Blok Aplikasi yang Tidak Dilindungi Menggunakan AppLocker

Di hari ini Tanya Pentadbir, Saya akan berkongsi strategi saya untuk menggunakan AppLocker untuk menyekat aplikasi yang tidak dipercayai.

Kawalan Aplikasi, bersama dengan menghapuskan keistimewaan pentadbiran daripada pengguna, merupakan bahagian penting dalam strategi pertahanan anda-mendalam. Pengguna dengan keistimewaan pentadbiran tempatan sentiasa boleh mencari cara untuk memintas AppLocker dan tetapan Dasar Kumpulan yang lain. Sekiranya anda serius mengendalikan apa yang pengguna boleh memasang, langkah pertama dan paling penting adalah untuk mengalih keluar pengguna dari tempatan Pentadbir kumpulan.

Mengalih keluar pengguna dari Pentadbir kumpulan tidak cukup untuk menghalang aplikasi mudah alih. Pemasang Google Chrome menawarkan pengguna yang tidak mempunyai keistimewaan pentadbiran pilihan untuk memasang penyemak imbas untuk pengguna log masuk sahaja.

Nasib baik, sudah cukup untuk membolehkan AppLocker menggunakan peraturan lalai untuk menyekat pemasang Chrome. Peraturan AppLocker lalai hanya membenarkan executable dijalankan dari lokasi yang dipercayai, seperti Windows direktori. Pengguna standard, yang bukan ahli tempatan Pentadbir kumpulan, tidak mempunyai akses menulis ke lokasi yang dipercayai.

Google menawarkan Chrome sebagai muat turun Windows Installer (.msi) untuk pengedaran perusahaan. Peraturan AppLocker lalai membolehkan fail .msi untuk dijalankan daripada penerbit yang dipercayai oleh Windows. Google menandatangani MSI, jadi ia berjalan. Bagaimanapun, tidak seperti versi pengguna pemasang Chrome, ia tidak akan memasang Chrome tanpa keistimewaan pentadbir.

Matlamat AppLocker

Bagi kebanyakan organisasi, peraturan AppLocker lalai yang digabungkan dengan akaun pengguna standard boleh memberikan sejumlah perlindungan tambahan terhadap malware. AppLocker boleh dikonfigurasikan untuk menjadi lebih ketat tetapi itu boleh membuat titik akhir lebih sukar untuk diurus. Bagaimana anda membuat keputusan untuk mengkonfigurasi AppLocker bergantung kepada matlamat anda:

  1. Adakah anda ingin menggunakan AppLocker sebagai mekanisme pertahanan terhadap perisian hasad?
  2. Adakah anda mahu menghalang pengguna daripada memasang perisian yang tidak diluluskan oleh IT?
  3. Adakah anda mahu kedua-duanya di atas?

Dalam pengalaman saya, AppLocker adalah kereta. Ia tidak selalu melakukan apa yang ditulis pada timah. Ia tidak memberikan kelenturan yang cukup untuk benar-benar mengunci persekitaran sambil menyediakan pengguna skop yang mereka perlukan untuk mendapatkan kerja yang dilakukan.

Mengubah aturan Windows Installer lalai dalam AppLocker (Kredit Imej: Russell Smith)

Mengubah Peraturan Pemasang Windows Default dalam AppLocker (Kredit Imej: Russell Smith)

Siapa yang Anda Percayai?

Peraturan lalai untuk AppLocker cukup untuk bertindak sebagai perlindungan tambahan terhadap perisian hasad, kecuali Peraturan Pemasang Windows. Ia membolehkan semua fail .msi dipercayai untuk dijalankan. Masalah dengan ini ialah ia mungkin membenarkan pengguna, dalam teori sekurang-kurangnya, memasang pelayar web daripada penerbit yang dipercayai. Dari sini, banyak kelemahan boleh dimanfaatkan.

Peraturan AppLocker (Kredit Imej: Russell Smith)

Peraturan AppLocker (Kredit Imej: Russell Smith)

Saya lebih suka membuat satu siri peraturan Windows Installer yang membolehkan pengguna memasang aplikasi dari penerbit yang dipercayai. Daripada menggunakan aturan Windows Installer lalai yang membolehkan semua fail yang ditandatangani untuk dijalankan, saya mengubah peraturan lalai. Saya hanya membenarkan fail yang ditandatangani oleh Microsoft, bukannya semua fail Windows Installer yang ditandatangani secara digital. Saya juga menambah peraturan tambahan untuk penerbit yang saya percayai, seperti Google dan Dell.

AppLocker di tempat kerja (Image Credit: Russell Smith)

AppLocker at Work (Kredit Imej: Russell Smith)

Jika perlu, saya tambah penerbit Boleh dieksekusi peraturan, yang membolehkan pengguna memasang aplikasi mudah alih daripada penerbit yang saya percayai. Sebagai contoh, saya boleh membenarkan pengguna memasang Google Chrome tetapi menyekat semua apl mudah alih yang lain. Anda juga mungkin mahu menambah Microsoft sebagai penerbit yang dipercayai Boleh dieksekusi peraturan. Adalah lebih baik untuk mengelakkan daripada menafikan peraturan, kerana mereka sentiasa mengambil keutamaan. Sekiranya diperlukan, adalah mustahil untuk dibuat pengecualian untuk membenarkan peraturan.

Untuk maklumat lanjut mengenai mengkonfigurasi AppLocker, lihat Menetapkan Dasar Kawalan Aplikasi dengan AppLocker Microsoft on Petri.

Jawatan Blok Aplikasi yang Tidak Dilindungi Menggunakan AppLocker muncul pertama pada Petri.

Sila tinggalkan balasan anda

Laman web ini menggunakan Akismet untuk mengurangkan spam. Ketahui bagaimana data komen anda diproses.