Управление запуском программ средствами AppLocker




Лабораторная работа 6

Контроль над запускаемыми приложениями в Windows

Цель: Изучить методы контроля над запускаемыми приложениями в Windows

 

Теоретические сведения

Управление запуском программ средствами AppLocker

Совместимость

AppLocker является компонентом операционных систем Windows и Windows Server, отвечающим за ограничение использования программного обеспечения пользователям или группам пользователей на основании определенных правил.

Хотя AppLocker технически является новой версией политик ограничения программного обеспечения (Software Restriction Policies), эта функция несовместима с политиками ограничения ПО. Если в настоящее время в организации определены политики ограничения ПО для объекта групповой политик, эти политики будут продолжать работать, даже если организация обновит все свои ПК до версии Windows 7 и выше. Однако если определить политики AppLocker в том объекте групповой политики, который уже содержит политики ограничения ПО, то компьютеры под управлением Windows 7 и выше будут игнорировать политики ограничения ПО, и только политики AppLocker будут применяться.

С другой стороны, если объект групповой политики содержит и политики ограничения ПО и политики AppLocker, то компьютеры под управлением Windows XP и Vista будут игнорировать политики AppLocker, и будут использовать только политики ограничения ПО. Это происходит потому, что функция AppLocker отсутствует в более ранних версиях ОС.

AppLocker значительно упрощает контроль за действиями пользователей, которые касаются установки приложений, а также запуска файлов, использования библиотек DLL, файлов инсталляторов, а также сценариев. Основные отличия AppLocker от политик ограниченного использования программ:

  • применение правила к определенному пользователю или к группе, а не только ко всем пользователям;
  • мастер автоматического создания правил;
  • импорт и экспорт созданных правил;
  • режим "Только аудит", в котором ведется лог приложений, которые обрабатываются правилами, однако на самом деле правила не применяются;
  • условие "Издатель", которое является расширенной версией условия "Сертификаты", существовавшего ранее;
  • поддержка новой командной строки Windows Power Shell;
  • коллекции (типы) правил для разных типов файлов, которые не зависят друг от друга.

Ограничения

Хотя AppLocker и обеспечивает значительно усовершенствование по сравнению с политиками ограничения ПО, он все же имеет ряд ограничений. Самым значительным ограничением является то, что если пользователи обладают правами администратора на своих машинах, то они смогут легко обойти политики AppLocker.

Обычно в Microsoft рекомендуют не давать пользователям прав администратора, но в реальности это иногда неизбежно. В конце концов, существуют приложения, которые просто не будут корректно работать, если у пользователя нет полного контроля над системой.

Если пользователям все же требуется полный набор администраторских прав в системе, можно заблокировать инструменты администрирования. Например, можно создать правило, которое блокирует такие элементы администрирования, как редактор системного реестра или командную оболочку Windows PowerShell.

Базовые стратегии AppLocker

Хотя AppLocker поддерживает некоторые типы базовых правил, которые использовались в политиках ограничения ПО, основной способ, которым работает AppLocker, значительно отличается.

Для безопасного использования AppLocker необходимо понимать основную философию, которую Microsoft вкладывает в использование правил AppLocker. Эта философия основана на идее о том, что есть определенные приложения, которые можно использовать в своей организации, в отличие от практически безграничного количества приложений, которые не используются в вашей организации.

Учитывая все это, гораздо проще предоставить ОС Windows белый список разрешенных приложений, чем заблокировать все приложения, которые вы не хотите использовать в своей организации. Именно такой подход использовали представители компании Microsoft в работе правил AppLocker.

Правила AppLocker организованы в собрания. Хотя можно создавать явный отказ, правила AppLocker следует обычно воспринимать, как механизм обеспечения разрешений для чего-либо. Даже если создается всего одно правило в собрании правил, Windows автоматически считает, что вы хотите запретить запуск всех остальных приложений.

AppLocker

В AppLocker можно войти из оснастки Редактор объектов групповой политики. Он расположен по следующему пути: Конфигурация компьютера (Computer Configuration) | Конфигурация Windows (Windows Settings) | Параметры безопасности (Security Settings) | Политики управления приложениями (Application Control Policies) | AppLocker (рисунок 1). Можно также зайти в AppLocker через Локальную политику безопасности (Local Security Policy) в меню Администрирование в Панели управления. При просмотре локальной политики безопасности AppLocker находится по следующему пути: Параметры безопасности (Security Settings) | Политики управления приложениями (Application Control Policies) | AppLocker (рисунок 1).

Рисунок 1. Консоль AppLocker



Поделиться:




Поиск по сайту

©2015-2024 poisk-ru.ru
Все права принадлежать их авторам. Данный сайт не претендует на авторства, а предоставляет бесплатное использование.
Дата создания страницы: 2016-04-27 Нарушение авторских прав и Нарушение персональных данных
 

Поиск по сайту:

Читайте также:

Деталирование сборочного чертежа

Когда производственнику особенно важно наличие гибких производственных мощностей?

Собственные движения и пространственные скорости звезд

Тема 11. Банковские риски и способы их оценки

Опросник «Активность повседневной жизни»

Интересно:

Как устроена магнитная головка

Что такое кессонный колодец

Как научиться хорошо стрелять в CSS?

Что такое современная опера

Обратная связь