Введення в AppLocker (частина 4)

До цих пір в цьому циклі статей я говорив про те, як працює AppLocker, про різні типи правил в AppLocker "е. У даній статті я продовжую цикл розповіддю про те, як створювати правила в AppLocker" е.


Перед тим, як я почну, потрібно згадати пару ключових моментів. По-перше, дуже важливо, щоб ви пам'ятали: коли ви почнете створювати правила, всіх програм, не зазначених явно в правилах, буде заборонено запускатися. Якщо ви будете неакуратно створювати правила в AppLocker "е, ви цілком можете заблокувати власний комп'ютер. Тому я настійно рекомендую зробити резервну копію всього комп'ютера перед тим, як почати експериментувати з правилами в AppLocker "е.


По-друге, пам'ятайте, що правила застосовуються примусово навіть у тому випадку, якщо вони не включені. У AppLocker "е підтримуються три різних режими застосування політик: Not Configured (неналаштованою), Enforce Rules (Примусово застосовувати правила) і Audit Only (Тільки аудит). Якщо правила існують, вони будуть застосовуватися примусово у разі, якщо встановлено режим Enforce Rules або Not Configured. Тому я рекомендую вам почати з установки режиму Audit Only. У третій частині циклу є інструкції з установки режимів.


Правила за умовчанням


Коли ви будете готові до створення правил в AppLocker "е, я рекомендую вам почати з створення набору правил за замовчуванням. Раніше я вже говорив про те, що ви можете заблокувати Windows у разі невдалого застосування правил в AppLocker "е. Правила за умовчанням призначаються для того, щоб такого не траплялося. Потрібно створити набір правил, які б запобігали загрозу блокування Windows.


Досить кумедно, що правила за замовчуванням не створюються за замовчуванням. Щоб створити такі правила, відкрийте редактор Group Policy Object Editor і перейдіть по консольного дереву до Computer Configuration / Windows Settings / Security Settings / Application Control Policies / AppLocker / Executable Rules. Тепер клацніть правою кнопкою миші на контейнері Executable Rules і виберіть команду Create Default Rules з появи меню.


Коли правила за замовчуванням створені, клацніть правою кнопкою миші на контейнері Windows Installer Rules і виберіть команду Create Default Rules. І, нарешті, клацніть правою кнопкою миші на контейнері Script Rules і виберіть команду Create Default Rules. На момент написання даної статті сценаріїв для правил за замовчуванням не було, але з часом це положення може змінитися, і тоді добре було б піти далі і, принаймні, спробувати створити сценарії для правил за замовчуванням.


Огляд правил за замовчуванням


Хоча правила за умовчанням створюються для захисту Windows, існує ймовірність того, що правила за умовчанням можуть конфліктувати з корпоративною політикою в області інформаційної безпеки. Ви можете підлаштувати правила за замовчуванням, щоб вони були більш суворими, проте робити це потрібно дуже обережно.


Якщо ви подивитеся на Малюнок A, ви побачите, що Windows створює три правила для виконуваних файлів за замовчуванням. Перше правило дозволяє всім запускати всі файли, розташовані в папці Program Files Друге правило дозволяє все запускати всі файли, розташовані в папці Windows. Третє правило дозволяє аккаунту BUILTINAdministrator запускати всі файли в системі.



Малюнок A: Три правила для виконуваних файлів за замовчуванням


Перш за все, вам не слід намагатися змінити третє правило. Аккаунту BUILTINAdministrator потрібен повний доступ до системи. Проте два інших правила можна змінювати, роблячи їх більш суворими. Наприклад, ви можете захотіти створити набір правил, які дозволяють запускати окремі програми, розташовані в папці Program Files, замість того, щоб роздавати дозволу на весь вміст папки.


Коли ви приймете рішення з приводу застосування правил, важливо не забути про те, що правила за замовчуванням дають користувачам тільки дозволу запускати додатки. Створення правила в AppLocker не дає користувачам можливості встановлювати нові програми у цих локаціях. Якщо користувач хоче встановити програму, у нього має бути відповідний дозвіл для NTFS. Правда, тут є лазівка, про яку вам потрібно знати.


За замовчуванням у користувачів є повний доступ на читання / запис / створення в каталозі C: WindowsTemp. Коли створюються правила виконання за замовчуванням, користувачеві автоматично дається дозвіл на запуск додатків, що розташовуються в каталозі C: WindowsTemp, тому що він знаходиться всередині каталогу C: Windows. Це означає, що користувач потенційно може встановлювати програми в каталог Temp і запускати їх.


Перед тим, як я покажу вам, як можна модифікувати правила за замовчуванням, я хочу трохи затриматися і показати вам правила за замовчуванням для Windows Installer. Як і у випадку з правилами для виконуваних файлів за замовчуванням, Windows створив три правила за замовчуванням для Windows Installer, що відображено на рисунку B.



Малюнок B: Три правила за замовчуванням для Windows Installer


Перше з цих правил дозволяє всім користувачам запускати будь-який файл для Windows Installer, якщо він має цифровий підпис. Не має значення ні автор підпису, ні походження файлу. Якщо у нього є цифровий підпис, користувачі можуть його запускати.


Друге з правил для Windows Installer дозволяє всім користувачам запускати будь-який файл для Windows Installer, розташований в папці% systemdrive% WindowsInstaller. У даному випадку файли для Windows Installer навіть можуть не мати цифрового підпису. Якщо такий файл перебуває в зазначеній папці, користувачі можуть його запустити.


Остання з правил для Windows Installer дозволяє аккаунту BUILTINAdministrator запускати всі файли для Windows Installer. Як і раніше, це правило потрібно залишити в спокої, бо аккаунту BUILTINAdministrator необхідні ці дозволи.


Підготовка до модифікації правил за замовчуванням


Я розумію, що серед вас є такі, кому дуже не подобається читати про дозволи, що надаються правилами за замовчуванням. Решта впевнені, що я буду показувати, як можна змінити ці дозволи. До цього я перейду в наступній статті, а поки що хочу розповісти ще про деякі концепціях.


Я вже пояснював, що правила Executable Rules відносяться до виконуваних файлів; але на здивування у AppLocker "а дуже своєрідне визначення виконуваних файлів. AppLocker вважає виконуваними файлами EXE- і. COM-файли. При цьому. BAT,. PIF і деякі інші формати, технічно є виконуваними, не охоплюються правилами, заснованими на такому визначенні.


крім того, що у AppLocker "а є власне тлумачення виконуваних файлів, ще у нього є власне тлумачення файлів для Windows Installer. Такими файлами вважаються. MSI-и. MSP-файли.


Висновок


У цій статті я пояснив, як можна створювати набір правил за замовчуванням в AppLocker "е. У наступній статті циклу я покажу вам, як модифікувати правила за замовчуванням, і як створювати власні правила. Процес створення і зміни правил зрозумілий на інтуїтивному рівні, так що якщо хочете відразу перейти до справи, не соромтеся. Просто не забувайте, що зі збільшенням числа правил в AppLocker "е продуктивність поступово зменшується, так що непогано було б постаратися обмежити загальну кількість створюваних вами правил.

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*