Limitação do software em Windows 7
Estas são algumas notas rápidas de uma sessão em AppLocker por Paul A. Cooke, Tech-Ed EMEA 2008:
Como você pode ter visto, eu escrevi alguns artigos na política da limitação do software (SRP) sob Windows XP e Windows Vista para www.windowsecurity.com (veja abaixo). Eu sou muito feliz dizê-lo, esse Microsoft agora melhorou esta funcionalidade e rebatizou-a em: AppLocker!
Infelizmente eu não posso trazer-lhe nenhuns screenshots (por causa de NDA), mas eu posso dizer-lhe algumas coisas sobre a funcionalidade básica. Com AppLocker você pode mais fàcilmente eliminar aplicações não desejadas e desconhecidas em seu 7) ambientes de Windows (. Você pode reforçar a estandardização da aplicação - ambos de uma segurança (malware), e de um ponto da gerência da vista (licenciar & controle do usuário).
Que a maioria de organizações tentam fazer estes dias, ele para limitar usuários para ser usuários padrão (non-administradores) em suas máquinas locais - entretanto este não é realmente bastante para senti-lo seguro como administrador. Funcionar como o usuário padrão é não a solução a todos nossos problemas. Muitas aplicações podem fazer o material mau, mesmo dentro do contexto do usuário - como roubar dados, suprimir dados, dados manipulando, dados de criptografia, criando bot-redes, emite Spam, a engenharia social etc. etc. Isto é verdadeiro para as aplicações que instalam no contexto do usuário (como o cromo de Google), ou os executables regulares que não instalam realmente - funcionam apenas!
Se você quiser controlar aplicações como isso, o que podem funcionar e o que não pode - então você necessidade uma outra aproximação. AppLocker vem ao salvamento!
AppLocker foi a configuração em torno das assinaturas digitais - assinar de executables e de DLLs do software. Esta era também uma opção em SRP sob Windows XP, era nós teve o trajeto, o nome de arquivo, a régua da MISTURA & do certificado, mas era consideravelmente duro controlar para trás e reforçar então. Com Windows 7, um GUI novo foi adicionado ao editor da política do grupo para suportar a criação fácil de réguas do software. Nós temos 3 tipos de réguas:
- Permita réguas: mesmos que Whitelisting (' software bom sabido `)
- Negue réguas: mesmos que pondo (' software mau sabido `)
- Exceções: a exclusão de permite ou nega réguas
Permita réguas são naturalmente a aproximação recomendada - “o defeito nega todas as aplicações” governe (Whitelisting), mas com aplicações específicas os administradores da rede querem permitir que os usuários funcionem. Como um administrador, você começa o controle granular de aplicações específicas, reforçando quem pode o funcionar e/ou instalar (se tem as direitas e as permissões apropriadas).
A administração é feita pela política do grupo abaixo Configuração do computador > Políticas do controle da aplicação, but strangely enough you have to put in affected users and groups (still unclear whether or not the SYSTEM account is still excluded from SRP checks). So this is actually Computer policies that are able to hit users, like loopback or group policy preferences.
You can create multiple rule sets and take advantage of specific attributes, like app version (equal/above/below X.0.0.0), filename (executable name), product publisher (the valid root certificate used to sign), product suite (like “Microsoft Office 2007”) – and wildcards seems to be supported still.
You can control executables, installers (MSI), scripts, and DLLs, using certificates (publisher), HASH or path rules. The disadvantage of using HASH rules is, that the HASH will change if the application is updated, certificate/publisher rules are much more flexible because the signature is still going to be there (unless the developers totally mess up). So always try to go for publisher rules, certificates are here to stay :)
Can be run in 3 modes: Enforce policy, Enforce Policy using Group Policy Inheritance and Audit Only mode! The latter is pretty cool, as you can configure a Software Restriction Policy, and test it out before you go “live”.
AppLocker supports import and export of rules, which can be very useful, but one of the best new features is, that there’s no need to create all the rules manually – you have the option to “automatically generate rule”, this feature will analyze a “reference machine” (not sure if this has to be the local machine yet) and files in a given folder on that machine (not sure if this can be a share yet). You can compare this to a “snapshot” feature, take all files in this folder (and subfolders), and make an allow rule from that (certificate based preferably).
The new rule creation tools and wizards seem pretty straight forward – but you really need to think about the SRP design before you go for it, and test intensively, or else you’ll end up in serious trouble ;-)
I just can’t wait to test this deeply and bring you more information!
Previous article series on SRP:
Default Deny All Applications (Part 1)
Default Deny All Applications (Part 2)
Microsoft AppLocker description:
http://www.microsoft.com
.
Popularity: 1%
Written by Jakob H. Heidelberg. Read more great feeds at is source WEBSITE
no comments.
Read more articles on otherSoftware and AppLocker and srp and Group Policy and teched and Microsoft.
- [+] Digg: Feature this article
- [+] Del.icio.us: Bookmark this article
- [+] Furl: Bookmark this article
