Blokovat nedůvěryhodné aplikace pomocí aplikace AppLocker

V dnešní době Zeptejte se administrátora, Budu sdílet svou strategii pro používání aplikace AppLocker k blokování nedůvěryhodných aplikací.

Řízení aplikací spolu s odstraněním oprávnění administrátorů od uživatelů je nezbytnou součástí strategie obrany do hloubky. Uživatelé s místními oprávněními správce mohou vždy najít způsob, jak obejít aplikaci AppLocker a další nastavení zásad skupiny. Pokud máte zájem kontrolovat to, co mohou uživatelé instalovat, je prvním a nejdůležitějším krokem odstranění uživatelů z lokální sítě Správci skupina.

Odstranění uživatelů z Správci skupina nestačí k blokování přenosných aplikací. Instalační program Google Chrome nabízí uživatelům, kteří nemají oprávnění správce, možnost instalovat prohlížeč pouze pro přihlášeného uživatele.

Naštěstí stačí povolit aplikaci AppLocker výchozí pravidla pro zablokování instalátoru prohlížeče Chrome. Výchozí pravidla aplikace AppLocker povolují spustit spustitelné soubory pouze z důvěryhodných umístění, jako je například Windows adresář. Standardní uživatelé, ti, kteří nejsou členy místních Správci skupiny, nemají přístup k zápisu do důvěryhodných míst.

Společnost Google nabízí Chrome jako instalační program Windows Installer (.msi) pro podnikovou distribuci. Výchozí pravidla aplikace AppLocker umožňují spouštět soubory MSI od vydavatelů, kterým důvěřuje systém Windows. Google podepíše MSI, takže běží. Nicméně na rozdíl od spotřebitelské verze instalačního programu Chrome nebude Chrome nainstalován bez oprávnění správce.

Cíle aplikace AppLocker

U mnoha organizací mohou výchozí pravidla aplikace AppLocker ve spojení se standardními uživatelskými účty poskytnout dostatečné množství dodatečné ochrany proti malwaru. Aplikace AppLocker může být nakonfigurována tak, aby byla restriktivněji, ale může způsobit, že koncové body budou obtížněji spravovány. Jak se rozhodnete konfigurovat AppLocker závisí na tom, jaký je váš cíl:

  1. Chcete používat nástroj AppLocker jako obranný mechanismus proti škodlivému softwaru?
  2. Chcete zabránit uživatelům instalovat software, který není schválen IT?
  3. Chcete oba výše uvedené?

Podle mých zkušeností je AppLocker buggy. Ne vždy dělá to, co je napsáno na plechovce. Neposkytuje dostatečnou flexibilitu, aby skutečně uzamkla prostředí a zároveň poskytovala uživatelům prostor, který potřebují k tomu, aby se dostali do práce.

Změna výchozích pravidel služby Instalační služba Windows Installer v aplikaci AppLocker (Image Credit: Russell Smith)

Změna výchozích pravidel Instalační služby Windows v aplikaci AppLocker (Image Credit: Russell Smith)

Kdo věříte?

Výchozí pravidla pro nástroj AppLocker postačí, aby fungovaly jako dodatečná ochrana proti malwaru, s výjimkou pravidel Instalační služby systému Windows. Umožňuje spuštění všech důvěryhodných souborů MSI. Problém s tímto je, že by mohl uživateli alespoň teoreticky nainstalovat webový prohlížeč od důvěryhodného vydavatele. Odtud by mohlo být využíváno libovolné množství zranitelných míst.

Pravidla aplikace AppLocker (Image Credit: Russell Smith)

Pravidla AppLockeru (Image Credit: Russell Smith)

Dávám přednost vytvoření řady pravidel Windows Installer, které uživatelům umožňují instalovat aplikace od důvěryhodných vydavatelů. Spíše než použít výchozí pravidlo Instalační služby systému Windows, které umožňuje spuštění všech podepsaných souborů, upravím výchozí pravidlo. Povoluji pouze soubory podepsané společností Microsoft namísto všech digitálně podepsaných souborů Instalační služby Windows. Přidávám také další pravidla pro vydavatele, kterým věřím, jako jsou Google a Dell.

AppLocker v práci (Image Credit: Russell Smith)

AppLocker v práci (Image Credit: Russell Smith)

V případě potřeby přidám vydavatele Spouštěcí pravidla, která uživatelům umožňuje instalovat přenosné aplikace od vydavatelů, kterým důvěřuji. Mohl bych například dovolit uživatelům nainstalovat Google Chrome, ale zabránit všem ostatním přenosným aplikacím. Můžete také přidat službu Microsoft jako důvěryhodného vydavatele Spouštěcí pravidel. Nejlepší je vyhnout se vytváření pravidel odmítnutí, protože mají vždy přednost. V případě potřeby je možné vytvořit výjimky povolit pravidla.

Další informace o konfiguraci aplikace AppLocker naleznete v tématu Nastavení zásad kontroly aplikací pomocí aplikace AppLocker společnosti Microsoft on Petri.

Příspěvek Blokovat nedůvěryhodné aplikace pomocí aplikace AppLocker se objevil nejprve na Petri.

Napsat komentář

Tyto stránky používají Akismet k omezení spamu. Zjistěte, jak jsou vaše údaje komentářů zpracovávány.