AppLocker - новий додаток в складі Windows 7 і Windows Server 2008 R2, призначене для заміни Software Restriction Policies. AppLocker містить нові можливості для перевірки дій користувачів з боку адміністратора. Цей додаток дозволяє стежити за тим, як будуть використовуватися виконувані файли, сценарії, файли msi (файли Windows Installer) і бібліотеки DLL.

Використовуючи AppLocker, ви можете:

• визначати правила, які ґрунтуються на атрибутах файлів, таких як цифровий підпис, найменування виробника програмного забезпечення, імені файлу, версії програмного забезпечення;
• визначати правила для групи користувачів або окремого користувача;
• створювати виключення з правил;
• використовувати правила в режимі «тільки аудит» для розуміння суті зроблених змін до їх безпосереднього застосування;
• виконувати імпорт і експорт правил.

Версії Windows 7, що підтримують AppLocker

AppLocker буде доступний у всіх версіях Windows Server 2008 R2 і в редакціях Windows 7 Ultimate і Windows 7 Enterprise. Робоча станція під управлінням Windows 7 Professional може використовуватися для створення правил AppLocker, однак AppLocker не може застосовуватися на комп'ютерах під управлінням Windows 7 Professional.

Якщо ви проводите оновлення комп'ютерів, що використовують Software Restriction Policies, до версій Windows 7 або Windows Server 2008 R2 і потім застосовуєте правила AppLocker, варто врахувати, що будуть застосовані тільки правила AppLocker. Тому рекомендується створити новий об'єкт групової політики (GPO) для AppLocker в оточенні, що використовує Software Restriction Policies і AppLocker. Відмінності між AppLocker і Software Restriction Policies наведені в таблиці 1 .

угруповання правил

Оснащення AppLocker Microsoft Management Console (MMC) містить чотири розділи правил:

• виконувані файли;
• сценарії;
• файли Windows Installer;
• файли DLL.

Така організація правил дозволяє адміністратору диференціювати правила за типами програм. У таблиці 2 наведено відповідність між розділами правил і форматами файлів.

Створення правил AppLocker

Для створення правил необхідно зайти в панель управління, запустити модуль «Адміністрування» і вибрати пункт «Локальна політика безпеки» (див. екран 1 ).

За замовчуванням значення правил AppLocker такі.

• виконувані файли
  - Члени групи локальних адміністраторів можуть запускати будь-які додатки.
  - Члени групи Everyone можуть запускати додатки з папки Windows.
  - Члени групи Everyone можуть запускати додатки з папки Program Files.
• Windows Installer
  - Члени групи локальних адміністраторів можуть запускати будь-які додатки Windows Installer.
  - Члени групи Everyone можуть запускати підписані додатки Windows Installer.
  - Члени групи Everyone можуть запускати додатки Windows Installer, розміщені в папці WindowsInstaller.
• Script
  - Члени групи локальних адміністраторів можуть запускати будь-які сценарії.
  - Члени групи Everyone можуть запускати сценарії з папки Windows.
  - Члени групи Everyone можуть запускати сценарії з папки Program Files.
• DLL
  - Члени групи локальних адміністраторів можуть запускати будь-які DLL.
  - Члени групи Everyone можуть запускати DLL, розташовані в папці Program Files.
  - Члени групи Everyone можуть запускати DLL, розташовані в папці Windows.

Існує два шляхи створення правил.

1. Створення правил за допомогою майстра створення правил. При цьому створюється одночасно одне правило.
2. Автоматизована генерація правил, в ході якої ви вибираєте папку, користувача або групу, для якої будуть застосовуватися правила, потім генеруєте кілька правил для цієї папки одночасно. За допомогою даного майстра можна генерувати тільки дозволяють правила (див. Екран 2).

Про цю технологію можна розповідати довго. Головне ж, на мій погляд, зрозуміти:

1. Для чого вам потрібна ця технологія?
2. Що ви хочете зробити?
3. Як це відіб'ється на вашому підприємстві?
4. І найголовніше - чи не принесе це шкоди замість користі?

Чи не відповівши на ці питання, можна застосовувати ні одну нову технологію. І AppLocker не виняток. У будь-якому випадку неправильне застосування інструменту може лише породити нові, часто зовсім очевидні проблеми.

Ви вже знаєте, що за допомогою технології AppLocker можна вказати, які програми можуть виконуватися на комп'ютері. Давайте розглянемо сценарій, при якому користувач може виконувати ті файли, хеш яких збігається з заздалегідь вирахуваним. Всі інші файли виконувати не можна. У перший момент це здасться панацеєю: як чудово, користувач може робити тільки те, що ми йому явно дозволили. Але не тут-то було! В ході роботи ви оновлюєте версії програмного забезпечення, вірно? Що станеться після оновлення? Так просто оновлені файли перестануть запускатися, адже хеш їх змінений, так? І в результаті ви отримаєте тільки неприємності, які самі собі і створили!

Отже, це не вихід. Тобто вихід, але тільки для тих додатків, які не будуть оновлюватися.

Для того щоб створити потрібні нам правила, скористаємося реалізованої в AppLocker можливістю автоматизувати процес створення правил. Покажемо це на прикладі папки c: Program Files (див. Екран 3).

Натискаємо «Далі», і в наступному вікні ми повинні вибрати параметри правил (див. Екран 4).

Після натискання кнопки «Далі» правила створюються, і ви можете переглянути їх. Частина правил створена із застосуванням хеш-функцій, а частина спирається на ім'я видавця, котрий випустив дані програми. Так як більшість регулярно оновлюваних файлів є саме підписаними файлами, після поновлення ім'я видавця залишиться колишнім, а отже, файл буде виконуватися.

Однак це не всі можливості AppLocker. Поряд з перерахованим вище ми можемо також обмежувати запуск за версією програмного забезпечення і т. Д. Але про це я розповім наступного разу.

Володимир Безмалий ( [email protected] ) - фахівець із забезпечення безпеки, MVP Consumer Security

Екран 1. параметри AppLocker

Таблиця 1. Відмінності між AppLocker і Software Restriction Policies