Programmering

Hvidliste over applikationer i Windows 7 og Windows Server 2008 R2

Microsofts AppLocker, applikationsstyringsfunktionen, der er inkluderet i Windows 7 og Windows Server 2008 R2, er en forbedring af softwarebegrænsningspolitikkerne (SRP), der blev introduceret med Windows XP Professional. AppLocker tillader, at applikationsudførelsesregler og undtagelser til dem defineres baseret på filattributter som sti, udgiver, produktnavn, filnavn, filversion osv. Politik kan derefter tildeles computere, brugere, sikkerhedsgrupper og organisationsenheder via Active Directory.

Rapportering er begrænset til hvad der kan trækkes fra logfiler, og det kan være svært at oprette regler for filtyper, der ikke er defineret i AppLocker. Men AppLockers største ulempe er, at den er begrænset til Windows 7 Enterprise, Windows 7 Ultimate og Windows Server 2008 R2-klienter. Windows 7 Professional kan bruges til at oprette politik, men kan ikke bruge AppLocker til at håndhæve regler for sig selv. AppLocker kan ikke bruges til at styre tidligere versioner af Windows, selvom både Windows XP Pro's SRP og AppLocker kan konfigureres på samme måde til at påvirke en politik, der dækker hele virksomheden.

[Læs Test Center-gennemgangen af ​​hvidlister til applikationsløsninger fra Bit9, CoreTrace, Lumension, McAfee, SignaCert og Microsoft. Sammenlign disse hvidlisteløsninger med applikationer efter funktionerne. ]

AppLocker kan konfigureres lokalt ved hjælp af objektet Lokal computerpolitik (gpedit.msc) eller ved hjælp af Active Directory og gruppepolitikobjekter (GPO'er). Som mange af Microsofts nyeste Active Directory-aktiverede teknologier har administratorer brug for mindst en domænetilsluttet Windows Server 2008 R2- eller Windows 7-computer for at definere og administrere AppLocker. Windows 7-computere har brug for Group Policy Management-konsolfunktionen installeret som en del af Remote Server Administration Tools (RSAT) til Windows 7 (en gratis download). AppLocker er afhængig af den indbyggede Application Identity-tjeneste, som normalt er indstillet til manuel opstartstype som standard. Administratorer bør konfigurere tjenesten til at starte automatisk.

Inden for det lokale eller gruppepolitiske objekt er AppLocker aktiveret og konfigureret under \ Computerkonfiguration \ Windows-indstillinger \ Sikkerhedsindstillinger \ Container til applikationsstyringspolitikker [skærmbillede].

Som standard tillader AppLocker-regler, når de er aktiveret, brugere at åbne eller køre filer, der ikke specifikt er tilladt. Førstegangstestere vil have gavn af at lade AppLocker oprette et standardsæt med "sikre regler" ved hjælp af indstillingen Opret standardregler. Standardreglerne tillader, at alle filer i Windows og programfiler køres sammen med, at medlemmer af administratorgruppen kan køre noget.

En af de mest bemærkelsesværdige forbedringer i forhold til SRP er evnen til at køre AppLocker mod enhver deltagende computer ved hjælp af indstillingen Automatisk generer regler [skærmbillede] for hurtigt at generere et baseline sæt af regler. På få minutter kan der oprettes snesevis til hundreder af regler mod et kendt rent billede, hvilket sparer AppLocker-administratorer hvor som helst fra timer til arbejdsdage.

AppLocker understøtter fire typer regelsamlinger: Eksekverbar, DLL, Windows Installer og Script. SRP-administratorer bemærker, at Microsoft ikke længere har registreringsregler eller internetzoner. Hver regelsamling dækker et begrænset sæt filtyper. Eksempelvis dækker eksekverbare regler 32-bit og 64-bit .EXE'er og .COM'er; alle 16-bit applikationer kan blokeres ved at forhindre, at ntdvm.exe-processen udføres. Scriptregler dækker filtyperne VBS, .JS, .PS1, .CMD og .BAT. DLL-regelsamlingen dækker .DLL'er (inklusive statisk linkede biblioteker) og OCX'er (Objektlinkning og indlejring af kontroludvidelser, også kaldet ActiveX-kontroller).

Hvis der ikke findes nogen AppLocker-regler for en bestemt regelsamling, kan alle filer med det filformat køre. Når der imidlertid oprettes en AppLocker-regel til en bestemt regelsamling, er det kun de filer, der er eksplicit tilladt i en regel, der kan køre. For eksempel, hvis du opretter en eksekverbar regel, der tillader .exe-filer i % SystemDrive% \ FilePath for at køre, er det kun eksekverbare filer, der er placeret i den sti, der må køre.

AppLocker understøtter tre typer regelbetingelser for hver regelsamling: Stieregler, File Hash-regler og Publisher-regler. Enhver regelbetingelse kan bruges til at tillade eller nægte udførelse, og den kan defineres for en bestemt bruger eller gruppe. Stier og fil-hashregler er selvforklarende; begge accepterer wild card-symboler. Udgiverreglerne er ret fleksible og tillader, at flere felter i enhver digitalt signeret fil matches med specifikke værdier eller jokertegn. Ved at bruge en praktisk skyderlinje i AppLocker GUI [skærmbillede] kan du hurtigt erstatte de specifikke værdier med jokertegn. Hver nye regel gør det let at foretage en eller flere undtagelser. Som standard behandler udgiverreglerne opdaterede versioner af filer på samme måde som originalerne, eller du kan håndhæve et nøjagtigt match.

En vigtig skelnen mellem AppLocker og såkaldte konkurrenter er, at AppLocker virkelig er en tjeneste, et sæt API'er og brugerdefinerede politikker, som andre programmer kan grænseflade med. Microsoft kodede Windows og dets indbyggede script-tolke til interface med AppLocker, så disse programmer (Explorer.exe, JScript.dll, VBScript.dll osv.) Kan håndhæve de regler, som AppLocker-politikker har defineret. Dette betyder, at AppLocker virkelig er en del af operativsystemet og ikke let kan omgåes, når reglerne er korrekt defineret.

Men hvis du har brug for at lave en regel for en filtype, der ikke er defineret i AppLockers politiktabel, kan det tage lidt kreativitet at få den ønskede effekt. For eksempel for at forhindre, at Perl-scriptfiler med .PL-udvidelsen udføres, skal du oprette en eksekverbar regel, der i stedet blokerer Perl.exe-scriptetolken. Dette ville blokere eller tillade alle Perl-scripts og kræve en vis opfindsomhed for at få en mere detaljeret kontrol. Dette er ikke et unikt problem, da de fleste af produkterne i denne anmeldelse har samme begrænsning.

AppLockers konfiguration og regler kan let importeres og eksporteres som læsbare XML-filer, reglerne kan hurtigt ryddes i en nødsituation, og alle kan styres ved hjælp af Windows PowerShell. Rapportering og alarmering er begrænset til hvad der kan trækkes fra de normale hændelseslogfiler. Men selv med AppLockers begrænsninger, kan Microsofts pris - gratis, hvis du kører Windows 7 og Windows Server 2008 R2 - være en stærk lokke til opdaterede Microsoft-butikker.

Denne historie, "Hvidlistning af applikationer i Windows 7 og Windows Server 2008 R2", og anmeldelser af fem hvidlisterløsninger til virksomhedsnetværk blev oprindeligt offentliggjort på .com. Følg den seneste udvikling inden for informationssikkerhed, Windows og slutpunktssikkerhed på .com.