有一个 long-standing 说,我们不是一个功能较多的行业中。 定义为补救一个 “ 方法为所有diseases、 evils 或问题 ”,oft 提供但 neverrealized 功能较多表示结束所有解决方案,IT 解决方案。
它是以往任何时候都完全没有一个产品可以向您提供针对所有您的问题,无论如何硬该产品的销售人员可能会试图否则说服您的一站式的修复程序的传统智慧。 还在探索 Windows 7 和 Windows Server 2008 R2 中的 AppLocker 新功能,我不得不想知道 Microsoft 是否已经变关闭。
要完全了解 AppLocker 的强大功能,考虑维护系统安全的基础知识。 恶意软件是一个常量的威胁。 还是它感染您的系统通过 Internet 浏览器通过一个样式蠕虫病毒的攻击推送,它有时 overwhelms 甚至非常好的的防火墙和反恶意软件引擎。 进一步,即使在分层方法在您的环境中的安全,使用这些工具的组合可以永远不会准备的可怕的零天攻击。
还还有一个常见的线程之间的恶意软件的几乎所有片段:其代码必须进行处理,它就会损坏您的系统。
此单个点引发问题对于管理员:"如果几乎所有的恶意软件需要处理很危险,可以保护吗? 我自己通过防止发生在第一个位置处理"
答案是:绝对。 该问题的解决方案 AppLocker。
Whitelisting 应用程序
AppLocker 有其根中名为软件限制策略 (SRP),debuted 与 Windows XP 和 Windows Server 2003 的组策略技术。 SRP 引入 blacklists 和相对于 whitelists 的概念,允许 Windows 域中的可执行文件和不允许。 概念非常简单:
- 使用一个黑名单,管理员,标识不允许从您的域中的计算机上执行的特定可执行文件。 时启动的进程被验证在黑名单之前执行。 如果进程是在该黑名单上,阻止执行,并而向用户出示閿欒 娑堟伅。
- 一个 whitelist,相反变得,则返回 True。 您使用一个 whitelist,而是指定允许在您的计算机上运行的进程。 启动的进程针对该 whitelist 之前执行验证。 只有在 whitelist 上允许运行 ;那些不该 whitelist 上不能从正在执行。
SRP,使用下列两种模式之一是可能,使用默认的侧重于应用程序的黑名单的。 随着时间,但是,它成为明显 whitelisting 概念可能明显更强大。 而 whitelisting 涉及更多的工作,因为运行批准的每个应用程序必须将输入到该策略,它是 potent 方法阻止其他所有内容。
在起的方式作用利用 SRP 的 whitelisting 范例的环境可以指定哪些应用程序必须被测试、 验证并批准由其管理员和安全策略。 其他所有内容包括大多数窗体执行恶意软件和未经批准的其他 quasi-legitimate 应用程序的 IT — 将被明确拒绝执行。 不处理,没有恶意软件,不感染。
但在概念简单,时 SRP 的技术痛苦实现中。 尽管所有的电源 SRP 由实现只在很少的环境。 确定确切的可接受的应用程序集是具有很少的自动化支持痛苦和复杂的进程。 在一 SRP 组策略中进行小错误可能意味着防止在域中的所有软件执行。 太危险和它的配置很少 SRP 中管理太复杂了到大多数环境radars。
AppLocker:多个 SRP 版本 2
AppLocker 的技术被为了增加采用级别将合并到更好地管理功能。 更紧密地集成在 Windows 7 和 Windows Server 2008 R2 操作系统,AppLocker 利用 SRP 的概念,若要创建更多可用的解决方案。
第一种在其中可以提高 SRP 通过 AppLocker 方法是通过只审核强制模式的 (请参见图 1)。 在这种模式配置的计算机和可执行文件规则仅报告的策略冲突发生的位置。 通过使用一个空 whitelist 组合 AppLocker 的审核仅强制模式,它就可以快速识别正在整个域的计算机上运行的应用程序的类型。 被放入每个计算机的 AppLocker 事件日志的审核信息可以被这些应用程序和其可执行文件的详细信息记录的更高版本的强制。
图 1 AppLocker 审核唯一方式。(单击图像可查看大图)
一种机制,第二个提高通过一个向导,自动创建的规则。 AppLocker 的组策略中是自动生成的规则选择控制台 (请参见图 2)。 此选项将启动一个向导,将扫描所有的文件结构上引用查找可执行文件。 在指定的路径或其子文件夹中找到任何可执行文件可以自动为其生成规则。 与您的环境的常见的软件自动安装指向引用计算机向该向导生成规则的列表。 该列表可用于为您的起始点后面的自定义。
图 2 的 AppLocker 自动生成可执行规则向导 (单击图像可查看大图)
AppLocker 还简化了通过减少到三个规则类的生成规则。 它们用于组合,设计,并且您将发现每个规则类提供了一种不同的方法来限制软件执行:
路径规则创建一个基于名称或可执行文件的文件的位置的限制。 渚嬪的方式 可以为一个特定的文件名 (sol.exe) 或文件名和通配符 (sol*.exe) 捕获有限的修改文件名的组合创建路径规则。 文件路径 (%PROGRAMFILES%\Microsoft Games\ *) 结合,还可以使用通配符。
创建文件哈希规则以解决一些明显的限制与路径规则。 使用路径规则,可执行文件可以访问通过将其移出托管路径或足够改变其文件名。 使用文件哈希规则,将创建一个托管的文件的加密哈希。 作为基础规则关闭文件的哈希处理意味着它们仍保留托管,无论它们位置在系统上。 这增加了总体解决方案的安全性时, 其缺点是成为明显文件更改随修补程序或更新的时间。 由于这个原因使用文件哈希规则要求其他由于小心为软件更新。
发布服务器规则需要托管可执行文件进行数字签名。 该数字签名使文件被限制根据其出版商、 产品名称、 文件名和文件的版本。 可从和自定义值选项使您能够调整您关心的特征和是可选的。 渚嬪的方式 很可能要限制文件设置的文件版本是通配符时,基于其发布服务器、 产品名称和文件名 (请参见图 3)。 最终的结果是:该文件的任何更高版本更新会自动批准。
图 3 创建和自定义发布规则。(单击图像可查看大图)
一个最终的有用补充是能够创建与任何规则类相关联的特殊例外。 这些异常启用的可执行文件允许执行,而非其不能用于进一步定义。 渚嬪的方式 可以允许 %PROGRAMFILES%\Microsoft Office\ * 文件夹中的任何可执行文件的执行,但专门防止 WINPROJ.EXE 由于授权限制或其他原因。
因为 AppLocker 设置通常通过组策略创建的规则执行保护的工作分配可以将重点中您的环境或单个用户的计算机。 内,组策略管理编辑器 (GPME),AppLocker 为计算机定义的设置位于计算机配置位置 | 策略 | Windows 设置 | 安全设置 | 应用程序管理策略。 为用户定义的那些位于相同的位置在用户配置下。 在这种情况下,用户和计算机为中心的配置的任意组合可基于组策略的应用程序上。 合并策略的是累加式的、 组策略不会重写的含义或替换规则已经存在的一个链接组策略对象 (GPO)。 通过组策略分配的规则将应用用作传统的 GPO 的应用程序相同的顺序。
现在,将强制其规则的操作系统版本与 AppLocker 的主要限制。 客户端角只有 Windows 7 旗舰版和 Windows 7 企业版可以参与 AppLocker 实施规则。 对于服务器,任何版本的 Windows Server 2008 R2 中的 Windows Web 服务器和 Windows 服务器基础除外将实施 AppLocker 规则。 Microsoft 可能在早期的操作系统版本到此功能后的端口时, 此功能当前将添加到引人注目的在 Windows 7 升级的原因的列表。 (在撰写本文没有信息已发布有关可能后的移植到早期的操作系统版本)。
一条很好的兼容性消息:AppLocker 的组策略基础要求不升级的域控制器 (DC) 将支持它的策略的分发。 现有的 Windows Server 2003 和 Windows Server 2008 DC 都可以宿主 AppLocker 策略。
简单的 AppLocker 部署
如果 AppLocker 的添加到您的小型环境的安全声音很有用,您的下一个步骤涉及到实施解决方案。 显然,了您的桌面和膝上型计算机的可调整大小百分比升级到 Windows 7 之前,不会发生实现。 操作系统之前 Windows 7 和 Windows Server 2008 R2 不会应用 AppLocker 的规则,但它们将遵守那些通过 SRP 应用。 虽然 SRP 和 AppLocker 规则不直接转换,AppLocker 的仅审核模式通过收集该信息可以手动转换 SRP 中使用。
部署 AppLocker 涉及多个步骤操作以开始确定如何实现该技术,并创建引用隔离应用程序您开始的一组计算机。 请记住,与 SRP,不同应用程序 锁定者默认假定您将创建一个 whitelist 的应用程序。 时创建一个黑名单的体系结构可能,这样并不建议只是因为这种方法不提供相同 whitelists 提供执行保护电源。
在其文档中标题为"规划和部署 Windows AppLocker 策略的,"Microsoft 概述了在环境中实现应用程序 锁定者一个九步过程。 在撰写本文的测试版在本文档时,当前可用的版本包括如何正确构建完成 AppLocker 基础结构的重要详细信息。 为简单起见,但是,以下是您需要开始的几个步骤。
第一次,创建的 IT 组织认为可以接受的执行应用程序的列表。 可以通过面试组织中的应用程序所有者的手动创建此列表。 或者,可以通过创建和 interrogating 引用计算机在业务中包含常用应用程序开始。 启动该进程生成 OS 实例 — 或映像,它使用您最喜爱的映像部署的解决方案 — 并确保正确的应用程序是否安装了。 到此的计算机上也应安装的 Microsoft 网站上可以找到的 Windows 7 为远程系统管理工具包 (RSAT)。 在 RSAT 包括 GPME 组件所需创建 AppLocker 规则。
准备好进行分析时, 创建一个新的 GPO,并在 GPME 中启动它。 导航到计算机配置 | 策略 | Windows 设置 | 安全设置 | 应用程序管理策略 | AppLocker 然后单击在右侧窗格中配置规则强制的链接。 在结果窗口中检查框中标记为可执行规则下的已配置和设置为仅审核的规则。 此设置时报告 AppLocker 规则冲突,本地事件日志维护您现有的行为,在托管的系统上。
您会发现此窗口了在其中您可以选择启用 DLL 规则集合的高级选项卡。 AppLocker 能够基于 DLL,除了可执行文件中创建规则。 时您可以实现增加安全性设置,执行此操作将添加的额外管理负担,因为您将需要隔离并配置为您的环境除了可执行文件中的所有 DLL 的规则。 因为可执行文件可以利用多个 DLL,该任务可以是一个管理头疼。 正在启用 DLL 规则集合也将影响系统性能由于处理每个 DLL 的需要,在执行之前验证。
下一步配置默认的可执行规则集。 右键单击该 AppLocker sub-node 名称相同的并且选择创建默认规则。 默认情况下,会创建三个规则。 第三个 (如的图 4 所示) 允许在本地管理员组运行所有应用程序的成员时,两个允许在窗口和程序文件文件夹中的所有文件的执行。 此第三个规则有效本地管理员排除规则处理。
图 4 默认规则排除执行保护的本地管理员。(单击图像可查看大图)
一旦完成这再次右键单击可执行规则节点,然后选择自动生成规则。 此向导将询问这是为什么它必须引用计算机上运行的规则创建的潜在可执行文件的本地计算机。 通过默认,向导将检查可执行文件中将是文件路径虽然备用路径可检查通过编辑它们在向导的选项。
单击向导中下一步将转到规则首选项屏幕。 此处,您可以创建 Publisher 规则进行了数字签名的文件或创建的所有文件的哈希规则。 在此屏幕中,但仅当文件没有已经过数字签名的出版商时,可以在自动创建路径规则。 单击下一步再次完成系统扫描并转到一个屏幕,您可以在其中检查规则的列表。 通过单击链接查看了进行分析的文件,然后取消选择该复选框相应的文件,可以消除,您不想创建的规则。 一旦完成这单击创建。
完成此任务在刚生成 Windows 7 系统上的添加四个新的规则。 虽然在此位置中找到相当多的多个可执行文件,向导会将以简化其应用程序的默认组放在一起规则。 姝 ゆ 椂如果您想监视的其他可执行文件类型,很可以配置此同一 GPME 位置中的脚本和基于 Windows 安装程序的可执行文件的规则。
姝 ゆ 椂 GPO 将开始根据 OU 成员身份的目标客户端配置。 因为该实施规则的策略设置为仅审核,实际发生不执行限制。 在此期间它最好通过事件日志以查看是否为您的环境使用您的规则,或是否他们的应用程序可以防止运行的是有必要可执行文件的各种托管系统上查看。 使用该信息来调整您现有的一组规则,以便它们正常为您的环境。
当您准备将可执行文件实际上可以防止它们在报告中时,只需导航回 AppLocker 节点在 GPME 中,并更改仅审核到强制的规则的强制属性。
显然,您将需要更多的项目规划和部署前测试。 但这些简单的步骤会得到您入门。 AppLocker 可能不是完整的安全功能较多,以防止所有的能力,但您绝对批准可执行文件运行意味着,它是真的,确实关闭。
