應用程式控制 安全方法
在這個部分中:
實作 應用程式控制 安全方法
應用程式控制 提供了多種您可實施的安全方法,可用以保護系統而無需複雜的清單及持續管理。其中包含下列項目:
- 受信任擁有權
- 受信任廠商
- 數位簽名
- 白名單
- 黑名單
為能有效從 應用程式控制 組態中獲取最大價值,您可以使用混合方式,結合來自各個安全方法的最合適元件以提供最佳安全性模型,同時將整體管理及組態負荷降至最低。
「受信任擁有權」方式,可讓「受信任所有者」安裝新的應用程式而無需對 應用程式控制 組態進行任何變更,而且就算面對不受信任的一般使用者所引入的未知應用程式及指令碼內容,仍可保有完整的安全性。因此,建議採用此安全方法來做為絕大多數 應用程式控制 組態的基礎。這也是在所有新的 應用程式控制 組態中,依預設會啟用此功能的原因。
白名單方式最為安全,但其屬於加強管理的安全性模型。若企業並未在其檔案系統上使用 NTFS 安全性,則建議使用白名單方法,因為「受信任擁有權」需用到的檔案所有者資訊僅能在 NTFS 模式下找到。
「受信任擁有權」僅適合用於安裝於本機的可執行檔案內容;也就是存在於電腦本機固定式磁碟機的應用程式。任何存在於網路位置或卸除式媒體 (例如 CD 或 DVDROM) 的可執行檔案或指令碼內容,會自動視為不受信任,而且會立即遭封鎖而無法執行。任何必須由使用者執行的此類應用程式,必須特別新增至 應用程式控制 組態內的白名單中,並且使用指明相關可執行檔案的完整 UNC 路徑。如有需要,可以選擇性停用這些項目的「受信任擁有權」檢查,或是在執行階段選擇性採用 SHA-1、SHA-256 或 Alder-32 簽章來檢查檔案。針對網路或卸除式媒體型應用程式,使用數位簽章檢查是公認的良好做法,因為這些檔案往往超出負責組織端點之管理員的控制範圍。
針對一般使用者可能需要不斷安裝及測試公司擁有的應用程式及指令碼內容的開發與測試環境,建議使用「受信任廠商」檢查。經使用數位憑證對所需可執行檔案簽署,便可設定「受信任廠商」檢查,以便在需要時允許執行所有已簽署元件。
最後,您應該建立一份黑名單,防止特定使用者存取通常是由「受信任所有者」所安裝且擁有的應用程式,包括作業系統的組件,像是登錄值編輯工具、檔案分享工具,以及存取「控制台」元件等。此黑名單搭配白名單及應用程式限制功能一同使用時,可以用做為應用程式授權管理。
受信任擁有權
下列視訊簡單介紹了受信任擁有權中所用的概念:
應用程式控制 使用安全篩選器驅動程式及 Microsoft NTFS 安全性原則來攔截所有執行要求。經由 應用程式控制 掛勾的執行要求及任何有害應用程式均會遭到封鎖。應用程式權利是以應用程式的擁有權為基礎,而預設的受信任擁有權通常屬於管理員。透過使用此方法,目前的應用程式存取原則無需指令碼或清單管理,便可強制執行。這稱為「受信任擁有權」。除了可執行檔案,應用程式控制 也能管理諸如 VBScript、批次檔案、MSI 套件,以及登錄組態檔案等應用程式內容的權利。
應用程式控制 僅支援 PowerShell 2.0 以內版本,而且必須安裝在端點之中。
「受信任擁有權」是在 應用程式控制 內控制應用程式存取的預設方法。其採用判別存取控制 (DAC) 模型。其會檢驗檔案的所有者內容,並用於與受信任所有者預先定義清單進行比較。若檔案所有者出現於清單中,便允許檔案執行,反之則拒絕檔案執行。做出的決策和實際嘗試執行檔案的使用者無關。
此安全方法的一項重要特性,即為無需考量檔案本身的內容。透過此種方式,應用程式控制 便能同時掌握已知及未知應用程式。傳統的安全系統 (如防毒應用程式),會將檔案模式與已知清單內的檔案模式進行比較,藉此識別潛在威脅。因此,其能提供的保護程度,與用於比較之清單的準確性成正比。而許多惡意應用程式若不是完全無法被識別,就是在系統經過一段存在弱點的時期後才會被識別,而且這還是最好的情況。預設情況下,若可執行檔案的所有者列名於組態內的「受信任所有者」清單中,則 應用程式控制 允許執行所有本機安裝的可執行檔內容。然後,管理員必須提供其不想從本機磁碟子系統執行的應用程式清單,而這些通常是管理應用程式,例如 mmc.exe、eventvwr.exe、setup.exe 等。
但若採用本方式,管理員就無需找出應用程式設定為正常運行時,所需之每段執行程式碼的完整細節,因為「受信任擁有權」模型會適當的允許/拒絕存取。
儘管 應用程式控制 有能力在任何惡意軟體型可執行指令碼被引入系統時將其攔截,但 應用程式控制 並非用於取代現有的惡意軟體移除工具,而應該是做為一項搭配使用的互補技術。例如,儘管 應用程式控制 有能力阻止病毒執行,但無法將其從磁碟中清除。
應用程式控制 和受信任擁有權
應用程式控制 可維護「受信任所有者」對話方塊內定義的受信任所有者清單。可從「通用設定」功能區存取此對話方塊。
可依需求刪除或新增使用者和群組。
請勿移除所有「受信任所有者」。此舉會造成系統上沒有任何應用程式可受信任,而且標準使用者將無法執行任何作業。
在 NTFS 系統上,檔案所有者可以是使用者或群組,因此兩者均可新增。在執行「受信任擁有權」檢查時,會確認檔案所有者的系統識別碼 (SID),並且會依據受信任所有者組態中的 SID 清單對此進行檢查。應用程式控制 並不會對群組進行評估,或是對群組使用者進行判別。此舉可確保當遇到電腦並未連線網路,且無法取得此類資訊時,應用程式控制 仍可持續正常運作。
「受信任所有者」對話方塊中有兩個選項:
- 啟用受信任擁有權檢查 - 選擇將啟用受信任擁有權檢查。若未選取此選項,應用程式控制 便不會執行任何「受信任擁有權」檢查,而且必須設定其他安全方法以提供所需的安全性。
- 當檔案遭覆寫或重新命名時,變更檔案的擁有權 - 某些作業系統的預設值,用於檔案遭到覆寫或重新命名時仍保留檔案擁有權。此方式就有如是 NTFS 許可權限允許的一個安全漏洞,使用者有可能會用一個應該遭到封鎖的檔案來覆寫合法檔案。選取此選項,可確保合法檔案遭到竄改時,檔案擁有權會變更為該使用者所有,而且「受信任擁有權」會防止該檔案的執行。
受信任擁有權規則
「受信任擁有權」不需將已登入使用者身分納入考量。無論已登入使用者的身分是「受信任所有者」、「管理員」,或兩者皆否均無關緊要。「受信任擁有權」是以哪個使用者 (或群組) 擁有磁碟上哪個檔案為基準。這通常是建立檔案的使用者。
應用程式控制 控制台內的「內建\管理員」群組是常見的檔案所有者。也有可能發現檔案所有者是個別管理員帳戶的情況。這樣有可能發生下列情況:
- 檔案所有者是「內建\管理員」群組,而該群組是「受信任所有者」。受信任擁有權允許檔案執行。
- 檔案所有者是個別管理員,而該個別管理員是「受信任所有者」。受信任擁有權允許檔案執行。
- 檔案所有者是個別管理員,但該個別管理員不是「受信任所有者」,不過「內建\管理員」群組是「受信任所有者」。「受信任擁有權」不允許檔案執行。
在前述情況中,即使擁有檔案的管理員屬於「內建\管理員」群組成員,該檔案所有者仍屬不受信任。群組不會延伸查明,個別所有者是否受信任。在此情況下,若要允許檔案執行,該檔案的擁有權必須變更為「內建\管理員」。
受信任廠商
可以在每個 應用程式控制 規則節點中指定受信任廠商。受信任廠商用於列出有效的數位憑證。數位憑證是使用數位簽章將公開金鑰與身分識別相繫結的電子文件。這包括個人或組織的名稱、地址之類的資訊。數位憑證由憑證授權單位發出,用於驗證公開金鑰是否屬於個人。應用程式控制查詢每個檔案執行以偵測數位憑證的存在。如果檔案具有有效的數位憑證,而且簽署者符合「受信任廠商」清單中的項目,則允許該檔案執行,並覆寫任何「受信任擁有權」檢查。
您可以顯示「內容」對話方塊來檢查檔案是否有數位憑證。若有「數位簽章」索引標籤存在,則檔案擁有數位憑證,而您可在該索引標籤中檢視憑證的詳細資訊,其中包括簽署人資訊、進階設定,以及可顯示 certificate.rusted_Vendors.htm 的選項
如需詳細資訊,請參閱將憑證新增到受信任廠商
數位簽名
數位簽章提供了一種根據檔案本身實際內容來準確識別檔案的方法。會對各個檔案進行檢查,並根據其內容產生一組數位雜湊 (就好比指紋一般)。應用程式控制 採用業界標準 SHA-1、SHA256 和 Adler-32 雜湊。若檔案遭到任何改動,則 SHA-1 雜湊也會隨之改動。
「進階設定」對話方塊上的「簽章」下拉式選單可選擇其他演算法。
因為數位雜湊的準確性使然,使其受公認是一種高階安全方法。其僅透過檔案本身識別各個檔案,與所有其他因素都無關。舉例來說,管理員會取得並記錄電腦系統上所有可執行檔案的數位雜湊。接著使用者會嘗試執行應用程式。系統會隨即計算應用程式的數位雜湊,接著與記錄值進行比較。若有相符項目,便允許執行應用程式,反之則拒絕執行。此方法還可提供零時差保護,因為其不僅僅能阻止新應用程式的引入,也能封鎖任何已遭到惡意軟體感染的應用程式。
儘管數位簽章提供了與「受信任擁有權」類似的保護,但您也必須將維護安全系統時所需的時間及管理成本納入考量。應用程式會不斷透過 Service Pack、錯誤修正與弱點修補程式進行更新。這代表著所有相關檔案也會不斷更新。因此,若以 Microsoft Office 套用了 Service Pack 做為範例,為能讓更新後的組件運作,就必須立即使用更新後檔案的數位雜湊。當更新可用時,就必須確保這些數位雜湊的可用性,藉此避免停機時間。此外,建議您移除舊的簽章。
簽章精靈
應用程式控制 具備「簽章精靈」,允許您將數位簽章套用至個別檔案或群組。數位簽章可透過兩種方式進行分組,一種是透過掃描資料夾及子資料夾,而另一種則是檢驗執行處理序。
當您在「程式庫」>「群組管理」節點下選擇群組時,「群組」功能區的「簽章精靈」便可供使用。
「簽章精靈」內的搜尋資料夾選項,會掃描所選資料夾內全部以可執行檔案及指令碼為基礎的檔案,並且會自動計算數位雜湊。檢查執行中的處理序選項允許您切換至目前正在執行的處理序。將會掃描處理序及其目前已載入的所有可執行檔案,並且會計算數位雜湊。
若發現已計算過簽章的檔案,則指出重複的通知隨即顯示。在組態中不需要重複雜湊。例如,若檔案透過 Service Pack 方式更新,您可以選取簽章檔案群組並選擇重新掃描。所有數位簽章都會自動更新,而且可以部署新組態。
Whitelists
白名單方式規定,每一段可執行檔案內容必須均已事先定義,之後使用者才能針對作業系統上應用程式提出要求。透過此方式識別的所有內容詳細資訊,均保存於白名單內,而每次發生執行要求時都必須檢查白名單。若白名單上有該可執行檔案,便允許執行,反之則拒絕執行。
有少數的安全性技術採用此方式運作,但一經實施後,它們通常就會面臨管理層級需求的問題。這是因為此方式需要將所有修補程式、Service Pack 與升級新增至白名單並持續維護。
應用程式控制 完整支援此控制模型,而且增加了大量步驟來增強模型內的安全性。其中一項附加功能是加入 SHA-1、SHA-256 和 Adler-32 數位簽章,如此一來,不僅僅是應用程式名稱及檔案路徑需要相符,可執行檔案的數位簽章也必須與資料庫內的簽章相符。此外,應用程式控制 還能將可執行檔案的完整路徑新增至清單中,藉此確保在應用程式執行前,所有三個項目皆能相符:
檔案名稱 - 例如 winword.exe。
檔案路徑 - 例如 C:\Program Files\Microsoft Office\Office\digital signature
為了將技術引入更高的控制層級,應用程式控制 不僅會取得可執行檔案的詳細資訊,同時還會要求管理員指定特定的 DLL 及所有其他可執行內容,例如: ActiveX 控制項、Visual Basic 指令碼與命令指令碼等。
在 應用程式控制,白名單為「允許的項目」。「允許的項目」清單內項目包括:
- 檔案
- 資料夾
- 磁碟機
- 簽章項目
- 網路連線項目
- Windows 市集應用程式
- 群組
- 受信任擁有權
- 存取時間
黑名單
相較於白名單,黑名單則代表著潛在的低安全措施。運作方式是產生並維護一份清單,其中包含要拒絕執行的應用程式。這是此方法的主要缺點,因為其假定所有危險的應用程式實際上都是已知的項目。對絕大多數的企業而言幫助不大,特別是透過電子郵件及網際網路存取和/或使用者可在不受管理員干預的情況下引入檔案及應用程式等情況。
應用程式控制 無需主動維護拒絕的應用程式清單,因為任何未安裝 (因此屬管理員所有) 的應用程式,都會因「受信任擁有權」的採用而遭拒絕。
透過黑名單禁止應用程式的主要原因之一,是使「受信任擁有權」可用於授權管理用途,方式是不允許應用程式 (甚至是已知的應用程式,也就是受信任且被擁有的應用程式) 的執行,直到管理員能於稍後透過定義特定使用者/群組或用戶端規則,明確允許存取同一應用程式。此保護不需要組態,除非是要允許外部應用程式。此外,對於拒絕有風險的對受信任所有者所擁有檔案的存取,黑名單非常有用。例如,regedit.exe、ftp.exe 等。