Innledning, En ny Windows 7 funksjon kalt AppLocker forsøker å ta alt som er galt med programvare policyer i tidligere versjoner av Windows. Denne artikkelserien forklarer hvorfor programvarebegrensningspolicyer er ineffektive og hvordan AppLocker kan hjelpe.
Løpet av de siste generasjoner av Windows, hvis du ønsket å begrense hvilke programmer brukerne fikk lov til å kjøre, din eneste reelle alternativene var å bruke programvarebegrensningspolicyer , eller en tredjepart verktøy som for eksempel Bit9 sin Paritet. Problemet med å bruke programvare policyer er at, for å være helt ærlig, de egentlig ikke er veldig bra. Mens det er mulig å låse ned bruker arbeidsstasjoner bruker programvare policyer det pleier å være svært vanskelig å lage regler som brukerne ikke enkelt kan omgå.
Jeg vil aldri glemme en samtale jeg hadde med noen i Redmond mange år siden . Restriksjons programvare politikk var i ferd med å bli introdusert for første gang, og jeg hadde bare sett dem demonstrert for første gang. Under demonstrasjonen hadde jeg lagt merke til at det ville være ganske enkelt for en bruker å komme rundt de fleste typer politikk som kunne skapt, og jeg spurte programleder hva gode programvarebegrensningspolicyer var hvis de var så lett å omgå. Jeg ble fortalt at programvarebegrensningspolicyer var i sin første generasjon form, og at de ville bli bedre over tid. Jeg ble også fortalt at selv om brukerne kunne omgå noen av de retningslinjer som brukerne ikke ville være i stand til å gjøre det ved et uhell. De ville ha til å utføre bevisste handlinger for å komme seg rundt i politikk, og på det punktet du kan avslutte dem for brudd på bedriftens sikkerhetspolitikk.
Jeg må fortelle deg at svaret som jeg fikk på spørsmålet mitt egentlig ikke føle meg noe bedre, men jeg akseptert det faktum at programvaren policyer var helt nye, og antok at de ville bli mye bedre i neste versjon av Windows. Til min skuffelse, bare Microsoft gjort mindre endringer i programvaren policyer i Windows Vista og Windows Server 2008. De har lagt til en ny type regel kalles nettverkssone regler, og introduserte et nytt sikkerhetsnivå kalt Basic User, men det var ganske mye Omfanget av endringene.
Den gode nyheten er at i Windows 7 har Microsoft endelig redesignet programvare policyer. Denne nydesignede funksjonen har også blitt omdøpt til AppLocker. Ikke forvent AppLocker å være så omfattende som tredjepart desktop låsing løsninger, men det er ganske mye bedre enn programvarebegrensningspolicyer var.
Software Restriction policy Mangler
Før du kan virkelig sette pris AppLocker, må du forstå hva det var om programvare policyer som har gjort dem så fryktelig ineffektive. Dessuten støtter AppLocker fortsatt de samme typer regler som programvarebegrensningspolicyer gjorde, så jeg tror at det er fornuftig å tilbringe resten av denne artikkelen gir deg en rask lynkurs i programvare begrensning handlingsregler.
Programvarebegrensningspolicyer er består av forskjellige typer regler. Du kan opprette sertifikatregler, stekte regler, baneregler, Internet Zone regler og nettverkssone regler.
Sertifikat Regler
Sertifikat reglene er trolig den sikreste av de tilgjengelige regeltyper. De lar deg enten tillate eller nekte applikasjoner basert på programmets digitale signatur. Problemet med denne type regel er at når programvarebegrensningspolicyer ble først introdusert med Windows XP, nesten ingen signerte sin kode. Selv i dag vil du finne programvareleverandører som ikke fester en digital signatur på sine søknader.
Et annet problem med bevisregler er at de har for bred for et omfang. Hvis jeg velger å la programmer som har blitt signert av Microsoft, så alle Microsoft-programmer vil bli tillatt med mindre jeg lage en egen regel med høyere prioritet som blokkerer en bestemt uønskede Microsoft
søknad. Hash Regler
andre type utelukke at programvarebegrensningspolicyer støtte er en hash regelen. Tanken er at Windows kan lage en matematisk hash av kjørbare filer, og bruke den hash å identifisere applikasjonen. Jeg må innrømme at hasj reglene var en god idé på den tiden at de først ble introdusert, men i dag er de upraktiske. Enhver som er ansvarlig for oppfølging av kamper i en organisasjon vet at vi blir bombardert med lapper i et urovekkende tempo. Hver gang du lappe et program, etter Sti Rules
Bane reglene er en av de svakere typer regler hash endringer for noen filer som har blitt erstattet, rende tidligere eksisterende hash regler foreldet.. De tillate eller blokkere programmer basert på stien der programmet er installert. Dette kan være et filsystem bane eller et register bane. Problemet med denne typen regelen er at hvis en bruker har tilstrekkelige rettigheter til å installere et program, da de også har tilstrekkelige rettigheter til å flytte det programmet til et sted som ikke kommer til å bli påvirket av banen regler.
Internet Zone Regler
Internet Zone reglene er klassiske eksempler på en god idé som dårlig ble gjennomført. Den grunnleggende ideen bak Internet Zone reglene var å holde brukerne fra å laste ned og installere applikasjoner fra Internett ved å ta hensyn til Internett-sonen at området at filen ble lastet ned kom fra ... Det er noen problemer med dette selv.
For startere, Internet Zone regler bare gjelder for MSI-filer (Windows Installer-pakker). Et annet problem er at Internett-sonen regler bare gjelder på det tidspunktet at filen er lastet ned. Dette betyr at hvis en bruker laster ned en ZIP-fil som inneholder et program, så en Internett-sonen regelen vil ikke hindre at søknaden blir installert.
Zone Regler Nettverks
nettverkssone reglene er lik Internet soneregler, bortsett fra at i stedet enn å undersøke Internett-sonen at en fil blir lastet ned fra, de undersøke nettverksplasseringen der filen eksisterer. For eksempel kan du lage en politikk som bare tillater brukere å kjøre programmer som er installert på den lokale datamaskinen. Det store problemet med denne type regel er at før det kan bli engasjert, har den aktuelle applikasjonen å allerede være et sted på nettverket.
Hjertet av problemet
jeg har snakket om noen av svakhetene i ulike typer regler, men den virkelige hjertet av problemet innebærer at programvaren restriksjons politikk er utformet for å blokkere ulike typer søknader. Grunnen til at dette er et problem er fordi det er et uendelig antall søknader som ikke er godkjent for bruk på nettverket, men et endelig antall programmer som er autorisert. Det er lettere å tillate et bestemt sett av anvendelser enn å forsøke å sperre et stort antall ukjente programmer. Heldigvis gir AppLocker denne evnen gjennom bruk av hvitlisting. Jeg vil introdusere deg til dette og andre nye funksjoner i del 2.
Konklusjon
I denne artikkelen har jeg forklart at programvarebegrensningspolicyer tendens til å være en mindre enn ideell løsning for å styre programmer på nettverksskrivebordene. I del 2 av denne serien, vil jeg begynne å forklare hvordan AppLocker håndterer disse svakhetene.