Sobre o Controle de Executável
Nesta seção:
Propriedade Confiável
Durante o processo de correspondência da regra, realiza-se uma verificação de Propriedade Confiável em arquivos e pastas para garantir que a propriedade dos itens corresponde à lista de proprietários confiáveis especificados na configuração padrão da regra.
Por exemplo, se há correspondência entre o arquivo a ser executado e um item permitido, uma verificação de segurança adicional garante que a propriedade do arquivo também tenha correspondência com a lista de Proprietários Confiáveis. Caso um arquivo original tenha sido adulterado ou um arquivo perigoso tenha sido renomeado para assemelhar-se a um arquivo permitido, a verificação de propriedade confiável identifica a irregularidade e impede a execução do arquivo.
Pastas/compartilhamentos de rede são negados por padrão. Portanto, se o arquivo residir em uma pasta de rede, o arquivo ou pasta deverá ser adicionado à regra como um item permitido. Caso contrário, mesmo se o arquivo passar pela verificação de Propriedade Confiável, a regra não permitirá o acesso.
A verificação de propriedade confiável não é necessária para itens com assinaturas de arquivo, pois elas não podem ser imitadas.
Os proprietários confiáveis predefinidos são:
- SYSTEM
- BUILTIN\Administradores
- %NomeComputador%\Administrador
- NT Service\TrustedInstaller
Isso significa que, por padrão, o Controle de Aplicativos confia em arquivos pertencentes ao grupo BUILTIN\Administradores e ao administrador local. Controle de Aplicativos não faz pesquisas de grupo para Proprietários Confiáveis – os usuários que são membros de BUILTIN\Administradores NÃO são confiáveis por padrão. Outros usuários, mesmo que sejam membros do grupo Administradores, devem ser explicitamente adicionados para se tornarem Proprietários Confiáveis. Você pode estender a lista acima para incluir outros usuários ou grupos.
Tecnologia
Controle de Aplicativos usa drivers de filtro seguro e políticas de segurança do Microsoft NTFS para interceptar todas as solicitações de execução. As solicitações de execução passam pelo gancho do Controle de Aplicativos, e todos os aplicativos indesejáveis são bloqueados. O direito ao aplicativo baseia-se na propriedade dele, sendo que a propriedade confiável padrão normalmente é dos administradores. Usando-se esse método, a política atual de acesso a aplicativos é imposta sem a necessidade de gerenciamento de scripts ou listas. Isso é chamado de Propriedade Confiável. Além dos arquivos executáveis, o Controle de Aplicativos também gerencia o direito ao conteúdo dos aplicativos, como VBScritps, arquivos em lote, pacotes MSI e arquivos de configuração do registro.
A Propriedade Confiável é o método padrão para controlar o acesso a aplicativos no Controle de Aplicativos. Esse método usa o modelo Controle de Acesso Discricionário (DAC, na sigla em inglês). Ele examina o atributo "proprietário" do arquivo e o compara a uma lista predefinida de proprietários confiáveis. Se o proprietário do arquivo aparecer na lista, a execução do arquivo será concedida, caso contrário, será negada.
Uma característica importante desse método de segurança é a capacidade de não considerar o conteúdo do arquivo em si. Dessa maneira, o Controle de Aplicativos consegue controlar tanto aplicativos conhecidos como desconhecidos. Sistemas de segurança convencionais, como aplicativos antivírus, comparam padrões de arquivo com os de uma lista conhecida para identificar possíveis ameaças. Portanto, a proteção oferecida é diretamente proporcional à precisão da lista usada na comparação. Muitos malwares nunca são identificados ou, na melhor das hipóteses, são identificados somente após um período de tempo, no decorrer do qual os sistemas ficam vulneráveis. Controle de Aplicativos, por padrão, permite que TODOS os conteúdos executáveis instalados localmente sejam executados SE o proprietário do executável estiver especificado na lista de Proprietários Confiáveis na configuração. O administrador deve, então, fornecer uma lista dos aplicativos que não devem ser executados a partir do subsistema de disco local, normalmente aplicativos administrativos, como mmc.exe, eventvwr.exe, setup.exe e assim por diante.
Se essa abordagem for adotada, o administrador não precisará descobrir todos os detalhes de cada código de execução necessário para o conjunto de aplicativos funcionar, pois o modelo de Propriedade Confiável permite/nega o acesso conforme o caso.
Embora o Controle de Aplicativos possa interromper qualquer malware baseado em script executável assim este for introduzido no sistema, o Controle de Aplicativos não se destina a substituir as ferramentas existentes de remoção de malware, devendo funcionar como uma tecnologia complementar ao lado delas. Por exemplo, embora Controle de Aplicativos consiga interromper a execução de um vírus, não consegue removê-lo do disco.
Regra de Propriedade Confiável
A Propriedade Confiável não precisa levar em conta o usuário logado. Não importa se o usuário logado é ou não um Proprietário Confiável ou administrador. A Propriedade Confiável gira em torno de qual usuário (ou grupo) é proprietário do arquivo no disco. Normalmente, é o usuário que criou o arquivo.
É comum ver o grupo BUILTIN\Administradores no console do Controle de Aplicativos como proprietário do arquivo. Também é possível determinar se o proprietário do arquivo é uma conta de administrador individual. Isso resulta nas seguintes situações:
- O proprietário do arquivo é o grupo BUILTIN\Administradores, e esse grupo é um Proprietário Confiável. A Propriedade Confiável permite que o arquivo seja executado.
- O proprietário do arquivo é um administrador individual, e o administrador individual é um Proprietário Confiável. A Propriedade Confiável permite que o arquivo seja executado.
- O proprietário do arquivo é um administrador individual, e o administrador individual não é um Proprietário Confiável, mas o grupo BUILTI\Administradores é. A Propriedade Confiável não permite que o arquivo seja executado
No último caso, mesmo que o administrador que possui o arquivo esteja no grupo BUILTIN\Administrators, o proprietário do arquivo não é confiável. O grupo não é expandido para descobrir se o proprietário individual deve ser confiável. Nesse caso, para permitir que o arquivo seja executado, a propriedade do arquivo deve ser alterada para a de um proprietário confiável, por exemplo, um domínio ou administrador local.
Níveis de Segurança
Controle de Aplicativos - as regras permitem definir níveis de segurança para especificar como gerenciar solicitações para executar aplicativos não autorizados por usuários, grupos ou dispositivos correspondentes à regra.
Autoautorização
Em alguns ambientes, é necessário que os usuários adicionem novos executáveis a um computador. Por exemplo, desenvolvedores que atualizam ou testam constantemente um software interno; ou usuários avançados que precisam de acesso a aplicativos novos ou desconhecidos. A autoautorização permite que usuários avançados designados executem os aplicativos que eles introduziram no sistema. Quando estão fora do escritório, esses usuários avançados podem adicionar aplicativos a um ponto de extremidade protegido sem depender do suporte de TI. Isso proporciona a equipes de desenvolvimento, usuários avançados e administradores a flexibilidade de instalar e testar softwares e, ao mesmo tempo, oferece um alto nível de proteção contra malware e executáveis ocultos.
Qualquer usuário configurado para autoautorização terá a opção de permitir que um executável não confiável seja executado uma vez, toda vez durante a sessão atual ou sempre. Uma auditoria abrangente detalha informações como nome do aplicativo, data e hora de execução e dispositivo. Além disso, uma cópia do aplicativo pode ser feita e armazenada centralmente para inspeção.
Itens Permitidos e Negados
Itens permitidos
A abordagem da lista de permissões exige que cada conteúdo executável deva estar predefinido antes de o usuário fazer a solicitação do aplicativo no sistema operacional. Os detalhes de todo conteúdo identificado dessa forma são mantidos em uma lista de permissões que deve ser verificada sempre que ocorrer uma solicitação de execução. Se o arquivo executável estiver na lista de permissões, será permitido; caso contrário, será negado.
Um pequeno número de tecnologias de segurança funciona dessa maneira, mas com frequência enfrentam problemas com o nível de administração necessário depois de implementadas. Isso se deve à necessidade de adicionar e manter todos os patches, níveis de produto e atualizações na lista de permissões.
Controle de Aplicativos dá suporte total a esse modelo de controle e adiciona etapas importantes para possibilitar a ele segurança extra. Uma dessas adições é a capacidade de incluir assinaturas digitais SHA-1, SHA-256 e Adler-32, de modo que não apenas o nome do aplicativo e o caminho do arquivo devam ser correspondentes, mas também a assinatura digital do executável deva coincidir com aquela no banco de dados. Além disso, o Controle de Aplicativos também adiciona o caminho completo do executável à lista para garantir que todos os três itens apresentem correspondência antes da execução do aplicativo:
Nome do arquivo – por exemplo, winword.exe.
Caminho do arquivo – por exemplo, C:\Arquivos de Programa\Microsoft Office\Office\assinatura digital
Para melhorar a qualidade da tecnologia de controle, o Controle de Aplicativos não apenas obtém detalhes dos executáveis, mas também solicita que o administrador explicite DLLs específicas, bem como todos os demais conteúdos executáveis, como controles ActiveX, scripts do Visual Basic e scripts de comando.
No Controle de Aplicativos, as listas de permissões aparecem como Itens Permitidos. Os itens na lista Itens Permitidos incluem:
- Arquivos
- Pastas
- Unidades
- Hashes de arquivo
- Coleções de regras
Itens negados
Em contraste com as listas de permissão, as listas de negação são uma medida com baixo potencial de segurança. Gera-se e alimenta-se uma lista contendo os aplicativos cuja execução deve ser negada. Essa é a principal falha desse método, pois presume que todas os aplicativos perigosos são realmente conhecidos. Tal método é de pouca utilidade na maioria das empresas, especialmente no acesso a e-mail e internet e/ou em situações nas quais o usuário pode introduzir arquivos e aplicativos sem a intervenção do administrador.
Controle de Aplicativos não precisa manter ativamente uma lista de aplicativos negados, pois todos os aplicativos não instalados e, portanto, pertencente ao administrador, são negados pelo uso da Propriedade Confiável.
Um dos principais motivos para proibir aplicativos via lista de negação é habilitar a Propriedade Confiável no gerenciamento de licenças, não permitindo que mesmo aplicativos conhecidos (e, portanto, confiáveis e controlados) sejam executados, até que o administrador possa, mais tarde, definir um determinado usuário/grupo ou regra de cliente para permitir explicitamente o acesso a esse exato aplicativo. Esta proteção não requer configuração, exceto para permitir um aplicativo externo. Além disso, a lista de negação é útil para negar acesso a arquivos pertencentes a proprietários confiáveis que possam ser considerados riscos à segurança. Por exemplo, regedit.exe, ftp.exe e assim por diante.