นโยบายการ จำกัด Applocker เทียบกับซอฟต์แวร์

เป้าหมายคือเพื่อป้องกันไม่ให้ผู้ใช้เรียกใช้โปรแกรมที่ไม่พึงประสงค์บนเซิร์ฟเวอร์เทอร์มินัล

ฉันได้อ่านบทความมากมายจาก Microsoft และคนอื่น ๆ ที่บอกว่าคุณสมบัติ Applocker ใหม่ดีกว่านโยบายการ จำกัด ซอฟต์แวร์เก่า 100% และแนะนำให้ใช้แทนรุ่นหลัง

ฉันไม่แน่ใจว่าจะเข้าใจถึงข้อดีที่แท้จริงของ Applocker นอกเหนือจากการใช้งานโหมดเคอร์เนล ฟังก์ชันส่วนใหญ่สามารถทำซ้ำได้ด้วยนโยบายการ จำกัด ซอฟต์แวร์

ในขณะเดียวกันก็มีข้อเสียอย่างหนึ่งที่ทำให้มันไร้ประโยชน์: มันไม่สามารถขยายได้และคุณไม่สามารถเพิ่มนามสกุลไฟล์แบบกำหนดเองที่คุณต้องการ จำกัด ได้

Applocker over SRP มีข้อได้เปรียบอะไรบ้างและคุณอยากแนะนำอะไรให้ควบคุมซอฟต์แวร์?

นโยบายการ จำกัด ซอฟต์แวร์ถูกปฏิเสธโดย Microsoft ( ไม่สนับสนุนเทคโนโลยีอย่างมีประสิทธิภาพโดยอ้างว่า SRP ) เนื่องจาก Windows 7 Enterprise / Ultimate เปิดตัว AppLocker

ในทางปฏิบัติ SRP มีข้อผิดพลาดบางอย่างสำหรับทั้งเชิงลบและเชิงบวกเท็จ AppLocker มีข้อได้เปรียบที่ยังคงมีการบำรุงรักษาและสนับสนุนอยู่ หาก AppLocker เป็นตัวเลือกก็อาจเป็นทางเลือกที่ถูกกว่า - หลังจากการพิจารณาเวลาและความเสี่ยงของคุณ อาจเป็นไปได้ว่ามีทางเลือกของบุคคลที่สามที่เหมาะสม (แต่คำถามนี้ไม่รวมตัวเลือกนั้น :)

หวังว่าคุณจะได้รับความเข้าใจที่สมบูรณ์แบบของข้อผิดพลาด SRP ก่อนที่คุณจะตกอยู่ในใด ๆ </sarcasm>ของพวกเขา บางส่วนของพวกเขาได้อธิบายไว้ในบทความการรักษาความปลอดภัยที่ดีจาก Vadims Podāns

ข้อผิดพลาดที่รู้จัก

1. โดยค่าเริ่มต้น\Windowsอนุญาตให้ดำเนินการจากโฟลเดอร์ ผู้ใช้สามารถเขียนโฟลเดอร์ย่อยบางโฟลเดอร์ได้ Applocker เหมือนกัน แต่อย่างน้อยเอกสารอย่างเป็นทางการกล่าวถึงข้อ จำกัดนี้

   แก้ไข: "เมื่อต้องการระบุโฟลเดอร์ทั้งหมดที่มีการเข้าถึงการเขียนของผู้ใช้คุณสามารถใช้ตัวอย่างเช่นยูทิลิตี้ AccessEnum จาก Sysinternals pack" (หรือAccessChk )

   เทคนิคเอกสารยังเตือนคุณกับการเอาชนะกฎเริ่มต้น แก้ไข: เอกสาร NSA ให้16 ตัวอย่างของโฟลเดอร์ไปยังบัญชีดำด้วย SRPแม้ว่ากฎเส้นทางรีจิสทรีใช้แบ็กสแลชไม่ถูกต้องดังนั้นจะต้องแก้ไข (ดูจุดบนเส้นทางของรีจิสทรีด้านล่าง) และเตือนเกี่ยวกับรายการบัญชีดำทั่วไป

   คำถามที่ชัดเจนคือเหตุผลที่เราไม่ได้ระมัดระวังยกเว้นเส้นทางของแต่ละบุคคลภายใต้\Windowsแทน (รวมถึง\Windows\*.exeมรดกSystem32\*.exeฯลฯ ) ฉันไม่ได้สังเกตคำตอบใด ๆ เลย :(

2. การใช้ตัวแปรสภาพแวดล้อมเช่น%systemroot%SRP สามารถถูกข้ามโดยผู้ใช้โดยการล้างตัวแปรสภาพแวดล้อม แก้ไข: สิ่งเหล่านี้ไม่ได้ใช้ในค่าเริ่มต้นที่แนะนำ อย่างไรก็ตามพวกเขาอาจล่อลวงให้ใช้ ปืนลูกซองนี้ได้รับการแก้ไขใน AppLocker เพราะมันไม่เคยดูตัวแปรสภาพแวดล้อม

3. ค่าเริ่มต้นที่แนะนำจะถูกละเลยเพื่ออนุญาตให้ทั้งสองแตกต่างกันที่\Program Filesใช้กับการติดตั้ง 64- บิตสมัยใหม่ เมื่อแก้ไขปัญหานี้โดยใช้ "เส้นทางรีจิสทรี" ที่ปลอดภัยยิ่งขึ้นมีรายงานการปฏิเสธที่ผิดพลาดในสถานการณ์สุ่มซึ่งอาจพลาดได้ง่ายในการทดสอบ เช่นดูความคิดเห็นเกี่ยวกับSpiceWorks SRP HOWTO แก้ไข: สิ่งนี้จะทำกับแอปพลิเคชัน 32 บิตที่อ่านพา ธ ที่เกี่ยวข้องจาก WOW6432Node ของรีจิสตรี: การแก้ไขคือการเพิ่มทั้งพา ธเหล่านี้ไปยัง SRP เพื่อให้โปรแกรมทั้งหมดทำงานบนเครื่อง 32- บิตและ 64 บิต กระบวนการโฮสต์ x64 หรือ x86:%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir (x86)% %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramW6432Dir%
4. นามสกุลเริ่มต้นละเลยที่จะห้ามสคริปต์ PowerShell (* .PS1) สนับสนุนโดย Windows (ดูวิดีโอ ) และ APPX ก็เช่นกัน ... ตามตารางเปรียบเทียบของ Microsoft SRP ไม่สามารถจัดการ "แอพแพคเกจ" ใน Windows 8 ฉันไม่รู้ว่ามันหมายถึงอะไร
5. กฎเส้นทางรีจิสทรีต้องไม่มีเครื่องหมายทับทันทีหลังจากเครื่องหมายเปอร์เซ็นต์สุดท้าย (แม้จะถูกรวมอยู่ใน Microsoft ของตัวเองในตัวกฎสำหรับ XP / Server 2003) และเครื่องหมายใด ๆ จะต้องถูกแทนที่ด้วย forwardslashes ในการสั่งซื้อสำหรับกฎในการทำงาน ( 1 / 2 / 3 )
6. จากแหล่งข้อมูลที่ฉันพบสำหรับ SRP ไม่มีใครรวบรวมรายชื่อทั้งหมดไว้ด้านบนให้คุณ และฉันเพิ่งค้นพบบทความของ Vadims Podan โดยบังเอิญ มีอะไรอีกที่ซุ่มซ่อนอยู่ที่นั่น?
7. หลายแหล่งแนะนำให้ลบไฟล์ LNK ออกจากรายการ (และทางลัดเว็บเพื่อหลีกเลี่ยงการแบ่งรายการโปรดหรือไม่!) ดูเหมือนไม่มีแหล่งที่มาที่จะพูดถึงช่องโหว่ของ LNK ... หรือรับล่ามสคริปต์เพื่อเรียกใช้ไฟล์ที่มีนามสกุลที่ไม่คาดคิดเช่นwscript /e ... หรืออาจบรรจุ shellcode มากพอในพารามิเตอร์สคริปต์แบบอินไลน์ ... ฯลฯ
8. หากคุณพยายามที่จะประนีประนอมโดยการอนุญาตให้ไฟล์ LNK บนเดสก์ท็อปและคุณปล่อยให้ผู้ใช้สามารถเข้าถึงการเขียนไปยังเดสก์ท็อปตอนนี้พวกเขาสามารถข้ามนโยบายของคุณได้อย่างสมบูรณ์ เคล็ดลับที่น่ารักจาก Vadims Podānsอีกครั้ง โปรดทราบว่าคำอธิบายนี้ใช้กับการใช้ส่วนขยายใด ๆ ในกฎพา ธ Microsoft นำเสนอหลายตัวอย่างของสิ่งนี้รวมถึง*.Extensionโดยไม่มีการเตือนล่วงหน้า ดังนั้นคุณไม่สามารถเชื่อถือเอกสารอย่างเป็นทางการและดูเหมือนว่าไม่น่าจะได้รับการแก้ไขในขณะนี้
9. [ข้อเสียของ AppLocker ที่เป็นไปได้] Vadims Podānsรายงานว่ารายการ SRP ที่ใช้ไดรฟ์ที่แมปไม่ทำงาน ต้องใช้พา ธ UNC แทน บางทีพวกเขาอาจจะนำไปใช้กับการเข้าถึงผ่านไดรฟ์ที่แมปหรือไม่ มันไม่ชัดเจน 100% AppLocker เห็นได้ชัดว่าแตกต่างกัน: มันไม่ทำงานด้วย :( เนื่องจากเหตุผลที่ไม่รู้จักพา ธ UNC ไม่ทำงานใน Applocker หมายความว่าหากแอปพลิเคชันของคุณติดตั้งในเครือข่ายคุณต้องสร้างกฎแฮชหรือกฎผู้เผยแพร่โฆษณา ."

แนวทางปฏิบัติ

การยกเว้นซอฟต์แวร์อาจเป็นการป้องกันที่ทรงพลังมาก ถ้าเราดูถูกเหยียดหยาม: นี่คือสาเหตุที่ Microsoft เลิกใช้รุ่นที่มีราคาต่ำกว่าและประดิษฐ์สิ่งที่ซับซ้อนกว่านั้น

อาจไม่มีตัวเลือกอื่นให้ใช้ (รวมโซลูชันของบุคคลที่สาม) จากนั้นแนวทางในทางปฏิบัติจะลองตั้งค่า SRP ให้ง่ายที่สุดเท่าที่จะทำได้ ถือว่ามันเป็นเลเยอร์พิเศษของการป้องกันโดยมีรูที่รู้จัก จับคู่ข้อผิดพลาดข้างต้น:

1. เริ่มจากกฎเริ่มต้น (จาก pre-Win7 era :)
2. %systemroot%ชอบที่จะไม่ใช้ตัวแปรสภาพแวดล้อมเช่น
3. เพิ่มกฎเพื่อให้แน่ใจว่าทั้งสอง\Program Files\ไดเรกทอรีได้รับอนุญาตในเครื่อง 64 บิตที่ทันสมัย พิเศษ "เส้นทางรีจิสทรี" คุณจะต้องเพิ่มสำหรับ\Program Files\บนคอมพิวเตอร์ 64 บิตและ%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir (x86)%%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramW6432Dir%
4. เมื่อเพิ่มลงในกฎเส้นทางของรีจิสทรีให้ปล่อยแบ็กสแลชใด ๆ ทันทีหลังเครื่องหมายเปอร์เซ็นต์และแทนที่แบ็กสแลช\ต่อไปด้วยฟอร์เวิลสแลช/(เช่น%HKEY_LOCAL_MACHINE\Software\CompanyName\CustomApps%App/Bin/start.exe)
5. เพิ่ม PS1 ไปยังรายการส่วนขยายที่ควบคุม
6. ทำความเข้าใจว่าการกำหนดค่า SRP ที่จัดการได้นั้นไม่ปลอดภัยสำหรับผู้ใช้ที่ตั้งใจจะกำจัดมัน เป้าหมายคือเพื่อช่วยเหลือ / สนับสนุนให้ผู้ใช้ทำงานภายในนโยบายเพื่อปกป้องพวกเขาจากการถูกโจมตีเช่น "ดาวน์โหลดโดยการดาวน์โหลด"
7. อนุญาตไฟล์ LNK (ควรลบออกจากรายการส่วนขยายไม่ใช่กฎเส้นทางบางอัน)
8. ดูด้านบน :).
9. ตรวจสอบให้แน่ใจว่าโฟลเดอร์สคริปต์การเข้าสู่ระบบของคุณได้รับอนุญาต \\%USERDNSDOMAIN%\Sysvol\เอกสารที่แสดงให้เห็นการเพิ่มเอ็นเอสเอ (ดูจุด # 2 ถอนหายใจแล้วดูจุด # 6)

ฉันยอมรับว่า SRP มีคุณสมบัติเพิ่มเติมบางอย่างที่ AppLocker ได้รับประโยชน์จริง ๆ

ที่ถูกกล่าวว่าฉันเห็นประโยชน์ใหญ่ของ AppLocker (ตามเอกสารโดยการเปรียบเทียบนี้ ) เป็น:

• กฎ AppLocker สามารถกำหนดเป้าหมายไปยังผู้ใช้ที่เฉพาะเจาะจงหรือกลุ่มผู้ใช้ในขณะที่มีการบังคับใช้ SRP บนคอมพิวเตอร์ทั้งหมด
• AppLocker รองรับโหมดการตรวจสอบเพื่อให้กฎสามารถทดสอบในการผลิตก่อนที่จะถูกบังคับใช้ SRP ไม่มีโหมดบันทึกอย่างเดียวที่เทียบเท่า

ข้อได้เปรียบที่ยิ่งใหญ่ที่สุดสำหรับฉันคือความสามารถในการอนุญาตบัญชีปฏิบัติการที่ลงชื่อโดยผู้เผยแพร่ ดูที่http://technet.microsoft.com/en-us/library/ee460943(v=ws.10).aspxนี้

ไม่มีประโยชน์ของ AppLocker, Microsoft ประกาศอย่างชัดเจน: 1. GPO ที่มีกฎ SAFER สามารถแนบกับผู้ใช้และกลุ่มผู้ใช้; 2. Windows Vista แนะนำ GPO ท้องถิ่นหลายตัวซึ่งได้ผลลัพธ์เหมือนกันโดยไม่มีโดเมนคอนโทรลเลอร์ 3. โหมดการตรวจสอบสามารถใช้งานได้ผ่านคุณสมบัติการบันทึกเพิ่มเติมที่ไม่มีการบังคับใช้

ฉันใช้ Applocker ภายใน บริษัท ของฉัน กลยุทธ์ที่เราใช้คือ: ปฏิเสธทุกอย่างในฐานะพื้นฐาน (อันที่จริง: ค่าเริ่มต้นของ Applocker) จากนั้นทำสิ่งที่แนะนำ: สร้างกฎที่อนุญาตเฉพาะแอปพลิเคชันที่ลงชื่อแล้วเท่านั้น (office, adobe, wintools, ax ฯลฯ ) มัลแวร์ส่วนใหญ่อาจไม่ใช่ซอฟต์แวร์ที่ไม่ได้ลงชื่อดังนั้นจะไม่ทำงาน มันแทบจะไม่มีการบำรุงรักษาใด ๆ ฉันต้องอนุญาตเฉพาะแอปเสริม 3 แอพเท่านั้น

ต่อไปฉันไม่สามารถยืนยันได้ว่าไม่สามารถใช้เส้นทาง UNC ได้ ในการปฏิเสธกฎความปลอดภัยพิเศษบางอย่างฉันใช้เส้นทาง UNC อย่างสำเร็จ ข้อผิดพลาดในการใช้ environmentvariables: พวกเขาไม่ทำงานเพื่อ Applocker ใช้สัญลักษณ์แทน * ฉันใช้มันใน Windows 2008 R2 และ Windows 2012 R2

ฉันชอบมันมาก: แทบจะไม่มีการล่มสลายของประสิทธิภาพเลย ตามที่เอกสารระบุไว้: Applocker พึ่งพา Application Identity Service (ตรวจสอบให้แน่ใจว่ามันเริ่มต้นโดยอัตโนมัติ)