папки Program Files, так и для файлов, которые находятся в папке «Program Files (x86)»);
3. А также правило, позволяющее запускать пользователям, которые являются локальными администраторами любые файлы, что, в принципе, делать крайне нежелательно.

Другими словами, после создания правил по умолчанию в каждом узле AppLocker, следует удалить правило, разрешающее локальным администраторам запускать любые приложения и, соответственно, в каждой коллекции правил оставить лишь по два правила, созданных по умолчанию. Процесс создания правил по умолчанию для исполняемых файлов изображен на следующей иллюстрации:

Увеличить рисунок

Рис. 1. Создание правил по умолчанию для исполняемых файлов

После того как правила по умолчанию будут созданы, правила AppLocker начнут применяться на пользователей моментально в том случае, если данное средство настраивается на локальном компьютере при помощи указанной выше оснастки или же через 90-120 минут по умолчанию, если правила AppLocker настраивались в доменном окружении при помощи функциональных возможностей групповой политики.

Заключение

Естественно, создание правил по умолчанию считается лишь началом настройки ограничений на использование приложений при помощи функциональных возможностей технологии AppLocker. В этой, вводной, статье было рассказано о том, что собой представляет технология AppLocker. Также было рассказано об отличиях между технологией AppLocker и политиками ограниченного использования программ. Вы узнали о том, как и при помощи какой оснастки можно получить доступ к функциональным возможностям AppLocker, а также как можно создать правила AppLocker, используемые по умолчанию. В следующей статье я расскажу о создании собственных правил средствами AppLocker, предназначенных для ограничения доступа к определённым приложениям.