AppLocker：萬 IT ’s 第一個安全性靈丹嗎？

發行項
08/18/2016

萬能技客 AppLocker：萬 IT ’s 第一個安全性靈丹嗎？

Greg Shields

內容

Whitelisting 應用程式
AppLocker：一個以上的 SRP 第 2 版
對簡單的 AppLocker 部署

有 ’s 一個悠久達到在我們產業中不會是萬靈丹。定義為一個「方法都不容易感染疾病、 evils 或問題」，oft 提供但 neverrealized 萬靈丹代表 IT 解決方案，結束所有的解決方案。

這是沒有一個產品可以不完全提供您一個停止修正的目標的所有您問題，不論如何強制該產品的銷售人員可能會嘗試否則說服您的傳統智慧。還在探索 Windows 7 和 Windows Server 2008 R2 中新的 AppLocker 功能，我必須想知道是否 Microsoft 內部已經關閉。

若要完全瞭解的 AppLocker，考慮 [維護系統安全性的基本概念]。惡意程式碼是一常數的威脅。它感染您的系統透過網際網路瀏覽器，或透過蠕蟲樣式攻擊推入，有時 overwhelms 甚至最佳防火牆及反惡意程式碼引擎。進一步，即使有了安全性，在您的環境中的分層方法，這些工具的組合可以永遠不會做好準備，這表示零天的攻擊。

還還有一個常見的執行緒之間幾乎所有惡意程式碼片段：它的程式碼必須處理它損害您的系統。

這個單一的點會引發系統管理員的問題："如果幾乎所有的惡意程式碼需要處理會有危險，可以我保護自己防止該處理發生的吗？」

答案是：絕對。該問題的解決方案是 AppLocker。

Whitelisting 應用程式

AppLocker 稱為軟體限制原則 (SRP)，debuted Windows XP 與 Windows Server 2003 的 [群組原則技術有其根目錄。不允許，允許在 Windows 網域中的可執行檔，SRP 介紹的概念 blacklists 和相對於 whitelists。概念很簡單：

您在的系統管理員出一個的黑名單中禁止在您的網域中的電腦上執行不允許的特定可執行檔。在啟動時，處理程序會對黑名單驗證之前執行。如果處理序是在黑名單中，無法執行，而且使用者而是會看到錯誤訊息。
使用一個的 whitelist 相反成為，則為 True。您使用一個 whitelist，而指定允許在您的電腦上執行的處理程序。啟動處理程序會對 whitelist 之前執行驗證。只有在 whitelist 允許執行；那些不在 whitelist 上無法執行。

SRP，與這些兩個範例之一是可能，著重 blacklisting 應用程式的預設值。經過一段時間，但是，它成為明顯 whitelisting 概念可能大幅更強大。雖然 whitelisting 牽涉到多個工作，因為執行核准的每個應用程式必須將輸入原則，很 potent 來防止其他項目。

作用中利用 SRP 的 whitelisting 架構的應用程式必須被測試、驗證和核准其系統管理員和安全性原則可以指定的環境。其他項目，包括大部份的表單執行惡意軟體和其他 quasi-legitimate 不核准的應用程式的 IT — 會被明確拒絕執行。不處理，沒有惡意程式碼，沒有感染。

但在概念的簡單，時 SRP 的技術是痛苦中實作。儘管所有它的電源 SRP 由實作只在極少數的環境。判斷確切的可接受的應用程式集是痛苦且複雜處理序具有較少的自動化支援。在一個 SRP 群組原則進行更小的錯誤可能表示網域中的所有軟體執行的預防措施。危險和過系統管理員複雜它的設定很少 SRP 變得到大部分的環境radars。

AppLocker：一個以上的 SRP 版本 2

AppLocker 的技術被為了增加採用層級加入較佳的管理功能。更緊密地整合 Windows 7 和 Windows Server 2008 R2 作業系統，AppLocker 會運用 SRP 的概念，若要建立更多使用的方案。

以 AppLocker 可以改善透過 SRP，第一個方法就是經由不只稽核的強制執行模式下的額外 (請參閱的圖 1])。在這種模式已設定的電腦和可執行檔規則只報告的原則違規發生在其中。藉由組合 AppLocker 的稽核只強制模式的空白 whitelist 與，很可能會快速地識別正在跨網域的電腦上執行的應用程式類型。到每台電腦的 AppLocker 事件記錄檔所存放的稽核資訊，可以稍後強制記錄這些應用程式和其可執行檔的詳細資訊。

圖 1 AppLocker 中唯一的稽核模式]。(按一下影像以放大圖片)

第二個機制可以改善規則建立一個自動的精靈。位於 AppLocker 的群組原則主控台是選取範圍至自動產生的規則 (請參閱的圖 2])。這個選項會啟動精靈，將會掃描任何檔案結構，在參考的電腦上尋找的可執行檔。在指定的路徑或它的子資料夾中找到任何可執行檔可以有自動產生的規則。指向這個精靈向參照電腦與您環境的一般軟體自動安裝會產生規則的清單。該清單可作為起點的較新的自訂。

圖 2 的 AppLocker 自動產生可執行規則精靈 (按一下影像以放大圖片)

AppLocker 也簡化了規則產生由三個減少的規則類別數目。它們設計用來組合，，您會發現每個規則類別會提供以不同的方法來限制軟體執行：

路徑規則建立限制根據名稱或可執行檔的檔案的位置。路徑規則，就例如可以建立一個特定的檔案名稱 (sol.exe) 或檔名及萬用字元 (sol*.exe) 來擷取限制的修改檔案名稱的組合。萬用字元也可用於搭配檔案路徑 (%PROGRAMFILES%\Microsoft Games\ 1)。
檔案雜湊規則會建立以解決一些明顯的限制，使用路徑規則。使用路徑規則，可執行檔可以存取它移出受管理的路徑或完全改變其檔案名稱。使用檔案雜湊規則，被建立受管理的檔案的密碼編譯雜湊。基於規則的檔案雜湊它們都是不論在系統上位置是受管理的方法。由於這會增加整體解決方案的安全性，其缺點成為明顯長期補充程式或更新的檔案變更。該原因使用檔案雜湊規則需要因為其他更新軟體的注意。
發行者規則需要受管理的可執行檔已數位簽章。該數位簽章可讓檔案會受到限制，根據其發行者]、 [產品名稱]、 [檔案名稱和檔案的版本。百分比小數位數] 和 [自訂值的選項可讓您能夠調整您關心的特性，哪些是選擇性的。很可能會限制檔案，根據其發行者]、 [產品名稱] 和 [檔案名稱設定檔案版本使用萬用字元時，就例如 (請參閱 [圖 3])。結論是：任何後來的版本更新到該檔案會自動核准。

圖 3 建立和自訂發行者的規則。(按一下影像以放大圖片)

最後的有用加法是能夠建立與任何規則類別相關聯的特殊例外狀況。這些例外狀況會啟用的可執行檔所允許的執行，為是會導致無法進一步定義。就例如您可以允許 %PROGRAMFILES%\Microsoft Office\ 1 資料夾中任何可執行檔的執行，但是特別避免 WINPROJ.EXE 由於授權限制或因為其他原因。

因為 AppLocker 設定通常透過「群組原則建立，執行預防規則的工作分派可以被著重在您的環境中個別的使用者電腦上。在 [群組原則管理編輯器 (GPME)，AppLocker 所定義的電腦中設定都是電腦設定的位置 | 原則 | Windows 設定 | 安全性設定 | 應用程式的控制原則。所定義的使用者位於使用者設定] 下的相同位置中。就等的任何使用者和電腦為主的設定組合，可以讓基礎群組原則] 的應用程式上。原則合併是加法]、 [群組原則將不會覆寫的意義] 或 [取代規則已經存在的連結群組原則物件 (GPO)。指定透過群組原則的規則會套用相同的應用程式順序使用傳統的 GPO。

權限就現在 AppLocker 的主要限制與作業系統版本的會強制其規則。用戶端方只有 Windows 7 旗艦版和 Windows 7 企業版可以參與 AppLocker 規則強制執行。伺服器，任何版本的 Windows Web 伺服器和 Windows 伺服器基礎的 Windows Server 2008 R2 會強制執行 AppLocker 規則。時，Microsoft 可能這項功能到較早的作業系統版本的後-連接埠，此功能目前會新增到引人入勝的 Windows 7 升級的原因的清單中。 (在撰寫本文沒有資訊已經釋放一個可能後-連接埠至舊的作業系統版本的相關)。

很好的相容性新聞的一個項目：AppLocker 的群組原則基礎需要不升級的網域控制站 (DC) 來支援其原則的散發。現有的 Windows Server 2003 和 Windows Server 2008 的 DC 可以裝載 AppLocker 原則。

對簡單的 AppLocker 部署

如果 AppLocker 的小型環境中加入安全性聲音有用，實作解決方案都牽涉到下一個步驟。很明顯地，直到您已經升級到 Windows 7 的可調大小的百分比的桌上型電腦和膝上型電腦，不會發生實作。才能 Windows 7 和 Windows Server 2008 R2 的作業系統不會套用 AppLocker 的規則，但它們會尊重那些 SRP 透過套用。雖然 SRP 和 AppLocker 規則不直接轉換，您透過 AppLocker 的僅稽核模式蒐集的資訊可以 SRP 用於手動轉換。

部署 AppLocker 牽涉到決定如何實作技術與建立參考電腦的隔離應用程式的起始設定開始的多個步驟。請記住，與 SRP，不同的是應用程式購物服務區預設為假設您將會建立一個 whitelist 的應用程式。時建立黑名單架構可能，這樣並不建議只是因為這種方法並不會提供相同的執行預防電源 whitelists 所提供。

在其文件中標題為"規劃及部署 Windows AppLocker 原則，"Microsoft 概述在環境中實作應用程式購物服務區的程序包含九個步驟。這份文件在 Beta 版，在撰寫本文時，目前可用的版本會包含如何正確地建立一個完整的 AppLocker 基礎結構的重要詳細資料。為簡單的起見，但是，以下是您要開始的幾個步驟。

第一次，建立您的 IT 組織認為可接受進行執行的應用程式的清單。您可以面試應用程式擁有者，在您的組織中手動建立此清單。或者，您可以建立和 interrogating 參考電腦在您企業中包含通常能夠使用的應用程式開始。啟動處理程序建立作業系統執行個體 — 或影像使用您最愛的影像部署的方案 — 並確保已安裝正確的應用程式。到此的電腦也應該為它找不到 Microsoft 網站上的 Windows 7 安裝遠端系統管理工具組 (RSAT)。 RSAT 包括 GPME 元件所需的建立 AppLocker 規則。

您會發現這個視窗在其中您可以選擇啟用 DLL 的規則集合的進階索引標籤。 AppLocker 能夠建立根據 DLL 中，除了可執行檔的規則。時您可以實作此設定以提高安全性，這樣會加入一個額外的系統管理負擔，因為您將需要找出並設定您的環境中，除了可執行檔中的所有 DLL 規則。因為可執行檔可以使用多個 DLL，該任務可以管理麻煩。正在啟用 DLL 規則集合也會影響系統效能，因為每個 DLL 的處理需要驗證之前執行。

下一個步驟設定預設的可執行檔規則組。相同名稱的 [AppLocker sub-node 上按一下滑鼠右鍵並選擇建立預設規則。根據預設，會建立三個規則。兩個讓 [的 [Windows] 和 [程式檔案] 資料夾中的所有檔案的執行，而第三個 (如的圖 4] 所示) 可讓本機系統管理員群組來執行所有的應用程式的成員。有效地此第三個規則會將本機系統管理員排除規則處理中。

圖 4 預設規則排除時執行防止 (DEP 的本機系統管理員。(按一下影像以放大圖片)

一旦完成的在可執行檔規則節點上按一下滑鼠右鍵，並選擇自動產生的規則。這個精靈會詢問規則建立時就是為什麼它必須在參考電腦上執行的潛在可執行檔的本機電腦。預設情況下，精靈會檢查的可執行檔，在 [C:\Program 檔案的路徑中，雖然可以藉由編輯這些精靈的選項中檢查替代的路徑。

按一下 [在精靈中的下一步引導您至 [規則的喜好設定] 畫面。這裡，您可以建立「發行者」規則數位簽章的檔案或建立的所有檔案的雜湊規則。在這個畫面，但檔案沒有已經被數位簽章以他們的出版商時，才可以自動建立路徑規則。按一下 [下一步一次完成系統掃描，並引導您至一個畫面，您可以在其中檢閱的規則清單。您不想要建立的規則可以消除藉由按一下 [[] 連結，檢閱已分析的檔案，然後取消選取核取方塊旁邊適當的檔案。這就是完成後, 按一下 [建立]。

完成這項工作在重新建置 Windows 7 系統上的新增四個新的規則。雖然在這個位置中找到很多的多個可執行檔，精靈將會由預設群組一起規則，以簡化其應用程式。在此時如果您覺得像監視其他可執行檔的型別時，可能的設定在這個相同的 GPME 位置的指令碼，Windows 安裝程式為基礎的可執行檔的規則。

這個時候 GPO 將開始設定目標的 OU 成員資格為主的用戶端。因為規則強制原則設為 [只有稽核，實際上會發生沒有執行限制。在此期間最好查看事件記錄檔請參閱您的環境是否使用您的規則，或是否它們的應用程式會避免所需的執行檔執行的各種受管理的系統上。使用該資訊來調整您現有的規則集，使它們正確運作於您的環境。

當您準備好要將報告的實際避免它們的可執行檔時，只在返回 [GPME 中的 [AppLocker] 節點，然後將強制屬性從 [只稽核] 變更成強制規則]。

很明顯地，您將需要更多的專案規劃和測試才能部署。但這些簡單的步驟將協助您開始。雖然 AppLocker 可能不是完整的安全性」萬靈丹，防止所有的能力，但您絕對核准可執行檔執行表示就是真的，真的會關閉。

Greg Shields， MVP，是在集中技術協力電腦。取得多個盾'geek 的所有的交易提示，並在的 ConcentratedTech.com 的技巧。

共用方式為

內容

其他資源