Geum.ru

Руководство по безопасности Windows® 7

Вид материалаРуководство

Содержание


Технология AppLocker
Оценка рисков
Снижение риска
Анализ мер по снижению риска
Процесс снижения рисков
Использование групповой политики для снижения рисков, связанных с технологий AppLocker
Computer Configuration\Windows Settings\Security Settings\Application Control Policies
Политики ограниченного использования программ
Дополнительные сведения
Техническая документация технологии AppLocker для Windows 7 и Windows Server 2008 R2
Подобный материал:
1   ...   9   10   11   12   13   14   15   16   ...   21

Технология AppLocker


Windows 7 включает в себя обновленную и улучшенную версию политик ограниченного использования программ — технологию AppLocker. Она проще в использовании, а ее новые возможности и расширяемость снижают затраты на управление и позволяют контролировать доступ к таким файлам, как сценарии, файлы установщика Windows, исполняемые файлы и файлы DLL. AppLocker настраивается в рамках домена с помощью групповой политики или на локальном компьютере в оснастке локальных политик безопасности.

Оценка рисков


Когда пользователь устанавливает неодобренное приложение на рабочий компьютер, он подвергает его определенным рискам. Как минимум, это изменяет контактную зону компьютера и создает вероятность запуска дополнительных служб или открытия портов брандмауэра. Но даже если ничего этого не происходит, все равно теперь на компьютере на одно приложение больше, и оно может сыграть на руку злоумышленнику, который обнаружит уязвимость, внесенную этим приложением.

Наконец, есть вероятность того, что приложение по сути своей вредоносно, и было установлено либо по ошибке, либо с умыслом провести атаку на другие компьютеры, как только этот компьютер подключится к корпоративной сети.

Снижение риска


Технология AppLocker позволяет задать набор политик контроля использования приложений, которые существенно сокращают риск подвергнуться атаке со стороны программ, установленных на компьютерах без разрешения. В этом помогают следующие возможности данной технологии.
  • Определение правил, основанных на атрибутах файлов, получаемых из цифровых подписей, как то издатель, название продукта, имя файла и версия. Например, можно создать правило, проверяющее имя издателя, которое остается неизменным при выходе обновлений, а можно — правила, зависящие от конкретной версии файла.
  • Назначение правил группам или отдельным пользователям.
  • Возможность создавать исключения. Например, можно создать правило, разрешающее запуск любых процессов Windows, кроме редактора реестра (Regedit.exe).
  • Режим «Только аудит», позволяющий развернуть политику и понять, что произойдет, когда запреты вступят в силу.
  • Импорт и экспорт правил. Импортировать и экспортировать можно только политику целиком. Если политику экспортировать, будут экспортированы все правила из всех наборов, в том числе параметры введения политики в силу. Если импортировать политику, существующая политика будет полностью заменена.
  • Простота создания и управления правилами AppLocker с помощью командлетов AppLocker оболочки PowerShell.

Анализ мер по снижению риска


При рассмотрении вопроса об использовании этого средства на предприятии стоит учитывать следующие соображения.
  • Необходимо тщательно протестировать все политики контроля приложений до того, как развертывать их. Ошибки в проектировании или реализации могут серьезно сказаться на продуктивности труда.
  • Отведите время на оценку модели использования приложений на предприятии с помощью режима «только аудит». Это позволит составить полный список необходимых программ, прежде чем вводить ограничения.
  • Рассмотрите возможность поэтапного внедрения, начиная с пользователей, создающих наибольшие риски в связи с установками приложений, или компьютеров, содержащих закрытую информацию.

Процесс снижения рисков


Технология AppLocker представлена в узле «Политики управления приложениями» редактора групповой политики. Политики ограниченного использования программ в Windows 7 также поддерживаются, как и раньше.

Примечание. Технология AppLocker недоступна в потребительских редакциях Windows 7.
Использование групповой политики для снижения рисков, связанных с технологий AppLocker

Доступные в этой категории параметры находятся в следующем расположении редактора объектов GPO:

Computer Configuration\Windows Settings\Security Settings\Application Control Policies (Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Политики управления приложениями)

В этом руководстве нет рекомендаций блокировать те или иные приложения на клиентских компьютерах, поскольку это, со всей очевидностью, определяется конкретными условиями работы. Подробнее о планировании и развертывании политик AppLocker см. ссылка скрыта.

Политики ограниченного использования программ


Политики ограниченного использования программ, входящие в состав ОС Windows Vista, Windows XP, Windows Server 2003 и Windows Server 2008, доступны и поддерживаются и в Windows 7. Их по-прежнему можно использовать для обнаружения программ и управления возможностью запускать их на локальных компьютерах. Однако, поскольку технология AppLocker из состава Windows 7 значительно удобнее в использовании, рекомендуется заменить на нее эти политики. По этой причине в настоящем руководстве они не рассматриваются. Подробнее о проектировании и внедрении этих политик см. статью «ссылка скрыта» на веб-сайте TechNet.

Дополнительные сведения


Подробнее об улучшениях в компонентах обеспечения безопасности Windows 7 можно узнать из следующих источников на Microsoft.com.