Процессы и взаимодействия applocker

Небольшое введение

Часто со временем, после развертывания операционных систем, конфигурация программного обеспечения типичного рабочего места оказывается далека от желаемого результата. Несогласованности приходят чаще, не столько от установки, сколько от работы несоответствующего стандартам программного обеспечения в пределах настольного окружения. Пользователи инсталлируют программное обеспечение из разнообразных источников: компакт-дисков и дисковых накопителей, загрузки файлов из сети Интернет, совместного использования файлов через совместные пиринговые сети, и через электронную почту. Результат – возможность заражения компьютера вредоносным программным кодом, в связи с чем увеличивается количество телефонных звонков в сервисные и саппорт центры; после этого трудно дать какие-либо гарантии того, что на ваших рабочих местах запускается только лицензионное программное обеспечение. Кроме того, много непроизводительных приложений, установленных конечными пользователями, вызывают несовместимость с предустановленным программным обеспечением, вызывают снижение производительности на локальном рабочем месте, или бесполезное потребление сетевой пропускной способности.

В результате много организаций стараются уделить больше внимания контролю над программным окружением при помощи разных схем строгой изоляции. Ведущие аналитики предсказывали, что пятьдесят процентов организаций имеющих свыше 1000 рабочих мест будут внедрять некий механизм строгой изоляции в конце 2010 (Gartner, “Windows Application Control Solutions Provide an Alternative for Desktop Lockdown”, March 7, 2006). Прежде всего при блокировке программной среды, организации решают некоторые проблемы удалением административных привилегий у своих пользователей. Запуск приложений пользователем, который не является администратором рабочего места – не является шагом в правильном направлении, потому что это только помогает ограничить изменения в конфигурации приложений и системы в целом, однако, запуск приложений пользователем, не обладающим административными правами не исключает попадание неизвестного/нежеланного программного обеспечения на рабочие места вашей организации. Есть множество частных случаев, когда обычные пользователи могут загружать и устанавливать приложения, которые не требуют никаких административных привилегий. Пользователи также могут загрузить и использовать один запускной файл, который не использует дополнительных библиотек для запуска приложения, которые могут быть как веб-обозреватели так и любая присланная поздравительная открытка, которая может работать циклически (PC Magazine, “American Greetings Phony Site Serves Malware With A Smile”, February 14, 2008). Эти угрозы повышают риск попадания вредоносного программного обеспечения в инфраструктуру организации, с целью кражи пользовательских данных.

Как только появилась возможность отключения административных привилегий конечному пользователю, много организаций осознали, что это — не полное решение. В добавление к проблемам, вызванным выше, организации также находят, что у пользователей есть возможность инсталлировать безобидное или одобренное программное обеспечение, но все же осталась необходимость препятствовать пользователям инсталлировать рискованное программное обеспечение. Решения контроля приложения обеспечивают альтернативный подход для организаций в плане усиления контроля программного обеспечения, выполняемого в их программной среде. Software Restriction Policies (SRP), в Windows XP и Windows Vista, было одним из первых решений прикладного контроля. SRP дал IT-администраторам грубый механизм, для определения и написания политик контроля за приложениями. Однако SRP мог ограничить управление в динамической настольной среде, где приложения устанавливались и обновлялись на постоянной основе, т.к. они в основном использовали правила хэширования. С правилами хэширования, каждый раз при обновлении программного обеспечения необходимо было создавать новые правила хэширования.

Чем отличаются политики ограниченного использования программного обеспечения и AppLocker?

Различия функций

В следующей таблице сравнивается AppLocker с политиками ограниченного использования программного обеспечения.

Функция Политики ограниченного использования программ AppLocker
Область правила Все пользователи Конкретный пользователь или группа
Предоставленные условия правила Хэш файла, путь, сертификат, путь к реестру и зона Интернета Хэш файла, путь и издатель
Предоставленные типы правил Определяется уровнями безопасности:Disallowed
Базовый пользователь
Неограниченный
Разрешить и запретить
Действие правила по умолчанию Неограниченный Неявное отрицать
Режим только аудита Нет Да
Мастер создания нескольких правил одновременно Нет Да
Импорт или экспорт политики Нет Да
Коллекция правил Нет Да
поддержка Windows PowerShell Нет Да
Пользовательские сообщения об ошибках Нет Да

Различия функций управления приложениями

В следующей таблице сравниваются функции управления приложениями политик ограниченного использования программного обеспечения (SRP) и AppLocker.

Функция управления приложениями SRP AppLocker
Область операционной системы Политики SRP можно применять ко всем операционным системам Windows, начиная с Windows XP и Windows Server 2003. Политики AppLocker применяются только к поддерживаемым версиям и выпускам операционной системы, перечисленным в разделе Требования к использованию AppLocker. Но эти системы также могут использовать SRP.
Примечание: Используйте разные объекты групповой политики для правил SRP и AppLocker.
Поддержка пользователей SRP позволяет пользователям устанавливать приложения от имени администратора. Политики AppLocker поддерживаются с помощью групповая политика, и только администратор устройства может обновить политику AppLocker.

AppLocker позволяет настраивать сообщения об ошибках, чтобы направлять пользователей на веб-страницу за справкой.

Обслуживание политики Политики SRP обновляются с помощью оснастки «Локальная политика безопасности» или консоли управления групповая политика (GPMC). Политики AppLocker обновляются с помощью оснастки «Локальная политика безопасности» или консоли управления групповыми политиками.

AppLocker поддерживает небольшой набор командлетов PowerShell для администрирования и обслуживания.

Инфраструктура управления политиками Для управления политиками SRP SRP использует групповая политика в домене и оснастку «Локальная политика безопасности» для локального компьютера. Для управления политиками AppLocker использует групповая политика в домене и оснастку «Локальная политика безопасности» для локального компьютера.
Блокировка вредоносных сценариев Правила блокировки вредоносных сценариев не позволяют запускать все скрипты, связанные с узлом сценариев Windows, за исключением сценариев, подписанных вашей организацией с цифровой подписью. Правила AppLocker могут управлять следующими форматами файлов: .ps1, .bat, CMD, VBS и .js. Кроме того, можно задать исключения, чтобы разрешить выполнение определенных файлов.
Управление установкой программного обеспечения SRP может запретить установку всех пакетов установщика Windows. Он позволяет установить .msi файлы, подписанные вашей организацией с цифровой подписью. Коллекция правил установщика Windows — это набор правил, созданных для типов файлов установщика Windows (MST, .msi и MSP), позволяющих управлять установкой файлов на клиентских компьютерах и серверах.
Управление всем программным обеспечением на компьютере Все программное обеспечение управляется в одном наборе правил. По умолчанию политика управления всем программным обеспечением на устройстве запрещает все программное обеспечение на устройстве пользователя, за исключением программного обеспечения, установленного в папке Windows, папке Program Files или вложенных папках. В отличие от SRP, каждая коллекция правил AppLocker функционирует как список разрешенных файлов. Только файлы, перечисленные в коллекции правил, будут разрешены к запуску. Эта конфигурация упрощает администраторам определение того, что произойдет при применении правила AppLocker.
Разные политики для разных пользователей Правила применяются единообразно ко всем пользователям на определенном устройстве. На устройстве, совместно используемом несколькими пользователями, администратор может указать группы пользователей, которые могут получить доступ к установленному программному обеспечению. Администратор использует AppLocker, чтобы указать пользователя, к которому должно применяться определенное правило.

Список использованной литературы

  1. ГОСТ Р 50922-2006, статья 2.4.5
  2. https://ru.wikipedia.org/wiki/Информационная_безопасность#Нормативные_документы_в_области_информационной_безопасности
  3. https://www.garant.ru/
  4. http://www.consultant.ru/
  5. Доктрина информационной безопасности Российской Федерации
    (утв. Указом Президента РФ от 5 декабря 2016 г. N 646) https://base.garant.ru/71556224/#block_2
  1. ГОСТ Р 50922-2006, статья 2.4.5 — https://internet-law.ru/gosts/gost/5737/

  2. Информационная безопасность — https://ru.wikipedia.org/wiki/Информационная_безопасность#Нормативные_документы_в_области_информационной_безопасности

  3. Указ Президента РФ от 17 марта 2008 г. N 351
    «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена» — https://base.garant.ru/192944/

  4. Доктрина
    информационной безопасности Российской Федерации
    (утв. Указом Президента РФ от 5 декабря 2016 г. N 646) — https://base.garant.ru/71556224/#block_1000

  5. Федеральный закон «Об информации, информационных технологиях и о защите информации» от 27.07.2006 N 149-ФЗ (последняя редакция) — http://www.consultant.ru/document/cons_doc_LAW_61798/

  6. Федеральный закон «О коммерческой тайне» от 29.07.2004 N 98-ФЗ (последняя редакция) — http://www.consultant.ru/document/cons_doc_LAW_48699/

  7. Постановление Правительства РФ от 26.06.1995 N 608 (ред. от 21.04.2010) «О сертификации средств защиты информации» — http://www.consultant.ru/document/cons_doc_LAW_7054/752ce33ca93090f84d539b8d899613d160a57e9a/

  8. ПОСТАНОВЛЕНИЕ от 3 февраля 2012 г. N 79 О ЛИЦЕНЗИРОВАНИИ ДЕЯТЕЛЬНОСТИ ПО ТЕХНИЧЕСКОЙ ЗАЩИТЕ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ — http://www.consultant.ru/document/cons_doc_LAW_125798/92d969e26a4326c5d02fa79b8f9cf4994ee5633b/

  9. Приказ ФСБ РФ от 09.02.2005 N 66 (ред. от 12.04.2010) «Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации — http://www.consultant.ru/document/cons_doc_LAW_52098/4e40325402553e6f37b4b2e478e720d0e7067e77/

  • Понятие сущность логистического подхода и логистического управления
  • Функции налогов
  • Адвокат в Европейском суде по правам человека
  • Меры эколого-правовой охраны недр
  • Институт толкования иностранного права в процессе правоприменения
  • Состав и функции дипломатического представительства
  • Нотариальные действия и особенности их правового регулирования в международном частном праве
  • Правовая природа договора аренды (Правовая природа договора аренды)
  • Сущность транспортного налога
  • КОРРУПЦИЯ КАК УГРОЗА НАЦИОНАЛЬНОЙ БЕЗОПАСНОСТИ ГОСУДАРСТВА
  • Облачные технологии
  • Внешняя политика и дипломатия

Запись результатов

Чтобы завершить работу с этим документом по планированию AppLocker, сначала необходимо выполнить следующие действия:

  1. Определение целей по управлению приложениями
  2. Создание списка приложений, развернутых для каждой бизнес-группы
  3. Выбор типов создаваемых правил
  4. Определение структуры групповой политики и применения правил
  5. Планирование управления политикой AppLocker

Для управления политиками AppLocker необходимо определить три ключевые области:

  1. Политика поддержки

    Задокументируйте процесс обработки вызовов от пользователей, которые попытались запустить заблокированное приложение, и убедитесь, что сотрудники службы поддержки знают о рекомендуемых шагах по устранению неполадок и точках эскалации для вашей политики.

  2. Обработка событий

    Задокументируйте, будут ли события собираться в центральном расположении, как будет архивировано это хранилище и будут ли обрабатываться события для анализа.

  3. Обслуживание политики

    Подробные сведения о том, как правила будут добавляться в политику, в каком групповая политика объекте (GPO) должны быть определены правила, а также как изменять правила при снятии с учета, обновлении или добавлении приложений.

В следующей таблице содержатся примеры данных, собранных при определении способа обслуживания политик AppLocker и управления ими.

Бизнес-группа Подразделения Реализовать AppLocker? Приложения Путь установки Использование правила по умолчанию или определение нового условия правила Разрешить или запретить Имя объекта групповой политики Политика поддержки
Банковские касситоры Teller-East и Teller-West Да Программное обеспечение Teller C:\Program Files\Woodgrove\Teller.exe Файл подписан; создание условия издателя Разрешить Tellers-AppLockerTellerRules Веб-справка
Файлы Windows C:\windows Создание исключения пути к правилу по умолчанию для исключения \Windows\Temp Разрешить Служба технической поддержки
Кадровые ресурсы HR-All Да Чек выплаты C:\Program Files\Woodgrove\HR\Checkcut.exe Файл подписан; создание условия издателя Разрешить HR-AppLockerHRRules Веб-справка
Организатор тайм-листов C:\Program Files\Woodgrove\HR\Timesheet.exe Файл не подписан; создание условия хэша файла Разрешить Веб-справка
Internet Explorer 7 C:\Program Files\Internet Explorer Файл подписан; создание условия издателя Запретить Веб-справка
Файлы Windows C:\windows Использование правила по умолчанию для пути Windows Разрешить Служба технической поддержки

В следующих двух таблицах показаны примеры документирования рекомендаций по обслуживанию политик AppLocker и управлению ими.

Политика обработки событий

Одним из методов обнаружения для использования приложений является установка режима принудительного применения AppLocker только аудит. Этот параметр будет записывать события в журналы AppLocker, которыми можно управлять и анализировать, как и другие журналы Windows. После определения приложений можно приступить к разработке политик, касающихся обработки событий AppLocker и доступа к ней.

В следующей таблице приведен пример того, что следует учитывать и записывать.

Бизнес-группа Расположение сбора событий AppLocker Политика архивации Проанализированы? Политика безопасности
Банковские касситоры Перенаправлено в: Репозиторий событий AppLocker в srvBT093 Standard Нет Standard
Кадровые ресурсы НЕ ПЕРЕСЫЛАЙТЕ. srvHR004 60 месяцев Да, сводные отчеты для руководителей ежемесячно Standard

Политика обслуживания политики После идентификации приложений и создания политик для управления приложениями можно начать документировать, как вы планируете обновить эти политики.
В следующей таблице приведен пример того, что следует учитывать и записывать.

Этап 2. Защити свои активы

  • Вы настраивали компьютеры с учетом требований по информационной безопасности?
  • В вашей сети работает антивирусное ПО, которое постоянно обновляется?
  • Рассказываете ли вы своим сотрудникам о современных методах защиты информации?

Настройка базовых требований по информационной безопасности

Действия:

  • периодически запускайте сканер безопасности Microsoft Security Analyzer, чтобы определить, какие патчи/обновления не установлены для операционной системы Windows, и какие изменения в конфигурации необходимо выполнить;
  • убедитесь, что ваши браузер и плагины в нем обновлены. Попробуйте использовать браузеры, которые автоматически обновляют свои компоненты, такие как Google Chrome ;
  • используйте антивирус с последними обновлениями антивирусной базы для защиты систем от вредоносного ПО;
  • ограничьте использование съемных носителей (USB, CD, DVD) теми сотрудниками, кому это действительно нужно для выполнения своих служебных обязанностей;
  • установите программный инструмент Enhanced Mitigation Experience Toolkit (EMET) на компьютерах с Windows для защиты от уязвимостей, связанных с программным кодом;
  • требуйте использования многофакторной аутентификации там, где это возможно, особенно для удаленного доступа к внутренней сети или электронной почте. Например, используйте безопасные токены/смарт-карты или смс сообщения с кодами в качестве дополнительного уровня безопасности в дополнение к паролям;
  • измените пароли по умолчанию для всех приложений, операционных систем, маршрутизаторов, межсетевых экранов, точек беспроводного доступа, принтеров/сканеров и других устройств, при добавлении их в сеть;
  • используйте шифрование для безопасного удаленного управления вашими устройствами и передачи конфиденциальной информации;
  • шифруйте жесткие диски на ноутбуке или мобильном устройстве, содержащие конфиденциальную информацию.

Инструменты:

  • Bitlocker: встроенное шифрование для устройств Microsoft Windows
  • FireVault: встроенное шифрование для устройств Mac
  • Qualys Browser Check: инструмент для проверки вашего браузера на наличие последних обновлений
  • OpenVAS: инструмент для проверки систем на соответствие базовым требованиям информационной безопасности
  • Microsoft Baseline Security Analyzer: бесплатный инструмент Microsoft для понимания того, как компьютеры с операционной системой Windows могут быть безопасно настроены
  • CIS Benchmarks: бесплатные PDF-файлы, в которых содержатся инструкции по созданию конфигураций с учетом информационной безопасности для более чем 100 технологий.

Выработка процессов по ИБ

Информация, которую необходимо донести до сотрудников:

  • Определите сотрудников в вашей организации, которые имеют доступ или обрабатывают конфиденциальную информации, и убедитесь, что они понимают свою роль в защите этой информации.
  • Двумя самыми распространенными атаками являются фишинговые атаки по электронной почте и по телефону. Убедитесь, что ваши сотрудники могут описать и определить основные признаки атаки. К таким признакам могут относиться ситуации, когда люди говорят о большой срочности, просят ценную или конфиденциальную информацию, используют непонятные или технические термины, просят игнорировать или обойти процедуры безопасности.
  • Сотрудники должны понимать, что здравый смысл является лучшей защитой. Если происходящее кажется странным, подозрительным или слишком хорошим, чтобы быть правдой, это скорее всего признаки атаки.
  • Поощряйте использование сложных, уникальных паролей для каждой учетной записи и / или двухфактурную аутентификацию там, где это возможно.
  • Требуйте от ваших коллег использовать «блокировку экрана» на своих мобильных устройствах.
  • Убедитесь, что все сотрудники постоянно обновляют свои устройства и программное обеспечение.

Поддержка уровня знаний:

Поясняйте своим сотрудникам, как защитить вашу организацию и как эти методы можно применять в их личной жизни, убедитесь, что они это понимают;
Убедитесь, что все сотрудники понимают, что информационная безопасность является важной частью их работы.
Распространяйте для своих сотрудников бесплатные информационные материалы по вопросам информационной безопасности, такие как информационный бюллетень SANS OUCH! и ежемесячные информационные бюллетени MS-ISAC.
Используйте онлайн-ресурсы, такие как StaySafeOnline.org Национального альянса кибербезопасности.

Инструменты:

  • SANS Ouch! Информационный бюллетень, видео месяца, ежедневные советы и плакаты;
  • ежемесячные информационные бюллетени MS-ISAC;
  • Staysafeonline.com;
  • Safe-surf.ru;

Средства и методы защиты конфиденциальных данных от кражи и изменения

  • Физическая защита
    данных. Для этого на предприятии устанавливаются ограничения на доступ
    определенных лиц к местам хранения данных или на территорию. Используются дистанционно
    управляемые СКУД, права доступа определяются радиометками или с помощью других средств
    идентификации. Например, зайти в помещение с серверами могут только те лица, у которых
    это право прописано в карточке.
  • Общие средства
    защиты информации. К ним относятся приложения и утилиты, которые должен
    использовать каждый пользователь при работе в сети. Например, антивирусные программы,
    фильтры сообщений электронной почты. К базовым средствам относятся также системы
    логинов и паролей для доступа во внутреннюю сеть, которые должны периодически меняться
    во избежание утечки.
  • Противодействие
    DDoS-атакам. Самостоятельно компания – владелец сервера не может
    обезопасить свои ресурсы от атак этого типа. Поэтому необходимо использовать внешние
    утилиты. Они срабатывают, когда система обнаруживает подозрительный трафик или резкое
    увеличение запросов на доступ. В этом случае активируется специальная программа,
    которая блокирует посторонний трафик и сохраняет доступ для легальных пользователей.
    Работа ресурса таким образом не нарушается.
  • Резервирование
    информации. Это средство защиты направлено не на противодействие незаконному
    завладению данными, а на ликвидацию последствий постороннего вмешательства. Резервирование
    предусматривает копирование информации на удаленные хранилища или в «облако».
    Учитывая низкую стоимость носителей и услуг «облачных» провайдеров,
    позволить себе многократное резервирование данных может любая компания, для которой
    важна IT-инфраструктура.
  • План восстановления
    работы после вмешательства. Это один из последних эшелонов защиты информационной
    инфраструктуры компании. Каждый владелец корпоративной сети и серверов должен иметь
    заранее продуманный план действий, направленный на быструю ликвидацию последствий
    вмешательства и восстановление работы компьютеров с серверами. План вводится в действие
    в случае, если сеть не может функционировать в стандартном режиме или обнаружено
    постороннее вмешательство.
  • Передача зашифрованных
    данных. Обмен конфиденциальной информацией между удаленными пользователями
    по электронным каналам связи должен проводиться только с использованием утилит,
    которые поддерживают конечное шифрование у пользователя. Это дает возможность удостовериться
    в подлинности передаваемых данных и исключить расшифровку третьими лицами, перехватившими
    сообщение.

Заключение

В этой статье были рассмотрены очередные нюансы, связанные с использованием технологии AppLocker. Вы узнали об основных сценариях применения данной технологии, а также об аудите создаваемых правил. На примере было продемонстрировано то, каким образом можно настроить аудит и проанализировать активность ваших пользователей по отношению к установленным на их компьютерах приложениям. В следующей статье мы с вами продолжим знакомиться с этой технологией и вы узнаете о некоторых хитростях, связанных с этой технологией и еще будут рассмотрены несколько примеров ее использования.

Рейтинг
( Пока оценок нет )
Editor
Editor/ автор статьи

Давно интересуюсь темой. Мне нравится писать о том, в чём разбираюсь.

Понравилась статья? Поделиться с друзьями:
Работатека
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: