Разрешаете ли вы своим пользователям запускать, устанавливать и обновлять приложения, с которыми они работают? А ведь именно пользователи, сами того не желая, могут послужить основной причиной заражения как своего рабочего компьютера, так и целого парка компьютеров вашей организации. Пользователь может из дома принести на зараженном USB-накопителе какой-то новый гламурный календарь и установить или же в просторах Интернета загрузить какое-то программное обеспечение даже вроде бы с доверенного источника. Примером тому может послужить статья «Как элементарно обходятся антивирусы и их «поведенческие анализаторы»», которая в начале января была опубликована на Хабре. Ну, или, в крайнем случае, пользователь может получить письмо от недоброжелателя, который предложит установить, скажем, отличный твиккер, позволяющий в 100500 раз увеличить производительность системы. Но программа, которую пользователь загрузит по указанной в письме ссылке, будет содержать вирус, тем самым, самостоятельно предоставив хакеру доступ к своему компьютеру.
Соответственно, может возникнуть следующий вопрос. Должны ли ваши пользователи иметь на выполнение таких действий безграничный контроль или же вы хотите на основании каких-то специфических правил настроить для своих пользователей ограничения на выполнение указанных выше операций? Какими бы трастовыми не были отношения между сотрудниками вашей компании, все равно, следует настраивать определенные ограничения, благодаря которым ваши компьютеры будут в безопасности. Если же в вашей организации еще не развернуты правила подобного характера, а также все пользователи работают на компьютерах под управлением операционной системы Windows 7, то технология, описанная в данном цикле статей, предназначена именно для вас!
Еще, не так давно, как только операционная система Windows 7 начала выходить на прилавки, уже многие знали о том, что в семерке появилась такая технология, как AppLocker, которую моментально многие начали называть инновационным прорывом, предназначенным для повышения безопасности, предотвращая запуск нежелательных приложений. В принципе, данная статья является первой частью цикла статей по данной технологии. В статьях, посвященных технологии AppLocker, я расскажу о том, что же собой представляет технология AppLocker, о создании и управлении правилами и политиками AppLocker, об аудите развертывания политик, а самое главное, о недостатках, по сравнению с, как сейчас считается, устаревшей технологией политики ограниченного использования программ (Software Restriction Policies, SRP).
Изначально я рассчитываю, что данный цикл будет содержать пять статей, посвященных данной технологии, а именно:
В этой, вводной статье, вы узнаете о том, что такое AppLocker, о его преимуществах и недостатках по сравнению с политиками SRP, также о создании правил, используемых по умолчанию в AppLocker.
Во второй статье будут рассмотрены различные сценарии использования правил данной технологии.
Третья статья будет посвящена политикам AppLocker.
В четвертой статье текущего цикла будет рассмотрен режим аудита, а также события, связанные с AppLocker.
И в заключительной, пятой статье, посвященной работе с AppLocker я расскажу о возможных ошибках и их траблшутинге AppLocker, а также о возможных проблемах, с которыми вы сможете столкнуться.
Для того чтобы вы могли сравнить функциональные возможности данной технологии с политиками ограниченного использования программ, я постараюсь публиковать статьи по обеим технологиям так, чтобы вы могли параллельно узнавать об обеих технологиях, позволяющих управлять работой с приложениями.
Что такое AppLocker, а также его преимущества и недостатки по сравнению с технологией SRP
Прежде всего, думаю, стоит рассказать, что же собой представляет технология AppLocker. Как уже было отмечено во введении данной статьи, AppLocker является компонентом операционных систем Windows 7 и Windows Server 2008 R2, отвечающим за ограничение использования программного обеспечения пользователям или группам пользователей на основании определенных правил. При помощи данной технологии, администраторам предоставляется возможность создавать правила, нацеленные на исполняемые файлы (к таким файлам относятся файлы с расширениями *.exe, а также *.com), пакеты установщика Windows (а именно, файлы установщика Windows *.msi и файлы параметров установки *.msp). Также, кроме указанных выше файлов первой категории, у вас еще есть возможность настраивать правила для файлов заставки*.scr. Помимо указанных выше файлов, также можно создавать правила для таких сценариев, как пакетные файлы *.bat, сценарии командной строки *.cmd, сценарии PowerShell *.ps1, файлы VBScript *.vbs, а также сценарии JavaScript (файлы с расширением *.js). И последнее, для чего можно создавать правила AppLocker – это динамические библиотеки *.dll и файлы *.ocx, которые создаются в четвертой, скрытой по умолчанию категории. Однако, несмотря на такую красивую разбивку по расширениям файлов, AppLocker не позволяет для кастомизации правил добавлять какие-то специфические расширения файлов, что можно было делать при помощи политик ограниченного использования программ.
В принципе, данную технологию невозможно назвать революционным прорывом в осуществлении управления запуска и установки программного обеспечения пользователями, так как еще задолго до появления операционных систем Windows 7 и Windows Server 2008 R2 в своей производственной среде администраторы уже давно создавали правила на ограничение использования программного обеспечения при помощи одноименного компонента, который, кстати, также был упомянут во вводной части этой статьи. Кстати, даже сейчас во многих источниках можно найти такое кодовое название AppLocler, как SRP v2.0, так как команда разработки данной технологии, скорее всего, предполагала, что именно технология AppLocker будет считаться логическим продолжением политик ограниченного использования программ.
У внимательного читателя, скорее всего, еще начиная со введения этой статьи возник такой вопрос: вот я уже много раз написал о том, что такие технологии как AppLocker и политики ограничения использования программ очень похожи, но какая же между ними разница и чем одна технология может быть лучше другой? Несмотря на то, что технология AppLocker достаточно новая и по сравнению с таким старожилом как политики ограничения использования программ основной целью перед пиар-группой Microsoft, стояло преподнесение новой технологии как существенно усовершенствованной перед SRP, в большинстве источников, возможности данной технологии существенно приукрашены. В принципе, наиболее подробный сравнительный анализ возможностей обоих технологий провел Вадимс Поданс, о чем и была написана, в свое время, статья у него на блоге.
Соответственно, можно выделить следующие общие моменты для обеих технологий: во-первых, при помощи обеих технологий вы можете создавать как разрешающие, так и запрещающие правила. Во-вторых, используя как AppLocker, так и SRP вы можете настраивать правила, использующие условия хешей и пути. Ну и в-третьих, обе технологии позволяют вести аудит политики, а также предоставляют возможность просмотра сообщений об ошибках.
А теперь об отличиях. Прежде всего, при помощи ограниченного использования программ вы можете создавать правила для сертификатов, а также для зоны сети, чего нет в AppLocker. Помимо этого, политики ограниченного использования программ позволяют выполнять особые действия, а также использовать системные переменные окружения и пути, указанные в системном реестре Windows. Также как, было отмечено немного ранее, в политиках ограниченного использования программ можно было управлять расширениями файлов, на которые должны применяться политики ограничения, что было по какой-то причине исключено из возможностей AppLocker.
Однако, при помощи последней технологии, вы можете создавать правила, использующие условие издателя, что позволяет проверять приложении, на основании его цифровой подписи. Еще, так как AppLocker не поддерживает системные переменные окружения, при помощи функциональных возможностей этой технологии вы можете создавать собственные переменные окружения. Ну, и вдобавок, AppLocker предоставляет возможности импорта и экспорта своих политик, а также объединения нескольких созданных ранее политик AppLocker в одну политику. И последнее, что следует отметить из преимуществ AppLocker, так это интуитивно понятный мастер создания нового правила, в отличие от единственного диалогового окна, при помощи которого настраивались правила в SRP, а любителям PowerShell безо всякого сомнения понравится то, что теперь появилась возможность управлять политиками AppLocker средствами этой технологии.
Ну и, думаю, следует еще обратить внимание на то, что в то время, как политики ограниченного использования программ применялись сразу ко всем пользователям, при помощи AppLocker можно назначать политики для определенных пользователей или же групп пользователей. Но нужно помнить, что одно правило AppLocker вы можете применить только к одной группе. Однако, несмотря на какие-то незначительные плюсы или минусы любой из этих технологий, скорее всего, основным недостатком AppLocker является то, что данный компонент операционной системы включен только лишь в редакции Enterprise и Ultimate операционной системы Windows 7 (в случае с Windows Server 2008 R2, естественно, AppLocker присутствует во всех редакциях). И именно из-за этого нюанса многие компании могут моментально отказаться от использования AppLocker, так как их парк компьютеров может все еще содержать компьютеры, работающие под операционной системой Windows XP.
Где находится AppLocker и правила по умолчанию
Прежде чем переходить к созданию правил и политик AppLocker, думаю, следует разобраться, где же можно найти данное средство. Как уже было сказано, компонент AppLocker устанавливается в любой редакции операционной системы Windows Server 2008 R2, а также при установке Windows 7 Enterprise и Ultimate.
Чтобы открыть AppLocker на локальной машине, которая входит в рабочую группу или вообще не подключена к сети, вы можете открыть оснастку «Локальная политика безопасности» и в дереве оснастки развернуть узел «Политики управления приложениями».
В свою очередь, в доменном окружении, AppLocker следует применять, используя функциональные возможности групповой политики. Следовательно, на контроллере домена откройте оснастку «Управление групповой политикой», после этого разверните узел с наименованием вашего леса, узел «Домены», затем узел с названием вашего домена. Выберите контейнер «Объекты групповой политики» и в данном контейнере создайте новый объект групповой политики, скажем, «Правила AppLocker для пользователей», нажмите на нем правой кнопкой мыши и для открытия оснастки «Редактор управления групповыми политиками» из контекстного меню выберите команду «Изменить». В уже отобразившейся оснастке, в дереве оснастки разверните узел Конфигурация компьютера\Политики\Конфигурация Windows\Параметры безопасности\Политики управления приложениями и перейдите к узлу «AppLocker».
Когда вы настраиваете объекты групповой политики с расширением клиентской стороны AppLocker, обязательно обратите внимание на то, что на клиентских компьютерах, на которые должны распространяться правила, обязательно должна быть запущена служба «Удостоверения приложения». Например, вы можете настроить эту службу при помощи узла «Службы» параметров безопасности групповой политики или же воспользоваться функциональными возможностями одноименного элемента предпочтения групповой политики.
Также как и в случае с политиками ограниченного использования программ, для AppLocker вы можете создать правила по умолчанию. Для того чтобы создать новое правило, следует для редактируемого вами объекта групповой политики, в области сведений каждого вложенного узла AppLocker, называемых коллекциями правил, вызвать контекстное меню и выбрать команду «Создать правила по умолчанию». Как только данная опция будет выбрана, сразу для целевого узла будут созданы три правила, а именно:
- Правило, разрешающее запускать все файлы, расположенные в папке Windows;
- Правило, разрешающее запускать все файлы, расположенные в папках «Program Files» (в том случае, если на целевом компьютере установлены 64-разрядная операционная система, данное правило будет применяться как для файлов из папки Program Files, так и для файлов, которые находятся в папке «Program Files (x86)»);
- А также правило, позволяющее запускать пользователям, которые являются локальными администраторами любые файлы, что, в принципе, делать крайне нежелательно.
Другими словами, после создания правил по умолчанию в каждом узле AppLocker, следует удалить правило, разрешающее локальным администраторам запускать любые приложения и, соответственно, в каждой коллекции правил оставить лишь по два правила, созданных по умолчанию. Процесс создания правил по умолчанию для исполняемых файлов изображен на следующей иллюстрации:
Рис. 1. Создание правил по умолчанию для исполняемых файлов
После того как правила по умолчанию будут созданы, правила AppLocker начнут применяться на пользователей моментально в том случае, если данное средство настраивается на локальном компьютере при помощи указанной выше оснастки или же через 90-120 минут по умолчанию, если правила AppLocker настраивались в доменном окружении при помощи функциональных возможностей групповой политики.
Какие у AppLocker существуют правила?
В случае использования такой технологии для ограничения доступа к программному обеспечению, как AppLocker, вы можете создавать правила на основании трех различных условий. Это правила для издателя, пути или хешируемых файлов. Давайте рассмотрим каждое условие немного подробнее.
В том случае, если вы выберите для своего правила такое условие как «Издатель», то согласно указанным вами критериям будет заблокирован или разрешен доступ к приложению, основываясь на его цифровой подписи, а также на каких-либо расширенных атрибутах. К расширенным атрибутам относятся такие показатели как наименование самого продукта, имя запускаемого файла, данные о компании-разработчике выбранного вами программного продукта, а также версия самого продукта. Правило можно использовать как для определенной версии программного продукта, так и для всех программ, выпускаемых определённой компанией. Цифровая подпись, в свою очередь, включает в себя сведения о самом издателе, то есть, опять же, о компании, которая разработала этот программный продукт.
Если же выбрать условие «Издатель», а у приложения не будет цифровой подписи, в этом случае, вы просто не сможете использовать это условие.
Следующее условие – это «Путь». Тут все очень просто, так как, используя текущее условие, вы можете определять действия для приложения, согласно его физическому расположению на локальном компьютере или в сети. Вот здесь нужно обязательно обратить внимание на переменные окружения, которые используются в правилах пути технологии AppLocker. Данные следующей таблицы, в которой вы можете сравнить дефолтные переменные окружения с переменными окружениями, которые следует использовать в случае с правилами пути AppLocker, помогут вам эффективнее их создавать:
Расположение | Переменная AppLocker | Переменная Windows |
Windows | %WINDIR% | %SystemRoot% |
System32 | %SYSTEM32% | %SystemDirectory% |
Каталог установки Windows | %OSDRIVE% | %SystemDrive% |
Program Files | %PROGRAMFILES% | %ProgramFiles% и %ProgramFiles(x86)% |
Съемный носитель | %REMOVABLE% | |
Съемное запоминающее устройство | %HOT% |
Помните, что здесь переменные среды для компактов и для USB-накопителей отличаются. Это очень важно при планировании.
Последнее условие – это условие для хешируемого файла. В этом случае, вам нужно будет просто выбрать исполнительный файл какого-то приложения, а для него, при создании самого правила, будет вычислен сам хеш. Думаю, абсолютно каждый знает, что хеш представляет собой серию байтов фиксированной длины, однозначно идентифицирующую программу или файл. Они рассчитывается путем алгоритма хеширования. После того как такое правило AppLocker будет создано, в случае, если пользователь попробует открыть программу, хеш программы обязательно будет сравниваться с существующим правилом для хеша, и, естественно, будет выполнено какое-то действие. Хеш программы всегда одинаковый, независимо от расположения самой программы. Ну а, само собой, при изменении программы хеш также меняется и, следовательно, не соответствует хешу в правиле для хеша для политик ограниченного использования программ. Поэтому, если программа обновилась, вам необходимо будет создать новое правило или изменять текущее.
Теперь, перед тем как перейти к созданию правил, следует разобраться с разрешениями AppLocker, то есть, непосредственно с самими поведениями правил. Поведений, как вы, скорее всего, догадались, совсем немного и тут сложно что-то напутать. Это:
- Разрешающие правила. В этом случае, вы определяете файл, который вы разрешаете пользователям или группе пользователей запускать на своих компьютерах.
- Запрещающие правила. В свою очередь, используя данное поведение, вы запретите выполняться файлам на пользовательских компьютерах, согласно указанным вами условиям.
Вот так, на самом деле, все просто. Однако, есть такое замечательное выражение, как «правила создаются для того, чтобы их нарушать». AppLocker не является исключением из этого убеждения, то есть, вы можете разрешить пользователям игнорировать составленные вами правила при определенных условиях. Это можно сделать при помощи исключений из создаваемых вами правил, причем, исключения можно создавать для любого условия, независимо от того, какое вы выбирали при создании самого правила. Другими словами, вы можете создать разрешающее правило согласно определенному издателю, однако, заблокировать к нему доступ согласно определенному расположению файла. И это можно сделать, используя лишь одно правило. Вот в этом огромный плюс данной технологии и тут просто невозможно не согласиться.
Создание правил для издателя, пути и хеша
Чтобы не плодить множество объектов групповой политики, в данном примере будет использоваться тот же объект групповой политики, о котором шла речь в предыдущей статье данного цикла, а именно, объект групповой политики «Правила AppLocker для пользователей». В этом объекте групповой политики будут созданы три правила, из которых вы узнаете о том, каким образом можно создать свое первое правило с условием «Издатель» для такого приложения как Adobe Reader, которое установлено на пользовательском компьютере, запрещен доступ к стандартному приложению «Экранная лупа» при помощи правила «Пути», а также разрешен доступ для использования определенной версии программы ZoomIt, согласно ее хешу. Соответственно, чтобы реализовать ограничение, согласно поставленным условиям, требуется выполнить следующие действия:
Первое правило, которое будет создаваться – это правило с условием «Издатель». Следовательно, нужно открыть оснастку «Управление групповой политикой», выбрать требуемый объект групповой политики и открыть редактор управления групповыми политиками. В отобразившемся окне редактора нужно перейти к необходимому узлу, а именно к узлу Конфигурация компьютера\Политики\Конфигурация Windows\Параметры безопасности\Политики управления приложениями\AppLocker. И так как все три правила, которые будут создаваться, будут распространяться исключительно на исполнительные файлы, следует выбрать узел «Исполняемые правила». Итак, теперь, после того как требуемый узел будет выбран, выполним следующие действия:
- В дереве оснастки или в области сведений вызовите контекстное меню и выберите команду «Создать правило»;
- Перед вами отобразится диалоговое окно мастера создания исполняемых правил AppLocker. Здесь, на первой странице мастера вам следует ознакомиться с предоставленной информацией, а затем нажать на кнопку«Далее»;
- На странице «Разрешения» вам следует определиться с поведением правила. Так как в данном случае будут блокироваться большинство версий ридера, следует установить переключатель на опцию «Запретить». Также, невозможно не заметить и того, что здесь вы можете выбрать определенного пользователя или группу пользователей, на которых будет распространяться данное правило. Другими словами, вы можете создать только один объект групповой политики с правилами AppLocker, где в каждом правиле вы будете указывать определенную группу пользователей, на которых будет распространяться само правило. А объект GPO можно смело привязывать ко всему домену. В принципе, это очень удобно тем, что вы не запутаетесь среди огромного количества объектов групповой политики. Например, укажем, что правило должно распространяться на пользователей из группы безопасности«Маркетологи», как видно на следующей иллюстрации. В эту группу входит учетная запись пользователя Сергея Окунева, для которой будет выполняться проверка выполненных действий. После того как вы укажите требуемую группу, можно нажимать на кнопку «Далее»;
Рис. 1. Страница «Разрешения» мастера создания правила AppLocker - Так как нам следует создать правило на основании издателя, на странице«Условия» мастера следует установить переключатель на опцию «Издатель», а затем нажать на кнопку «Далее»;
- Один из самых интересных моментов во время создания правила AppLocker – это именно страница мастера «Издатель», где мы можем указать гибкие настройки, применяемые к приложению. Прежде всего, необходимо выбрать приложение. На этом этапе, во время создания правила, может возникнуть следующий вопрос. Создавая правило AppLocker, я нахожусь на серверной операционной системе Windows Server 2008 R2, которая 64-разрядная. Здесь Adobe Reader установлен в папку «Program Files (x86)», так как приложение 32-разрядное. Выбрав этот файл, у меня в диалоговом окне мастера будет указано, что файл ACRORD32.EXE находится в папке для 32-разрядных приложений 64-разрядной операционной системы. Вопрос может быть таким: повлияет ли это как-то на клиента, у которого 32-разрядная системаТак как данное правило создается именно для издателя, приложение можно смело обновлять или же изменять его расположение, так как AppLocker в данном случае интересует исключительно издатель, игнорируя физическое расположение самого файла.Помимо выбора приложения, обязательно следует разобраться со всеми элементами, которые доступны для редактирования значения этой страницы мастера.
- Любой издатель. Действия выполняются для указанного вами файла, независимо от того, каким издателем он подписан;
- Издатель. При помощи этого управляющего элемента вы можете указать, что под область действия правила должны попадать все файлы, которые подписаны издателем с определенным именем;
- Название продукта. Данное текстовое поле позволяет добавить в правило помимо данных об издателе еще и наименование программного продукта;
- Имя файла. Здесь вы можете определить имя файла, на который будет распространяться правило. Помимо совпадения имени файла еще учитываются издатель и наименование программного продукта;
- Версия файла. Самый интересный элемент управления создаваемого правила. Здесь вы можете определить версию управляемого вами файла для программного продукта.
По умолчанию, вы можете выбрать любое из этих пяти возможных условий, перемещая ползунок на требуемое вам условие. Однако, если вы желаете указать точную версию программного продукта или изменить, скажем, издателя, вам нужно будет установить флажок на опции «Пользовательские значения». Другими словами, изменять значения в основных четырех текстовых полях вы можете только в том случае, если флажок будет установлен. Также вы можете указать дополнительную фильтрацию для версии файла. Доступны три следующих значения: «И выше», «И ниже», а также «В точности». Указав первое значение, вы тем самым зададите условие, когда версия файла программы должна быть или указанной в условии правила, или выше его. В противном случае правило не будет распространяться на данное приложение. Соответственно, указав значение «И ниже», правило отработает в том случае, если версия файла будет равняться указанной в условии или же ниже. Ну, а выбрав последнее значение, правило будет распространяться только на текущую версию программного продукта. Например, в данном случае выберем пользовательское значение и укажем, что правило должно распространяться на версию 10.1.0.0 и выше. После того как значение необходимых для вас полей будут изменены, нажмите на кнопку «Далее». Диалоговое окно данной страницы мастера вы можете увидеть ниже:Рис. 2. Страница «Издатель» мастера создания правила AppLocker - Предположим, что вплоть до версии 10.1.3.23 компания Adobe выпускала стабильные версии ридера и вы хотите, чтобы пользователи смогли запускать у себя на компьютере эту программу, но только при том условии, что версия файла должна быть не выше текущей, да и программа должна быть установлена только в расположении «%Programfiles%\Adobe\Reader 10.0\Reader\AcroRd32.exe». Соответственно, понадобится создать два исключения. Первое – для издателя, где будет указано, что если у пользователя будет версия исполняемого файла программы равняться 10.1.3.23или если программа будет более старая, то программа должна запускаться, а также правило пути, где будет указано, что файл должен располагаться в папке «%Programfiles%\Adobe\Reader 10.0\Reader\AcroRd32.exe». После того как все исключения будут добавлены, следует в последний раз нажать на кнопку«Далее». Текущая страница мастера изображена на следующей иллюстрации:
Рис. 3. Страница «Исключения» мастера создания правила AppLocker - На последней странице мастера вы можете задать имя и описание для текущего правила. По умолчанию вам будет предложено имя, в котором будут указаны все выбранные вами условия. Если вы хотите изменить название, это можно сделать в текстовом поле «Имя». Например, укажем понятное имя «Adobe Reader 10». Если вы добавляли какие-то хитрые условия и исключения, лучше всего, если вы их опишите в поле с комментариями, хотя в этом нет какой-либо острой необходимости. Нажимаем на кнопку «Создать». Опять же, данная страница мастера изображена ниже:
Рис. 4. Страница «Имя и описание» мастера создания правила AppLocker
Теперь следует перейти к созданию второго правила – правила для «Пути». Правило будет создаваться в том же объекте групповой политики, в котором и было создано первое правило. Следовательно, нужно выполнить следующее:
- Заново из контекстного меню выберите команду «Создать правило»;
- На первой странице мастера нажмите на кнопку «Далее»;
- 3. На странице «Разрешения», так как следует запретить возможность запуска экранной лупы, установите переключатель на опцию «Запретить». Так как в предыдущем примере правило распространялось на пользователей из группы безопасности «Маркетологи», в данном примере будет также выбрана эта группа. После того как вы укажите группу, можно смело нажимать на кнопку«Далее»;
- На странице «Условия» установите переключатель на опцию «Путь» и нажмите на кнопку «Далее»;
- На текущей странице не должно возникнуть каких-либо сложностей, так как здесь есть только лишь текстовое поле с возможностью выбора файлов, на которые будет распространяться правило. Следовательно, нужно выбрать искомый файл, доступ к которому будет заблокирован, и нажать на кнопку«Далее», как показано на следующей иллюстрации:
Рис. 5. Страница «Путь» мастера создания правила AppLocker - 6. Так как блокируется доступ к стандартному приложению операционной системы, ни о каких исключениях не может быть никакой речи. Соответственно, на странице «Исключения» мастера нажмите на кнопку «Далее»;
- 7. Последняя страница мастера для текущего условия ничем не отличается от страницы «Имя» предыдущего примера. Здесь нужно просто указать имя правила, например, «Блокирование экранной лупы для маркетинга» и нажать на кнопку «Создать».
Ну и под конец, будет создано последнее, третье правило, при помощи которого будет разрешен запуск утилиты Марка Руссиновича «ZoomIt», согласно хешу. Для этого нужно выполнить следующие действия:
- В очередной раз выберите команду «Создать правило» и на первой странице мастера нажмите на кнопку «Далее»;
- На странице «Разрешения», теперь установите переключатель на опцию«Разрешить», так как эту программу должны запускать маркетологи. Также укажем группу «Маркетологи», а затем можно нажимать на кнопку «Далее»;
- На странице «Условия» установите переключатель на опцию «Хешируемый файл» и нажмите на кнопку «Далее»;
- На странице «Хеш файла» при помощи соответствующих управляющих элементов следует выбрать сам хешируемый файл. Хеш будет высчитан и ограничения будут распространяться только на файлы с хешем, который совпадает с указанным в правиле. После выбора файла, следует нажать на кнопку «Далее». Данная страница мастера изображена на следующей иллюстрации:
Рис. 6. Страница «Хеш файла» мастера создания правила AppLocker - 5. И последняя вкладка мастера, на которой, опять же, можно переименовать созданное правило и создать его. Например, пусть данное правило называется«Разрешение для ZoomIt».
После того как все правила будут созданы, окно редактора управления групповыми политиками будет выглядеть следующим образом:
Рис. 7. Узел исполняемых правил после добавления последнего правила
Основной момент, на который следует обратить внимание – так это служба«Удостоверение приложения», которая обязательно должна работать на целевом компьютере. Поэтому, желательно, установить для нее автоматический запуск при помощи этого же или другого объекта групповой политики.
А теперь осталось проверить, применились ли правила AppLocker на пользователя из подразделения маркетингового анализа Сергея Окунева, который входит в группу безопасности «Маркетологи». Проверять будем в том порядке, в котором создавались сами правила.
Соответственно, прежде всего, попробуем открыть Adobe Reader. Попробуем открыть программу. Она обязательно откроется, так как было создано исключение по пути файла. Однако, если файлы программы скопировать в какое-то отличное расположение от того, которое прописано в исключении, мы обязательно нарвемся на сообщение, которое вы сейчас видите на соответствующем изображении:
Рис. 8. Сообщение, которое получает пользователь при попытке открытия Adobe Reader
Затем можно попробовать открыть экранную лупу, исполнительный файл которой расположен в папке System32. Программу открыть нельзя, так как это запрещено при помощи правила AppLocker.
И последнее, что нужно проверить – это открытие утилиты ZoomIt. Программа открывается, как из каталога Program Files, так и в том случае, если ее переместить на любой диск и в любую папку.
Заключение
Из этой статьи вы узнали о правилах AppLocker, а также о том, каким образом можно создать дополнительные пользовательские правила, предназначенные для ограничения доступа к программному обеспечению. Были рассмотрены методы создания правил, согласно трех условий, а именно, правила для издателя, которое целесообразно использовать в том случае, если само приложение подписано издателем, для пути, если вам необходимо ограничить доступ к приложению, расположенному в определенной папке, а также правила на основании хешируемого файла. В следующей статье будут рассмотрены редактирование созданного ранее правила AppLocker, автоматического создания правил, а также о том, как можно выполнить некоторые дополнительные действия.
Разрешаете ли вы своим пользователям запускать, устанавливать и обновлять приложения, с которыми они работают? А ведь именно пользователи, сами того не желая, могут послужить основной причиной заражения как своего рабочего компьютера, так и целого парка компьютеров вашей организации. Пользователь может из дома принести на зараженном USB-накопителе какой-то новый гламурный календарь и установить или же в просторах Интернета загрузить какое-то программное обеспечение даже вроде бы с доверенного источника. Примером тому может послужить статья «Как элементарно обходятся антивирусы и их «поведенческие анализаторы»», которая в начале января была опубликована на Хабре. Ну, или, в крайнем случае, пользователь может получить письмо от недоброжелателя, который предложит установить, скажем, отличный твиккер, позволяющий в 100500 раз увеличить производительность системы. Но программа, которую пользователь загрузит по указанной в письме ссылке, будет содержать вирус, тем самым, самостоятельно предоставив хакеру доступ к своему компьютеру.
Соответственно, может возникнуть следующий вопрос. Должны ли ваши пользователи иметь на выполнение таких действий безграничный контроль или же вы хотите на основании каких-то специфических правил настроить для своих пользователей ограничения на выполнение указанных выше операций? Какими бы трастовыми не были отношения между сотрудниками вашей компании, все равно, следует настраивать определенные ограничения, благодаря которым ваши компьютеры будут в безопасности. Если же в вашей организации еще не развернуты правила подобного характера, а также все пользователи работают на компьютерах под управлением операционной системы Windows 7, то технология, описанная в данном цикле статей, предназначена именно для вас!
Еще, не так давно, как только операционная система Windows 7 начала выходить на прилавки, уже многие знали о том, что в семерке появилась такая технология, как AppLocker, которую моментально многие начали называть инновационным прорывом, предназначенным для повышения безопасности, предотвращая запуск нежелательных приложений. В принципе, данная статья является первой частью цикла статей по данной технологии. В статьях, посвященных технологии AppLocker, я расскажу о том, что же собой представляет технология AppLocker, о создании и управлении правилами и политиками AppLocker, об аудите развертывания политик, а самое главное, о недостатках, по сравнению с, как сейчас считается, устаревшей технологией политики ограниченного использования программ (Software Restriction Policies, SRP).
Изначально я рассчитываю, что данный цикл будет содержать пять статей, посвященных данной технологии, а именно:
В этой, вводной статье, вы узнаете о том, что такое AppLocker, о его преимуществах и недостатках по сравнению с политиками SRP, также о создании правил, используемых по умолчанию в AppLocker.
Во второй статье будут рассмотрены различные сценарии использования правил данной технологии.
Третья статья будет посвящена политикам AppLocker.
В четвертой статье текущего цикла будет рассмотрен режим аудита, а также события, связанные с AppLocker.
И в заключительной, пятой статье, посвященной работе с AppLocker я расскажу о возможных ошибках и их траблшутинге AppLocker, а также о возможных проблемах, с которыми вы сможете столкнуться.
Для того чтобы вы могли сравнить функциональные возможности данной технологии с политиками ограниченного использования программ, я постараюсь публиковать статьи по обеим технологиям так, чтобы вы могли параллельно узнавать об обеих технологиях, позволяющих управлять работой с приложениями.
Что такое AppLocker, а также его преимущества и недостатки по сравнению с технологией SRP
Прежде всего, думаю, стоит рассказать, что же собой представляет технология AppLocker. Как уже было отмечено во введении данной статьи, AppLocker является компонентом операционных систем Windows 7 и Windows Server 2008 R2, отвечающим за ограничение использования программного обеспечения пользователям или группам пользователей на основании определенных правил. При помощи данной технологии, администраторам предоставляется возможность создавать правила, нацеленные на исполняемые файлы (к таким файлам относятся файлы с расширениями *.exe, а также *.com), пакеты установщика Windows (а именно, файлы установщика Windows *.msi и файлы параметров установки *.msp). Также, кроме указанных выше файлов первой категории, у вас еще есть возможность настраивать правила для файлов заставки*.scr. Помимо указанных выше файлов, также можно создавать правила для таких сценариев, как пакетные файлы *.bat, сценарии командной строки *.cmd, сценарии PowerShell *.ps1, файлы VBScript *.vbs, а также сценарии JavaScript (файлы с расширением *.js). И последнее, для чего можно создавать правила AppLocker – это динамические библиотеки *.dll и файлы *.ocx, которые создаются в четвертой, скрытой по умолчанию категории. Однако, несмотря на такую красивую разбивку по расширениям файлов, AppLocker не позволяет для кастомизации правил добавлять какие-то специфические расширения файлов, что можно было делать при помощи политик ограниченного использования программ.
В принципе, данную технологию невозможно назвать революционным прорывом в осуществлении управления запуска и установки программного обеспечения пользователями, так как еще задолго до появления операционных систем Windows 7 и Windows Server 2008 R2 в своей производственной среде администраторы уже давно создавали правила на ограничение использования программного обеспечения при помощи одноименного компонента, который, кстати, также был упомянут во вводной части этой статьи. Кстати, даже сейчас во многих источниках можно найти такое кодовое название AppLocler, как SRP v2.0, так как команда разработки данной технологии, скорее всего, предполагала, что именно технология AppLocker будет считаться логическим продолжением политик ограниченного использования программ.
У внимательного читателя, скорее всего, еще начиная со введения этой статьи возник такой вопрос: вот я уже много раз написал о том, что такие технологии как AppLocker и политики ограничения использования программ очень похожи, но какая же между ними разница и чем одна технология может быть лучше другой? Несмотря на то, что технология AppLocker достаточно новая и по сравнению с таким старожилом как политики ограничения использования программ основной целью перед пиар-группой Microsoft, стояло преподнесение новой технологии как существенно усовершенствованной перед SRP, в большинстве источников, возможности данной технологии существенно приукрашены. В принципе, наиболее подробный сравнительный анализ возможностей обоих технологий провел Вадимс Поданс, о чем и была написана, в свое время, статья у него на блоге.
Соответственно, можно выделить следующие общие моменты для обеих технологий: во-первых, при помощи обеих технологий вы можете создавать как разрешающие, так и запрещающие правила. Во-вторых, используя как AppLocker, так и SRP вы можете настраивать правила, использующие условия хешей и пути. Ну и в-третьих, обе технологии позволяют вести аудит политики, а также предоставляют возможность просмотра сообщений об ошибках.
А теперь об отличиях. Прежде всего, при помощи ограниченного использования программ вы можете создавать правила для сертификатов, а также для зоны сети, чего нет в AppLocker. Помимо этого, политики ограниченного использования программ позволяют выполнять особые действия, а также использовать системные переменные окружения и пути, указанные в системном реестре Windows. Также как, было отмечено немного ранее, в политиках ограниченного использования программ можно было управлять расширениями файлов, на которые должны применяться политики ограничения, что было по какой-то причине исключено из возможностей AppLocker.
Однако, при помощи последней технологии, вы можете создавать правила, использующие условие издателя, что позволяет проверять приложении, на основании его цифровой подписи. Еще, так как AppLocker не поддерживает системные переменные окружения, при помощи функциональных возможностей этой технологии вы можете создавать собственные переменные окружения. Ну, и вдобавок, AppLocker предоставляет возможности импорта и экспорта своих политик, а также объединения нескольких созданных ранее политик AppLocker в одну политику. И последнее, что следует отметить из преимуществ AppLocker, так это интуитивно понятный мастер создания нового правила, в отличие от единственного диалогового окна, при помощи которого настраивались правила в SRP, а любителям PowerShell безо всякого сомнения понравится то, что теперь появилась возможность управлять политиками AppLocker средствами этой технологии.
Ну и, думаю, следует еще обратить внимание на то, что в то время, как политики ограниченного использования программ применялись сразу ко всем пользователям, при помощи AppLocker можно назначать политики для определенных пользователей или же групп пользователей. Но нужно помнить, что одно правило AppLocker вы можете применить только к одной группе. Однако, несмотря на какие-то незначительные плюсы или минусы любой из этих технологий, скорее всего, основным недостатком AppLocker является то, что данный компонент операционной системы включен только лишь в редакции Enterprise и Ultimate операционной системы Windows 7 (в случае с Windows Server 2008 R2, естественно, AppLocker присутствует во всех редакциях). И именно из-за этого нюанса многие компании могут моментально отказаться от использования AppLocker, так как их парк компьютеров может все еще содержать компьютеры, работающие под операционной системой Windows XP.
Где находится AppLocker и правила по умолчанию
Прежде чем переходить к созданию правил и политик AppLocker, думаю, следует разобраться, где же можно найти данное средство. Как уже было сказано, компонент AppLocker устанавливается в любой редакции операционной системы Windows Server 2008 R2, а также при установке Windows 7 Enterprise и Ultimate.
Чтобы открыть AppLocker на локальной машине, которая входит в рабочую группу или вообще не подключена к сети, вы можете открыть оснастку «Локальная политика безопасности» и в дереве оснастки развернуть узел «Политики управления приложениями».
В свою очередь, в доменном окружении, AppLocker следует применять, используя функциональные возможности групповой политики. Следовательно, на контроллере домена откройте оснастку «Управление групповой политикой», после этого разверните узел с наименованием вашего леса, узел «Домены», затем узел с названием вашего домена. Выберите контейнер «Объекты групповой политики» и в данном контейнере создайте новый объект групповой политики, скажем, «Правила AppLocker для пользователей», нажмите на нем правой кнопкой мыши и для открытия оснастки «Редактор управления групповыми политиками» из контекстного меню выберите команду «Изменить». В уже отобразившейся оснастке, в дереве оснастки разверните узел Конфигурация компьютера\Политики\Конфигурация Windows\Параметры безопасности\Политики управления приложениями и перейдите к узлу «AppLocker».
Когда вы настраиваете объекты групповой политики с расширением клиентской стороны AppLocker, обязательно обратите внимание на то, что на клиентских компьютерах, на которые должны распространяться правила, обязательно должна быть запущена служба «Удостоверения приложения». Например, вы можете настроить эту службу при помощи узла «Службы» параметров безопасности групповой политики или же воспользоваться функциональными возможностями одноименного элемента предпочтения групповой политики.
Также как и в случае с политиками ограниченного использования программ, для AppLocker вы можете создать правила по умолчанию. Для того чтобы создать новое правило, следует для редактируемого вами объекта групповой политики, в области сведений каждого вложенного узла AppLocker, называемых коллекциями правил, вызвать контекстное меню и выбрать команду «Создать правила по умолчанию». Как только данная опция будет выбрана, сразу для целевого узла будут созданы три правила, а именно:
- Правило, разрешающее запускать все файлы, расположенные в папке Windows;
- Правило, разрешающее запускать все файлы, расположенные в папках «Program Files» (в том случае, если на целевом компьютере установлены 64-разрядная операционная система, данное правило будет применяться как для файлов из папки Program Files, так и для файлов, которые находятся в папке «Program Files (x86)»);
- А также правило, позволяющее запускать пользователям, которые являются локальными администраторами любые файлы, что, в принципе, делать крайне нежелательно.
Другими словами, после создания правил по умолчанию в каждом узле AppLocker, следует удалить правило, разрешающее локальным администраторам запускать любые приложения и, соответственно, в каждой коллекции правил оставить лишь по два правила, созданных по умолчанию. Процесс создания правил по умолчанию для исполняемых файлов изображен на следующей иллюстрации:
Рис. 1. Создание правил по умолчанию для исполняемых файлов
После того как правила по умолчанию будут созданы, правила AppLocker начнут применяться на пользователей моментально в том случае, если данное средство настраивается на локальном компьютере при помощи указанной выше оснастки или же через 90-120 минут по умолчанию, если правила AppLocker настраивались в доменном окружении при помощи функциональных возможностей групповой политики.
Какие у AppLocker существуют правила?
В случае использования такой технологии для ограничения доступа к программному обеспечению, как AppLocker, вы можете создавать правила на основании трех различных условий. Это правила для издателя, пути или хешируемых файлов. Давайте рассмотрим каждое условие немного подробнее.
В том случае, если вы выберите для своего правила такое условие как «Издатель», то согласно указанным вами критериям будет заблокирован или разрешен доступ к приложению, основываясь на его цифровой подписи, а также на каких-либо расширенных атрибутах. К расширенным атрибутам относятся такие показатели как наименование самого продукта, имя запускаемого файла, данные о компании-разработчике выбранного вами программного продукта, а также версия самого продукта. Правило можно использовать как для определенной версии программного продукта, так и для всех программ, выпускаемых определённой компанией. Цифровая подпись, в свою очередь, включает в себя сведения о самом издателе, то есть, опять же, о компании, которая разработала этот программный продукт.
Если же выбрать условие «Издатель», а у приложения не будет цифровой подписи, в этом случае, вы просто не сможете использовать это условие.
Следующее условие – это «Путь». Тут все очень просто, так как, используя текущее условие, вы можете определять действия для приложения, согласно его физическому расположению на локальном компьютере или в сети. Вот здесь нужно обязательно обратить внимание на переменные окружения, которые используются в правилах пути технологии AppLocker. Данные следующей таблицы, в которой вы можете сравнить дефолтные переменные окружения с переменными окружениями, которые следует использовать в случае с правилами пути AppLocker, помогут вам эффективнее их создавать:
Расположение | Переменная AppLocker | Переменная Windows |
Windows | %WINDIR% | %SystemRoot% |
System32 | %SYSTEM32% | %SystemDirectory% |
Каталог установки Windows | %OSDRIVE% | %SystemDrive% |
Program Files | %PROGRAMFILES% | %ProgramFiles% и %ProgramFiles(x86)% |
Съемный носитель | %REMOVABLE% | |
Съемное запоминающее устройство | %HOT% |
Помните, что здесь переменные среды для компактов и для USB-накопителей отличаются. Это очень важно при планировании.
Последнее условие – это условие для хешируемого файла. В этом случае, вам нужно будет просто выбрать исполнительный файл какого-то приложения, а для него, при создании самого правила, будет вычислен сам хеш. Думаю, абсолютно каждый знает, что хеш представляет собой серию байтов фиксированной длины, однозначно идентифицирующую программу или файл. Они рассчитывается путем алгоритма хеширования. После того как такое правило AppLocker будет создано, в случае, если пользователь попробует открыть программу, хеш программы обязательно будет сравниваться с существующим правилом для хеша, и, естественно, будет выполнено какое-то действие. Хеш программы всегда одинаковый, независимо от расположения самой программы. Ну а, само собой, при изменении программы хеш также меняется и, следовательно, не соответствует хешу в правиле для хеша для политик ограниченного использования программ. Поэтому, если программа обновилась, вам необходимо будет создать новое правило или изменять текущее.
Теперь, перед тем как перейти к созданию правил, следует разобраться с разрешениями AppLocker, то есть, непосредственно с самими поведениями правил. Поведений, как вы, скорее всего, догадались, совсем немного и тут сложно что-то напутать. Это:
- Разрешающие правила. В этом случае, вы определяете файл, который вы разрешаете пользователям или группе пользователей запускать на своих компьютерах.
- Запрещающие правила. В свою очередь, используя данное поведение, вы запретите выполняться файлам на пользовательских компьютерах, согласно указанным вами условиям.
Вот так, на самом деле, все просто. Однако, есть такое замечательное выражение, как «правила создаются для того, чтобы их нарушать». AppLocker не является исключением из этого убеждения, то есть, вы можете разрешить пользователям игнорировать составленные вами правила при определенных условиях. Это можно сделать при помощи исключений из создаваемых вами правил, причем, исключения можно создавать для любого условия, независимо от того, какое вы выбирали при создании самого правила. Другими словами, вы можете создать разрешающее правило согласно определенному издателю, однако, заблокировать к нему доступ согласно определенному расположению файла. И это можно сделать, используя лишь одно правило. Вот в этом огромный плюс данной технологии и тут просто невозможно не согласиться.
Создание правил для издателя, пути и хеша
Чтобы не плодить множество объектов групповой политики, в данном примере будет использоваться тот же объект групповой политики, о котором шла речь в предыдущей статье данного цикла, а именно, объект групповой политики «Правила AppLocker для пользователей». В этом объекте групповой политики будут созданы три правила, из которых вы узнаете о том, каким образом можно создать свое первое правило с условием «Издатель» для такого приложения как Adobe Reader, которое установлено на пользовательском компьютере, запрещен доступ к стандартному приложению «Экранная лупа» при помощи правила «Пути», а также разрешен доступ для использования определенной версии программы ZoomIt, согласно ее хешу. Соответственно, чтобы реализовать ограничение, согласно поставленным условиям, требуется выполнить следующие действия:
Первое правило, которое будет создаваться – это правило с условием «Издатель». Следовательно, нужно открыть оснастку «Управление групповой политикой», выбрать требуемый объект групповой политики и открыть редактор управления групповыми политиками. В отобразившемся окне редактора нужно перейти к необходимому узлу, а именно к узлу Конфигурация компьютера\Политики\Конфигурация Windows\Параметры безопасности\Политики управления приложениями\AppLocker. И так как все три правила, которые будут создаваться, будут распространяться исключительно на исполнительные файлы, следует выбрать узел «Исполняемые правила». Итак, теперь, после того как требуемый узел будет выбран, выполним следующие действия:
- В дереве оснастки или в области сведений вызовите контекстное меню и выберите команду «Создать правило»;
- Перед вами отобразится диалоговое окно мастера создания исполняемых правил AppLocker. Здесь, на первой странице мастера вам следует ознакомиться с предоставленной информацией, а затем нажать на кнопку«Далее»;
- На странице «Разрешения» вам следует определиться с поведением правила. Так как в данном случае будут блокироваться большинство версий ридера, следует установить переключатель на опцию «Запретить». Также, невозможно не заметить и того, что здесь вы можете выбрать определенного пользователя или группу пользователей, на которых будет распространяться данное правило. Другими словами, вы можете создать только один объект групповой политики с правилами AppLocker, где в каждом правиле вы будете указывать определенную группу пользователей, на которых будет распространяться само правило. А объект GPO можно смело привязывать ко всему домену. В принципе, это очень удобно тем, что вы не запутаетесь среди огромного количества объектов групповой политики. Например, укажем, что правило должно распространяться на пользователей из группы безопасности«Маркетологи», как видно на следующей иллюстрации. В эту группу входит учетная запись пользователя Сергея Окунева, для которой будет выполняться проверка выполненных действий. После того как вы укажите требуемую группу, можно нажимать на кнопку «Далее»;
Рис. 1. Страница «Разрешения» мастера создания правила AppLocker - Так как нам следует создать правило на основании издателя, на странице«Условия» мастера следует установить переключатель на опцию «Издатель», а затем нажать на кнопку «Далее»;
- Один из самых интересных моментов во время создания правила AppLocker – это именно страница мастера «Издатель», где мы можем указать гибкие настройки, применяемые к приложению. Прежде всего, необходимо выбрать приложение. На этом этапе, во время создания правила, может возникнуть следующий вопрос. Создавая правило AppLocker, я нахожусь на серверной операционной системе Windows Server 2008 R2, которая 64-разрядная. Здесь Adobe Reader установлен в папку «Program Files (x86)», так как приложение 32-разрядное. Выбрав этот файл, у меня в диалоговом окне мастера будет указано, что файл ACRORD32.EXE находится в папке для 32-разрядных приложений 64-разрядной операционной системы. Вопрос может быть таким: повлияет ли это как-то на клиента, у которого 32-разрядная системаТак как данное правило создается именно для издателя, приложение можно смело обновлять или же изменять его расположение, так как AppLocker в данном случае интересует исключительно издатель, игнорируя физическое расположение самого файла.Помимо выбора приложения, обязательно следует разобраться со всеми элементами, которые доступны для редактирования значения этой страницы мастера.
- Любой издатель. Действия выполняются для указанного вами файла, независимо от того, каким издателем он подписан;
- Издатель. При помощи этого управляющего элемента вы можете указать, что под область действия правила должны попадать все файлы, которые подписаны издателем с определенным именем;
- Название продукта. Данное текстовое поле позволяет добавить в правило помимо данных об издателе еще и наименование программного продукта;
- Имя файла. Здесь вы можете определить имя файла, на который будет распространяться правило. Помимо совпадения имени файла еще учитываются издатель и наименование программного продукта;
- Версия файла. Самый интересный элемент управления создаваемого правила. Здесь вы можете определить версию управляемого вами файла для программного продукта.
По умолчанию, вы можете выбрать любое из этих пяти возможных условий, перемещая ползунок на требуемое вам условие. Однако, если вы желаете указать точную версию программного продукта или изменить, скажем, издателя, вам нужно будет установить флажок на опции «Пользовательские значения». Другими словами, изменять значения в основных четырех текстовых полях вы можете только в том случае, если флажок будет установлен. Также вы можете указать дополнительную фильтрацию для версии файла. Доступны три следующих значения: «И выше», «И ниже», а также «В точности». Указав первое значение, вы тем самым зададите условие, когда версия файла программы должна быть или указанной в условии правила, или выше его. В противном случае правило не будет распространяться на данное приложение. Соответственно, указав значение «И ниже», правило отработает в том случае, если версия файла будет равняться указанной в условии или же ниже. Ну, а выбрав последнее значение, правило будет распространяться только на текущую версию программного продукта. Например, в данном случае выберем пользовательское значение и укажем, что правило должно распространяться на версию 10.1.0.0 и выше. После того как значение необходимых для вас полей будут изменены, нажмите на кнопку «Далее». Диалоговое окно данной страницы мастера вы можете увидеть ниже:Рис. 2. Страница «Издатель» мастера создания правила AppLocker - Предположим, что вплоть до версии 10.1.3.23 компания Adobe выпускала стабильные версии ридера и вы хотите, чтобы пользователи смогли запускать у себя на компьютере эту программу, но только при том условии, что версия файла должна быть не выше текущей, да и программа должна быть установлена только в расположении «%Programfiles%\Adobe\Reader 10.0\Reader\AcroRd32.exe». Соответственно, понадобится создать два исключения. Первое – для издателя, где будет указано, что если у пользователя будет версия исполняемого файла программы равняться 10.1.3.23или если программа будет более старая, то программа должна запускаться, а также правило пути, где будет указано, что файл должен располагаться в папке «%Programfiles%\Adobe\Reader 10.0\Reader\AcroRd32.exe». После того как все исключения будут добавлены, следует в последний раз нажать на кнопку«Далее». Текущая страница мастера изображена на следующей иллюстрации:
Рис. 3. Страница «Исключения» мастера создания правила AppLocker - На последней странице мастера вы можете задать имя и описание для текущего правила. По умолчанию вам будет предложено имя, в котором будут указаны все выбранные вами условия. Если вы хотите изменить название, это можно сделать в текстовом поле «Имя». Например, укажем понятное имя «Adobe Reader 10». Если вы добавляли какие-то хитрые условия и исключения, лучше всего, если вы их опишите в поле с комментариями, хотя в этом нет какой-либо острой необходимости. Нажимаем на кнопку «Создать». Опять же, данная страница мастера изображена ниже:
Рис. 4. Страница «Имя и описание» мастера создания правила AppLocker
Теперь следует перейти к созданию второго правила – правила для «Пути». Правило будет создаваться в том же объекте групповой политики, в котором и было создано первое правило. Следовательно, нужно выполнить следующее:
- Заново из контекстного меню выберите команду «Создать правило»;
- На первой странице мастера нажмите на кнопку «Далее»;
- 3. На странице «Разрешения», так как следует запретить возможность запуска экранной лупы, установите переключатель на опцию «Запретить». Так как в предыдущем примере правило распространялось на пользователей из группы безопасности «Маркетологи», в данном примере будет также выбрана эта группа. После того как вы укажите группу, можно смело нажимать на кнопку«Далее»;
- На странице «Условия» установите переключатель на опцию «Путь» и нажмите на кнопку «Далее»;
- На текущей странице не должно возникнуть каких-либо сложностей, так как здесь есть только лишь текстовое поле с возможностью выбора файлов, на которые будет распространяться правило. Следовательно, нужно выбрать искомый файл, доступ к которому будет заблокирован, и нажать на кнопку«Далее», как показано на следующей иллюстрации:
Рис. 5. Страница «Путь» мастера создания правила AppLocker - 6. Так как блокируется доступ к стандартному приложению операционной системы, ни о каких исключениях не может быть никакой речи. Соответственно, на странице «Исключения» мастера нажмите на кнопку «Далее»;
- 7. Последняя страница мастера для текущего условия ничем не отличается от страницы «Имя» предыдущего примера. Здесь нужно просто указать имя правила, например, «Блокирование экранной лупы для маркетинга» и нажать на кнопку «Создать».
Ну и под конец, будет создано последнее, третье правило, при помощи которого будет разрешен запуск утилиты Марка Руссиновича «ZoomIt», согласно хешу. Для этого нужно выполнить следующие действия:
- В очередной раз выберите команду «Создать правило» и на первой странице мастера нажмите на кнопку «Далее»;
- На странице «Разрешения», теперь установите переключатель на опцию«Разрешить», так как эту программу должны запускать маркетологи. Также укажем группу «Маркетологи», а затем можно нажимать на кнопку «Далее»;
- На странице «Условия» установите переключатель на опцию «Хешируемый файл» и нажмите на кнопку «Далее»;
- На странице «Хеш файла» при помощи соответствующих управляющих элементов следует выбрать сам хешируемый файл. Хеш будет высчитан и ограничения будут распространяться только на файлы с хешем, который совпадает с указанным в правиле. После выбора файла, следует нажать на кнопку «Далее». Данная страница мастера изображена на следующей иллюстрации:
Рис. 6. Страница «Хеш файла» мастера создания правила AppLocker - 5. И последняя вкладка мастера, на которой, опять же, можно переименовать созданное правило и создать его. Например, пусть данное правило называется«Разрешение для ZoomIt».
После того как все правила будут созданы, окно редактора управления групповыми политиками будет выглядеть следующим образом:
Рис. 7. Узел исполняемых правил после добавления последнего правила
Основной момент, на который следует обратить внимание – так это служба«Удостоверение приложения», которая обязательно должна работать на целевом компьютере. Поэтому, желательно, установить для нее автоматический запуск при помощи этого же или другого объекта групповой политики.
А теперь осталось проверить, применились ли правила AppLocker на пользователя из подразделения маркетингового анализа Сергея Окунева, который входит в группу безопасности «Маркетологи». Проверять будем в том порядке, в котором создавались сами правила.
Соответственно, прежде всего, попробуем открыть Adobe Reader. Попробуем открыть программу. Она обязательно откроется, так как было создано исключение по пути файла. Однако, если файлы программы скопировать в какое-то отличное расположение от того, которое прописано в исключении, мы обязательно нарвемся на сообщение, которое вы сейчас видите на соответствующем изображении:
Рис. 8. Сообщение, которое получает пользователь при попытке открытия Adobe Reader
Затем можно попробовать открыть экранную лупу, исполнительный файл которой расположен в папке System32. Программу открыть нельзя, так как это запрещено при помощи правила AppLocker.
И последнее, что нужно проверить – это открытие утилиты ZoomIt. Программа открывается, как из каталога Program Files, так и в том случае, если ее переместить на любой диск и в любую папку.
Заключение
Из этой статьи вы узнали о правилах AppLocker, а также о том, каким образом можно создать дополнительные пользовательские правила, предназначенные для ограничения доступа к программному обеспечению. Были рассмотрены методы создания правил, согласно трех условий, а именно, правила для издателя, которое целесообразно использовать в том случае, если само приложение подписано издателем, для пути, если вам необходимо ограничить доступ к приложению, расположенному в определенной папке, а также правила на основании хешируемого файла. В следующей статье будут рассмотрены редактирование созданного ранее правила AppLocker, автоматического создания правил, а также о том, как можно выполнить некоторые дополнительные действия.
0 коммент.:
Отправить комментарий