Informazioni su Controllo eseguibili
In questa sezione:
Proprietà attendibile
Durante il processo di corrispondenza regole, il controllo Proprietà attendibile viene eseguito su file e cartelle per garantire che la proprietà degli elementi venga corrisposta con l'elenco di proprietari attendibili specificato nella configurazione delle regole predefinite.
Ad esempio, se viene rilevata una corrispondenza tra il file che si desidera eseguire e un elemento consentito, un controllo aggiuntivo di sicurezza assicura che la proprietà del file corrisponda con quella contenuta nell'elenco Proprietari attendibili. Se un file originale è stato manomesso o un file che rappresenta una minaccia per la sicurezza è stato rinominato per apparire come un file consentito, il controllo Proprietà attendibile identifica l'irregolarità e previene l'esecuzione del file.
Le cartelle/condivisioni di rete sono negate per impostazione predefinita. Pertanto, se il file risiede su una cartella di rete, il file o la cartella deve essere aggiunto/a alla regola come un elemento consentito. Altrimenti, anche se il file supera il controllo Proprietà attendibile, la regola non consentirà l'accesso.
Il controllo Proprietà attendibile non è necessario per gli elementi con firme file, dato che non possono essere imitate.
I proprietari attendibili per impostazione predefinita sono:
- SISTEMA
- BUILTIN\Amministratori
- %ComputerName%\Amministratore
- NT Service\TrustedInstaller
Ciò significa che, per impostazione predefinita, Controllo applicazioni ritiene attendibili i file posseduti dal gruppo BUILTIN\Amministratori e dall'amministratore locale. Controllo applicazioni non effettua ricerche di gruppo per i Proprietari attendibili - utenti che sono membri di BUILTIN\Amministratori e NON sono attendibili per impostazione predefinita. Altri utenti, anche se sono membri del gruppo Amministratori, devono essere aggiunti esplicitamente per diventare Proprietari attendibili. È possibile estendere l'elenco sopra per includere altri utenti o gruppi.
Tecnologia
Controllo applicazioni utilizza driver filtro di sicurezza e criteri di sicurezza Microsoft NTFS per intercettare tutte le richieste di esecuzione. Le richieste di esecuzione passano per l'hook Controllo applicazioni e qualsiasi applicazione indesiderata viene bloccata. Il diritto dell'applicazione si basa sulla proprietà dell'applicazione, con la proprietà attendibile predefinita destinata in genere agli amministratori. Utilizzando questo metodo, il criterio di accesso alle applicazioni correnti viene rafforzato senza il bisogno di script o della gestione dell'elenco. Ciò si definisce Proprietà attendibile. In aggiunta ai file eseguibili, Controllo applicazioni gestisce anche il diritto per il contenuto di applicazioni come VBScript, file di batch, pacchetti MSI e file di configurazione del registro di sistema.
Proprietà attendibile rappresenta il metodo predefinito per controllare l'accesso alle applicazioni in Controllo applicazioni. Utilizza il modello Discretionary Access Control (DAC). Esamina l'attributo del proprietario del file e lo confronta con un elenco predefinito di proprietari attendibili. Se il proprietario del file appare nell'elenco, l'esecuzione del file è garantita, altrimenti viene negata.
Una funzione importante di questo metodo di sicurezza e la capacità di non considerare il contenuto stesso del file. In questo modo, Controllo applicazioni è in grado di controllare sia le applicazioni conosciute che quelle sconosciute. I sistemi di sicurezza tradizionali come le applicazioni antivirus confrontano i pattern in comune dei file rispetto a quelli presenti in un elenco predefinito per identificare le potenziali minacce. Pertanto la protezione che offre è direttamente proporzionale all'accuratezza dell'elenco che utilizza per il confronto. Molte applicazioni malware non vengono mai identificate o, al massimo, vengono identificate solo dopo un certo periodo di tempo, mentre i sistemi vengono lasciati vulnerabili. Controllo applicazioni, per impostazione predefinita, consente l'esecuzione a TUTTO il contenuto eseguibile installato localmente se il proprietario dell'eseguibile è inserito nell'elenco di Proprietari attendibili nella configurazione. L'amministratore deve quindi fornire un elenco di applicazioni che non desidera eseguire dal sottosistema disco locale, che rappresentano in genere applicazioni amministrative come mmc.exe, eventvwr.exe, setup.exe e così via.
Se viene seguito questo approccio, l'amministratore non deve individuare tutti i dettagli di ogni parte del codice in esecuzione richiesto per il funzionamento del set di applicazioni, dato che il modello di Proprietà attendibile consente / nega l'accesso in base a quanto appropriato.
Nonostante Controllo applicazioni sia in grado di arrestare qualsiasi script eseguibile basato su malware non appena viene introdotto in un sistema, Controllo applicazioni non è destinato a sostituire gli strumenti di rimozione malware resistenti, ma a fungere da tecnologia complementare al loro utilizzo. Ad esempio, nonostante Controllo applicazioni sia in grado di arrestare l'esecuzione di un virus, non è in grado di ripulire il disco.
Regola di Proprietà attendibile
La Proprietà attendibile non necessita di prendere in esame l'utente registrato. Non importa se l'utente registrato sia un Proprietario attendibile, un amministratore o nessuno dei due. La Proprietà attendibile si risolve intorno a quale utente (o gruppo) possiede un file sul disco. Ciò corrisponde in genere all'utente che ha creato il file.
È normale vedere il gruppo BUILTIN\Amministratori nella console Controllo applicazioni come proprietario del file. È inoltre possibile rilevare che il proprietario del file è un account del singolo amministratore. Ciò comporta le seguenti situazioni:
- Il proprietario del file è il gruppo BUILTIN\Amministratori e questo gruppo è un Proprietario attendibile. La Proprietà attendibile consente di eseguire il file.
- Il proprietario del file è un amministratore singolo e l'amministratore singolo è un Proprietario attendibile. La Proprietà attendibile consente di eseguire il file.
- Il proprietario del file è un amministratore singolo e l'amministratore singolo non è un Proprietario attendibile, ma il gruppo BUILTIN/Amministratori è un Proprietario attendibile. La Proprietà attendibile non consente di eseguire il file.
Nell'ultimo caso, anche se l'amministratore che esegue il file non fa parte del gruppo BUILTIN\Amministratori, il proprietario del file non è attendibile. Il gruppo non viene espanso per individuare se il singolo proprietario debba essere ritenuto attendibile. In questo caso, per consentire l'esecuzione del file, il proprietario del file deve passare a un proprietario attendibile, ad esempio un amministratore di dominio o locale.
Livelli di sicurezza
Le regole di Controllo applicazioni consentono di impostare livelli di sicurezza per specificare in che modo gestire le richieste per eseguire applicazioni non autorizzate da parte degli utenti, dei gruppi o dei dispositivi corrispondenti a una regola.
Autorizzazione automatica
In alcuni ambienti è necessario per gli utenti aggiungere nuovi eseguibili a un computer, ad esempio, sviluppatori che aggiornano o testano costantemente software interni, oppure utenti avanzati che richiedono l'accesso ad applicazioni nuove o sconosciute. L'Autorizzazione automatica consente a questi utenti avanzati nominati di eseguire applicazioni che hanno introdotto loro stessi nel sistema. Tali utenti avanzati possono aggiungere applicazioni a un endpoint protetto anche fuori dall'ufficio senza affidarsi al supporto IT. Ciò offre ai team di sviluppo, ai power user e agli amministratori la flessibilità di installare e testare il software, offrendo al contempo un elevato livello di protezione contro malware ed eseguibili nascosti.
Qualsiasi utente configurato con l'autorizzazione automatica avrà la possibilità di consentire l'esecuzione di un eseguibile non attendibile, una volta, ogni volta all'interno della sessione corrente, oppure sempre. Le informazioni con i dettagli completi dell'auditing, come il nome applicazione, la data e l'ora di esecuzione e il dispositivo. Inoltre, una copia dell'applicazione può essere prelevata e archiviata centralmente per essere esaminata.
Elementi consentiti e negati
Elementi consentiti
L'approccio dell'allowlist richiede che ogni singolo pezzo di contenuto eseguibile venga predefinito precedentemente per l'utente che effettua la richiesta per l'applicazione sul sistema operativo. I dettagli di tutto il contenuto identificato in questo modo vengono conservati su un'allowlist che deve essere controllata ogni volta in cui avviene una richiesta di esecuzione. Se il file eseguibile risulta presente nell'allowlist viene consentito, altrimenti viene respinto.
Un piccolo gruppo di tecnologie di sicurezza funziona in questo modo, ma spesso presenta problemi associati al livello di amministrazione richiesto una volta implementato. Ciò avviene a causa della necessità di aggiungere e mantenere tutte le patch, i livelli di prodotto e gli upgrade all'allowlist.
Controllo applicazioni supporta completamente tale modello di controllo, inoltre aggiunge passaggi significativi per abilitare una sicurezza aggiuntiva nel modello. Un'aggiunta di questo tipo è la capacità di includere firme digitali SHA-1, SHA-256 e Adler-32, in modo che non debbano corrispondere solo il nome dell'applicazione e il percorso del file, ma anche la firma digitale di tale eseguibile nel database. Inoltre, Controllo applicazioni aggiunge anche il percorso completo dell'eseguibile nell'elenco per assicurare che tutti e tre gli elementi corrispondano prima dell'esecuzione dell'applicazione:
Nome file - ad esempio, winword.exe.
Percorso file - ad esempio, C:\Program Files\Microsoft Office\Office\digital signature
Per portare la tecnologia nella fase successiva del controllo, Controllo applicazioni non si assume solo i dettagli degli eseguibili, ma richiede anche che l'amministratore indichi DLL specifiche, oltre a tutto l'altro contenuto eseguibile, come i controlli ActiveX, Visual Basic Script e Command Script.
In Controllo applicazioni, le allowlist rappresentano elenchi di elementi consentiti. Gli elementi nell'elenco di elementi consentiti includono:
- File
- Cartelle
- Unità
- Hash file
- Raccolte regole
Elementi negati
A differenza delle allowlist, le denylist sono una misura con un basso livello di protezione potenziale. Viene generato e quindi mantenuto un elenco contenente le applicazioni a cui deve essere negata l'esecuzione. Questo è il principale punto debole di questo metodo, dato che presume che tutte le applicazioni pericolose siano note. Ciò risulta di scarso utilizzo in gran parte delle aziende, specificamente in presenza di accesso a internet e uso della posta elettronica e/o quando l'utente può introdurre file e applicazioni senza intervento dell'amministratore.
Controllo applicazioni non deve mantenere attivamente un elenco di applicazioni negate, dato che qualsiasi applicazione non installata, e pertanto posseduta dall'amministratore, risulta negata dall'uso di Proprietà attendibile.
Uno dei motivi principali per vietare determinate applicazioni mediante una denylist è consentire l'utilizzo di Proprietà attendibile per la gestione delle licenze non consentendo nemmeno alle applicazioni conosciute (e pertanto attendibili e possedute) di essere eseguite, fino a quando l'amministratore non avrà consentito in un secondo momento in modo esplicito l'accesso alla stessa applicazione definendo un determinato utente / gruppo o regola client. Tale protezione non richiede alcuna configurazione, ad eccezione di consentire un'applicazione esterna. Inoltre, una denylist risulta utile per negare l'accesso ai file posseduti da proprietari attendibili che possono essere ritenuti rischi per la sicurezza. Ad esempio, regedit.exe, ftp.exe e così via.