Software Restriction in Windows 7 De restriction logicielle dans Windows 7

These are some quick notes from a session on AppLocker by Paul A. Cooke, Tech-Ed EMEA 2008: Telles sont quelques-unes des notes rapide d'une session sur AppLocker par Paul A. Cooke, Tech-Ed EMEA 2008

As you may have seen, I’ve written a few articles on Software Restriction Policy (SRP) under Windows XP and Windows Vista for Comme vous l'avez vu mai, j'ai écrit quelques articles sur la politique de restriction logicielle (SRP) sous Windows XP et Windows Vista pour www.windowsecurity.com (see below). (voir ci-dessous). I’m very happy to tell you, that Microsoft now improved this functionality and renamed it into: AppLocker ! Suis-je très heureux de vous dire, maintenant que Microsoft l'amélioration de cette fonctionnalité et l'a rebaptisée en: AppLocker!

Unfortunately I cannot bring you any screenshots (because of NDA), but I can tell you a few things about the basic functionality. Malheureusement je ne peux pas vous apporter toutes les captures d'écran (à cause de la NDA), mais je peux vous dire quelques choses au sujet de la fonctionnalité de base. With AppLocker you can more easily eliminate unwanted and unknown applications in your Windows (7) environment. Avec AppLocker vous pouvez plus facilement éliminer les indésirables et inconnus dans vos applications Windows (7) l'environnement. You can enforce application standardization – both from a security (malware), and from a management point of view (licensing & user control). Vous pouvez exécuter l'application uniformisation - à la fois de la sécurité (malware), et la gestion d'un point de vue (délivrance des permis et de contrôle des utilisateurs).

What most organizations try to do these days, it to limit users to be standard users (non-administrators) on their local machines – however this is actually not enough to feel secure as an IT administrator. Qu'est-ce que la plupart des organismes essayer de faire ces jours-ci, de limiter les utilisateurs à être des utilisateurs standard (non-administrateurs) sur leurs machines locales - mais il s'agit en fait ne suffit pas de se sentir en sécurité en tant que administrateur. Running as standard user is not the solution to all of our problems. De fonctionner comme utilisateur standard n'est pas la solution à tous de nos problèmes. Many applications can do bad stuff, even within user context – like stealing data, deleting data, manipulating data, encrypting data, creating bot-nets, send spam, social engineering etc. etc. This is true for applications that install in user context (like Google Chrome), or regular executables that don’t actually install – they just run! De nombreuses applications peuvent faire de mauvaises choses, même au sein de l'utilisateur contexte - comme le vol de données, la suppression de données, manipulation de données, le cryptage de données, la création de filets-bot, envoyer du spam, l'ingénierie sociale etc etc Cela est vrai pour les applications à installer en contexte utilisateur ( comme Google Chrome), ordinaire ou exécutables qui ne sont pas installer - il suffit d'exécuter!

If you want to control applications like that, what can run and what cannot – then you need another approach. Si vous souhaitez contrôler des applications comme celle-là, ce qui peut fonctionner et ce qui ne peut pas - alors il vous faut une autre approche. AppLocker comes to the rescue! AppLocker vient à la rescousse!

AppLocker has been build around digital signatures – signing of software executables and DLLs. AppLocker a été construite autour de la signature numérique - signature de logiciels exécutables et les DLL. This was also an option in SRP under Windows XP, were we had path, filename, HASH & certificate rule, but it was pretty hard to manage and enforce back then. Ce fut également une option dans le SRP sous Windows XP, nous avons eu ont été voie, nom de fichier, et HASH certificat règle, mais il est très difficile à gérer et à faire respecter à l'époque. With Windows 7, a new GUI has been added to the group policy editor to support easy creation of software rules. Avec Windows 7, une nouvelle interface graphique a été ajouté à l'éditeur de stratégie de groupe facile à soutenir la création de logiciels règles. We have 3 types of rules: Nous avons 3 types de règles:
- Allow rules : same as Whitelisting (‘known good’ software) - Autoriser les règles: les mêmes que la liste blanche ( «connu» des logiciels)
- Deny rules : same as Blacklisting (‘known bad’ software) - Refuser les règles: comme une liste noire ( «mauvais connu des logiciels)
- Exceptions : exclusion from allow or deny rules - Exceptions: exclusion de l'autoriser ou de refuser les règles

Allow rules are of course the recommended approach – the “ default deny all applications ” rule (Whitelisting), but with specific applications the network administrators wants to allow users to run. Autoriser les règles sont bien sûr l'approche recommandée - "par défaut refuser toutes les demandes» règle (liste blanche), mais avec des applications spécifiques les administrateurs de réseau veut permettre aux utilisateurs d'exécuter. As an administrator, you get granular control of specific applications, enforcing who can run and/or install them (if they have the appropriate rights and permissions). En tant qu'administrateur, vous obtenez un contrôle granulaire des applications spécifiques, l'application qui peut fonctionner et / ou de les installer (si elles ont les droits et autorisations).

The administration is done by group policy under Computer Configuration > Application Control Policies , but strangely enough you have to put in affected users and groups (still unclear whether or not the SYSTEM account is still excluded from SRP checks). L'administration se fait par groupe politique sous Configuration ordinateur> Application des politiques de contrôle, mais curieusement, vous devez mettre en touchées des utilisateurs et des groupes (encore difficile de savoir si ou non le compte SYSTEM est toujours exclu de contrôles SRP). So this is actually Computer policies that are able to hit users, like loopback or group policy preferences. Il s'agit donc effectivement d'ordinateurs politiques qui sont en mesure de toucher les utilisateurs, à l'instar de bouclage ou d'un groupe politique de préférences.

You can create multiple rule sets and take advantage of specific attributes, like app version (equal/above/below X.0.0.0), filename (executable name), product publisher (the valid root certificate used to sign), product suite (like “Microsoft Office 2007”) – and wildcards seems to be supported still. Vous pouvez créer plusieurs jeux de règles et de tirer profit des attributs spécifiques, comme app version (égalité / ci-dessus ou au-dessous du X.0.0.0), le nom de fichier (exécutable nom), éditeur de produits (le certificat racine valide utilisée pour signer), produit suite ( comme "Microsoft Office 2007") - et des caractères semble être encore.

You can control executables, installers (MSI), scripts, and DLLs, using certificates (publisher), HASH or path rules. Vous pouvez contrôler des exécutables, des installateurs (MSI), des scripts, et les DLL, en utilisant des certificats (éditeur), HASH ou chemin règles. The disadvantage of using HASH rules is, that the HASH will change if the application is updated, certificate/publisher rules are much more flexible because the signature is still going to be there (unless the developers totally mess up). L'inconvénient d'utiliser des règles HASH est, que le hachage doit changer si l'application est mise à jour, certificat ou de l'éditeur règles sont beaucoup plus flexible parce que la signature est toujours en cours d'être là (à moins que les développeurs de tout gâcher). So always try to go for publisher rules, certificates are here to stay :) Alors, toujours essayer d'aller éditeur de règles, les certificats sont là pour rester:)

Can be run in 3 modes: Enforce policy, Enforce Policy using Group Policy Inheritance  and Audit Only mode! Peut être exécuté en 3 modes: Faire appliquer la politique, l'aide de l'application de la politique de stratégie de groupe de succession et de la vérification Seuls mode! The latter is pretty cool, as you can configure a Software Restriction Policy, and test it out before you go “live”. Ce dernier est plutôt cool, comme vous pouvez le configurer une politique de restriction logicielle, et à tester avant de vous rendre "live".

AppLocker supports import and export of rules, which can be very useful, but one of the best new features is, that there’s no need to create all the rules manually – you have the option to “automatically generate rule”, this feature will analyze a “reference machine” (not sure if this has to be the local machine yet) and files in a given folder on that machine (not sure if this can be a share yet). AppLocker supporte l'importation et l'exportation de règles, qui peut être très utile, mais l'une des meilleures nouvelles fonctionnalités, c'est que il n'y a pas de nécessité de créer toutes les règles manuellement - vous avez la possibilité de "générer automatiquement règle", cette fonction analysons une "machine de référence" (pas sûr si cela doit être la machine locale encore) et les fichiers dans un dossier sur cette machine (pas sûr si cela peut être une action encore). You can compare this to a “snapshot” feature, take all files in this folder (and subfolders), and make an allow rule from that (certificate based preferably). Vous pouvez comparer ceci à un "instantané" de prendre tous les fichiers dans ce dossier (et sous-dossiers), et de faire une règle de permettre que (certificat de préférence).

The new rule creation tools and wizards seem pretty straight forward – but you really need to think about the SRP design before you go for it, and test intensively, or else you’ll end up in serious trouble ;-) La nouvelle règle de la création d'outils et assistants semblent assez simple - mais vous en avez vraiment besoin de réfléchir à la conception SRP avant de vous rendre pour elle-même, et de tester intensivement, sinon vous vous retrouverez en grave difficulté ;-)

I just can’t wait to test this deeply and bring you more information! Je ne peux pas attendre de tester ce profondément et vous apporter de plus amples informations!

Previous article series on SRP: Précédente série d'articles sur les SRP:
Default Deny All Applications (Part 1) Refuser par défaut toutes les applications (Partie 1)
Default Deny All Applications (Part 2) Refuser par défaut toutes les applications (2ème partie)

Microsoft AppLocker description: Microsoft AppLocker description:
http://www.microsoft.com

.

Written by Jakob H. Heidelberg. Ecrit par Jakob H. Heidelberg. Read more great feeds at is source Lire plus grand flux à la source est WEBSITE SITE WEB
no comments Pas de commentaires . .
Read more articles on Lire d'autres articles sur otherSoftware otherSoftware and et AppLocker AppLocker and et srp srp and et Group Policy Stratégie de groupe and et teched TechEd and et Microsoft Microsoft . .

• [+] Digg [+] Digg : Feature this article : Long présent article
• [+] Del.icio.us [+] Del.icio.us : Bookmark this article : Bookmark cet article
• [+] Furl [+] Furl : Bookmark this article : Bookmark cet article

Related articles Articles connexes

• The Importance of Hard Disk Partitioning L'importance de partitionnement de disque dur (November 28th, 2008) (Novembre 28, 2008)
• Winweb Security 2008 Winweb de sécurité 2008 (November 28th, 2008) (Novembre 28, 2008)
• The Proper Placement for Maximizing Router Coverage Le bon placement pour optimiser la couverture routeur (November 28th, 2008) (Novembre 28, 2008)
• Manual Removal of W32/Delf.DGY.Downloader Retrait Manuel de W32/Delf.DGY.Downloader (November 27th, 2008) (27 Novembre 2008)
• Gadgets You May Want to Consider This Christmas Gadgets vous voulez mai pour examiner ce Noël (November 27th, 2008) (27 Novembre 2008)