Ziel ist es, zu verhindern, dass Benutzer unerwünschte Programme auf einem Terminalserver ausführen.
Ich habe viele Artikel von Microsoft und anderen gelesen, in denen es heißt, dass die neue Applocker-Funktion 100% besser ist als die alte Richtlinie für Softwareeinschränkungen und als Ersatz für letztere empfohlen wird.
Ich bin mir nicht sicher, welche wirklichen Vorteile Applocker neben der Ausführung im Kernelmodus bietet. Die meisten Funktionen können mit der Software Restriction Policy reproduziert werden.
Gleichzeitig hat es einen großen Nachteil, der es ziemlich nutzlos macht: Es ist nicht erweiterbar und Sie können keine benutzerdefinierten Dateierweiterungen hinzufügen, die Sie einschränken möchten.
Was sind die Vorteile von Applocker gegenüber SRP und was würden Sie für die Softwaresteuerung empfehlen?
Antworten:
Die Softwareeinschränkungsrichtlinie wird von Microsoft abgelehnt ( Technet behauptet effektiv, dass SRP nicht unterstützt wird ), da Windows 7 Enterprise / Ultimate AppLocker eingeführt hat.
In der Praxis weist SRP bestimmte Fallstricke auf, sowohl für falsch negative als auch für falsch positive. AppLocker hat den Vorteil, dass es weiterhin aktiv gewartet und unterstützt wird. Wenn AppLocker eine Option ist, könnte es die billigere sein - nach Berücksichtigung Ihrer Zeit und der eingegangenen Risiken. Es ist auch möglich, dass es eine geeignete Alternative von Drittanbietern gibt (diese Frage enthielt diese Option jedoch nicht :).
Hoffentlich erhalten Sie ein perfektes Verständnis für die Fallstricke von SRP, bevor Sie in eine dieser Fallstricke geraten
</sarcasm>
. Einige von ihnen sind in einem schönen Sicherheitsartikel von Vadims Podāns beschrieben .Bekannte Fallstricke
Standardmäßig ist die Ausführung aus dem
\Windows
Ordner zulässig. Einige Unterordner können von Benutzern beschrieben werden. Applocker ist derselbe, aber zumindest in der offiziellen Dokumentation wird diese Einschränkung erwähnt .BEARBEITEN: "Um alle Ordner mit Schreibzugriff auf Benutzer aufzulisten , können Sie beispielsweise das Dienstprogramm AccessEnum aus dem Sysinternals-Paket verwenden." (oder AccessChk ).
Technisch gesehen warnt Sie die Dokumentation auch davor, die Standardregeln zu überschreiben . BEARBEITEN: Ein NSA-Dokument enthält 16 Beispiele für Ordner, die mit SRP auf die Blacklist gesetzt werden sollen , obwohl die Registrierungspfadregeln Backslashes falsch verwenden. Sie müssen daher korrigiert werden (siehe Punkt auf den Registrierungspfaden unten) und warnen vor einem häufigen Eintrag einer zu breiten Blacklist.
Die offensichtliche Frage ist, warum wir nicht
\Windows
stattdessen einzelne Pfade sorgfältig auf die Whitelist setzen . (Einschließlich des\Windows\*.exe
ErbesSystem32\*.exe
usw.). Ich habe nirgendwo Antworten darauf bemerkt :(.Mit Umgebungsvariablen wie
%systemroot%
kann SRP von Benutzern umgangen werden, indem die Umgebungsvariable gelöscht wird. BEARBEITEN: Diese werden in den vorgeschlagenen Standardeinstellungen nicht verwendet. Sie können jedoch verlockend zu verwenden sein. Diese Fußwaffe ist in AppLocker behoben, da Umgebungsvariablen niemals berücksichtigt werden.\Program Files
bei modernen 64-Bit-Installationen verwendeten Unterschiede zu berücksichtigen. Wenn dies mithilfe der sichereren "Registrierungspfade" behoben wird, gibt es Berichte über falsche Ablehnungen in zufälligen Situationen, die beim Testen leicht übersehen werden können. Siehe z. B. Kommentare zum SpiceWorks SRP-Howto . BEARBEITEN: Dies hat mit 32-Bit-Anwendungen zu tun, die relevante Pfade aus dem WOW6432-Knoten der Registrierung lesen: Die Auflösung besteht darin, beide Pfade zu SRP hinzuzufügen , damit alle Programme auf 32-Bit- und 64-Bit-Computern als uneingeschränkt arbeiten können, unabhängig davon, ob sie gestartet wurden ein x64- oder x86-Hostprozess:%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir (x86)%
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramW6432Dir%
wscript /e
... oder vielleicht genug Shellcode in einen Inline-Skriptparameter zu stecken ... usw.*.Extension
ohne Warnung. So können Sie die offizielle Dokumentation nicht trauen , und es scheint unwahrscheinlich , dass jetzt bekommen fixiert.Pragmatischer Ansatz
Software-Whitelisting ist möglicherweise eine sehr mächtige Verteidigung. Wenn wir zynisch werden: Genau aus diesem Grund lehnt Microsoft die günstigeren Versionen ab und erfindet komplexere.
Möglicherweise ist keine andere Option verfügbar (einschließlich Lösungen von Drittanbietern). Dann wäre es ein pragmatischer Ansatz, SRP so einfach wie möglich zu konfigurieren. Behandle es als zusätzliche Verteidigungsschicht mit bekannten Löchern. Passend zu den oben genannten Fallstricken:
%systemroot%
.\Program Files\
Verzeichnisse auf modernen 64-Bit-Computern zulässig sind. Die zusätzlichen "Registrierungspfade", die Sie\Program Files\
auf 64-Bit-Computern hinzufügen müssen, sind%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir (x86)%
und%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramW6432Dir%
.\
mit forwardslashes/
(zB%HKEY_LOCAL_MACHINE\Software\CompanyName\CustomApps%App/Bin/start.exe
)\\%USERDNSDOMAIN%\Sysvol\
. (Siehe Punkt 2, seufzen, dann Punkt 6).quelle
Ich bin damit einverstanden, dass SRP einige zusätzliche Funktionen bietet, von denen AppLocker wirklich profitieren könnte.
Abgesehen davon sehe ich die großen Vorteile von AppLocker (wie durch diesen Vergleich dokumentiert ) wie folgt :
quelle
Der größte Vorteil für mich ist die Möglichkeit, signierte ausführbare Dateien vom Herausgeber auf die Whitelist zu setzen. Schauen Sie sich diese http://technet.microsoft.com/en-us/library/ee460943(v=ws.10).aspx an
quelle
Es gibt keine Vorteile von AppLocker, Microsoft veröffentlichte offensichtliche Lügen: 1. Gruppenrichtlinienobjekte mit SAFER-Regeln können an Benutzer und Benutzergruppen angehängt werden. 2. Windows Vista führte mehrere lokale Gruppenrichtlinienobjekte ein, die ohne Domänencontroller dasselbe Ergebnis erzielen. 3. Der Überwachungsmodus ist über die erweiterte Protokollierungsfunktion ohne Durchsetzung verfügbar.
quelle
Ich benutze Applocker in meiner Firma. Die Strategie, die wir verwenden, lautet: Verweigern Sie alles als Basis (in der Tat: die Applocker-Standardeinstellungen) und tun Sie dann, was vorgeschlagen wurde: Erstellen Sie eine Regel, die nur signierte Anwendungen zulässt (Office, Adobe, Wintools, Axe usw.). Die meisten, möglicherweise alle Malware ist nicht signierte Software, wird also nicht ausgeführt. Es ist kaum Wartung. Ich musste nur 3 zusätzliche Legacy-Apps zulassen.
Außerdem kann ich nicht bestätigen, dass man keine UNC-Pfade verwenden kann. In einigen zusätzlichen Sicherheitsverweigerungsregeln verwende ich erfolgreich UNC-Pfade. Die Gefahr besteht darin, Umgebungsvariablen zu verwenden: Sie funktionieren nicht für Applocker. Verwenden Sie * Platzhalter. Ich benutze es unter Windows 2008 R2 und Windows 2012 R2.
Ich mag es sehr: Es gibt kaum Leistungseinbußen. In der Dokumentation heißt es: Applocker verlässt sich auf den Application Identity Service (stellen Sie sicher, dass er automatisch gestartet wird).
quelle