Списък на приложения в Windows 7 и Windows Server 2008 R2

AppLocker на Microsoft, функцията за управление на приложения, включена в Windows 7 и Windows Server 2008 R2, е подобрение на политиките за ограничаване на софтуера (SRP), въведени с Windows XP Professional. AppLocker позволява правилата за изпълнение на приложенията и изключенията от тях да бъдат дефинирани въз основа на файлови атрибути като път, издател, име на продукт, име на файл, версия на файла и т.н. След това политики могат да бъдат присвоявани на компютри, потребители, групи за сигурност и организационни единици чрез Active Directory.

Отчитането е ограничено до това, което може да се извлече от регистрационните файлове, и създаването на правила за типове файлове, които не са дефинирани в AppLocker, може да бъде трудно. Но най-големият недостатък на AppLocker е, че е ограничен до клиенти на Windows 7 Enterprise, Windows 7 Ultimate и Windows Server 2008 R2. Windows 7 Professional може да се използва за създаване на правила, но не може да използва AppLocker, за да налага правила върху себе си. AppLocker не може да се използва за управление на по-ранни версии на Windows, въпреки че както SRP на Windows XP Pro, така и AppLocker могат да бъдат конфигурирани по подобен начин, за да повлияят на корпоративна политика.

[Прочетете рецензията на Test Center за решения за разрешаване на приложения от Bit9, CoreTrace, Lumension, McAfee, SignaCert и Microsoft. Сравнете тези решения за разрешаване на приложения по характеристики. ]  

AppLocker може да бъде конфигуриран локално, като се използва обектът Local Computer Policy (gpedit.msc) или с помощта на Active Directory и обекти на групови правила (GPO). Подобно на много от най-новите технологии с активиран Active Directory на Microsoft, администраторите ще се нуждаят от поне един компютър, свързан с домейн Windows Server 2008 R2 или Windows 7, за да дефинират и администрират AppLocker. Компютрите с Windows 7 ще се нуждаят от конзолата за управление на групови правила, инсталирана като част от инструментите за отдалечено администриране на сървъри (RSAT) за Windows 7 (безплатно изтегляне). AppLocker разчита на вградената услуга за идентификация на приложения, която по подразбиране обикновено е настроена на ръчен тип стартиране. Администраторите трябва да конфигурират услугата да се стартира автоматично.

В рамките на обекта на локална или групова политика AppLocker е активиран и конфигуриран под \ Computer Configuration \ Windows Settings \ Security Settings \ Application Control Policies контейнер [изображение на екрана].

По подразбиране, когато са активирани, правилата на AppLocker не позволяват на потребителите да отварят или изпълняват файлове, които не са изрично разрешени. Тестерите за първи път ще се възползват, като позволят на AppLocker да създаде набор от "безопасни правила" по подразбиране, като използва опцията Създаване на правила по подразбиране. Правилата по подразбиране позволяват да се изпълняват всички файлове в Windows и Program Files, както и да позволяват на членовете на групата Administrators да изпълняват каквото и да било.

Едно от най-забележителните подобрения спрямо SRP е възможността да стартирате AppLocker срещу всеки участващ компютър, като използвате опцията Автоматично генериране на правила [изображение на екрана], за да генерирате бързо набор от правила. За няколко минути могат да бъдат създадени десетки до стотици правила срещу познато чисто изображение, спестявайки администраторите на AppLocker навсякъде от часове до дни работа.

AppLocker поддържа четири типа колекции от правила: Изпълним, DLL, Windows Installer и Script. Администраторите на SRP ще забележат, че Microsoft вече няма правила за регистъра или опции за интернет зони. Всяка колекция от правила обхваща ограничен набор от типове файлове. Например изпълнимите правила обхващат 32-битови и 64-битови .EXE и .COMs; всички 16-битови приложения могат да бъдат блокирани, като се предотврати изпълнението на процеса ntdvm.exe. Правилата за скриптове обхващат файлови типове .VBS, .JS, .PS1, .CMD и .BAT. Колекцията от правила за DLL обхваща .DLL (включително статично свързани библиотеки) и OCX (Object Linking and Embedding Control Extensions, aka ActiveX control).

Ако не съществуват правила на AppLocker за конкретна колекция от правила, всички файлове с този файлов формат могат да се изпълняват. Когато обаче се създаде правило на AppLocker за конкретна колекция от правила, само файловете, изрично разрешени в правило, имат право да се изпълняват. Например, ако създадете изпълнимо правило, което позволява .exe файлове в % SystemDrive% \ FilePath да се изпълняват, само изпълними файлове, разположени в този път, могат да се изпълняват.

AppLocker поддържа три типа правила за всяка колекция от правила: Правила на пътя, Правила за хеширане на файлове и Правила на издателя. Всяко условие на правило може да се използва за разрешаване или отказ на изпълнение и може да бъде дефинирано за определен потребител или група. Правилата за хеширане на пътя и файла са обясними само по себе си; и двамата приемат символи за заместване Правилата на Publisher са доста гъвкави и позволяват на няколко полета от всеки цифрово подписан файл да бъдат съчетани с конкретни стойности или заместващи карти. С помощта на удобна плъзгаща лента в AppLocker GUI [изображение на екрана] можете бързо да замените конкретните стойности с заместващи карти. Всяко ново правило удобно позволява да се направи едно или повече изключения. По подразбиране правилата на издателя ще третират актуализираните версии на файлове по същия начин като оригиналите или можете да приложите точно съвпадение.

Важна разлика между AppLocker и така наречените конкуренти е, че AppLocker наистина е услуга, набор от API и дефинирани от потребителя политики, с които други програми могат да взаимодействат. Microsoft кодира Windows и вградените му интерпретатори на скриптове, за да взаимодействат с AppLocker, така че тези програми (Explorer.exe, JScript.dll, VBScript.dll и т.н.) да могат да налагат правилата, дефинирани в политиките на AppLocker. Това означава, че AppLocker наистина е част от операционната система и не може лесно да бъде заобиколен, когато правилата са правилно дефинирани.

Ако обаче трябва да създадете правило за тип файл, който не е дефиниран в таблицата с политики на AppLocker, може да отнеме известно творчество, за да получите желания ефект. Например, за да предотвратите изпълнението на файловете на Perl скриптове с разширение .PL, трябва да създадете изпълним правило, което вместо това е блокирало интерпретатора на скриптове Perl.exe. Това би блокирало или позволило всички скриптове на Perl и ще изисква известна находчивост, за да се получи по-фин контрол. Това не е уникален проблем, тъй като повечето продукти в този преглед имат същия вид ограничения.

Конфигурацията и правилата на AppLocker могат лесно да бъдат импортирани и експортирани като четливи XML файлове, правилата могат бързо да бъдат изчистени при спешни случаи и всички могат да се управляват с помощта на Windows PowerShell. Отчитането и алармирането са ограничени до това, което може да бъде извлечено от нормалните дневници на събитията. Но дори и с ограниченията на AppLocker, цената на Microsoft - безплатна, ако използвате Windows 7 и Windows Server 2008 R2 - може да бъде силна примамка за актуални магазини на Microsoft.

Тази история „Белият списък на приложения в Windows 7 и Windows Server 2008 R2“ и отзиви за пет решения за разрешаване за корпоративни мрежи първоначално е публикувана в .com. Следете най-новите разработки в информационната сигурност, Windows и защитата на крайните точки в .com.