Об управлении исполняемыми файлами
В этом разделе:
Доверенное владение
Во время процесса сопоставления правил функция проверки доверенного владения запускается для файлов и папок для подтверждения владения элементами в соответствии со списком доверенных владельцев в конфигурации правил по умолчанию.
Например, если было обнаружено соответствие между файлом, который вы хотите выполнить, и разрешенным элементом, дополнительная проверка безопасности обеспечит сопоставление файла со списком доверенных владельцев. Если оригинальный файл был подделан, или содержащий угрозу безопасности файл был переименован в файл, похожий на разрешенный файл, проверка доверенного владения обнаружит нарушение и запретит выполнение файла.
Сетевые папки и ресурсы запрещены по умолчанию. Поэтому, если файл находится в сетевой папке, файл или папка должны быть добавлены в правило как разрешенный элемент. В противном случае, даже если файл пройдет проверку доверенного владения, правило не разрешит доступ.
Проверка доверенного владения не требуется для элементов с подписями файлов, поскольку их невозможно подделать.
Доверенные владельцы по умолчанию:
- SYSTEM
- BUILTIN\Administrators
- %ComputerName%\Administrator
- NT Service\TrustedInstaller
Это означает, что по умолчанию Управление приложениями доверяет файлам, принадлежащим группе BUILTIN\Administrators и локальному администратору. Управление приложениями не выполняет групповой поиск доверенных владельцев - пользователи, члены BUILTIN\Administrators, НЕ являются доверенными владельцами по умолчанию. Другие пользователи, даже если они являются членами группы "Администраторы", должны быть явно добавлены в список "Доверенные владельцы". Вы можете расширить представленный ранее список для добавления других пользователей или групп.
Технология
Управление приложениями использует драйверы безопасных фильтров и политики безопасности Microsoft NTFS для перехвата всех запросов на выполнение. Запросы на выполнение осуществляются через привязку Управление приложениями, и любые нежелательные приложения будут блокированы. Права приложений основаны на владении приложениями с использованием информации доверенного владения, которое обычно есть у администраторов. С использованием этого метода текущая политика доступа к приложениям будет применяться без использования сценариев или функции управления списками. Это называется доверенным владением. В дополнение к исполняемым файлам Управление приложениями также управляет доступом к содержимому приложений, такому как сценарии VBScripts, командные файлы, пакеты MSI и файлы конфигурации реестра.
Доверенное владение - это метод, используемый по умолчанию для управления доступом к приложениям в Управление приложениями. Он использует модель управления доступом на уровне пользователей (DAC). Он проверяет атрибут владельца файла и сравнивает его с предварительно определенным списком доверенных владельцев. Если владелец файла отображен в списке, тогда выполнение файла разрешается, иначе файл запрещен.
Важной функцией этого метода обеспечения безопасности является возможность не рассматривать сами данные файла. Используя этот способ, Управление приложениями может управлять как известными, так и неизвестными приложениями. Обычные системы безопасности, такие как антивирусные приложения, сравнивают шаблоны файлов со списком известных уязвимостей для определения потенциальных угроз. Таким образом, предлагаемая защита прямо пропорциональна точности используемого для сравнения списка. Многие вредоносные приложения либо никогда не идентифицируются, либо, в лучшем случае, идентифицируются только через некоторое время, которое системы остаются уязвимыми. Управление приложениямипо умолчанию разрешает данные ВСЕХ локальных установленных исполняемых файлов, если их владелец указан в списке доверенных владельцев в конфигурации. Затем администратор должен предоставить список приложений, выполнение которых он хочет запретить в локальной дисковой подсистеме и которые обычно являются административными приложениями, такими как mmc.exe, eventvwr.exe, setup.exe и т.д.
Если выбран этой подход, администратору не нужно иметь полную информацию о каждом фрагменте кода исполняемого файла, необходимого для работы приложения, так как модель доверенного владения разрешает или запрещает доступ должным образом.
Хотя Управление приложениями способно остановить любой выполняемый сценарий на основе вредоносных программ сразу после его появления в системе, Управление приложениями не предназначено для замены любых существующих средств удаления вредоносных программ и должно работать в качестве дополнительной технологии. Например, хотя ПО Управление приложениями способно остановить выполнение вируса, оно не может выполнить его удаление с диска.
Правило доверенного владения
Доверенное владение не обязательно учитывает вошедшего в систему пользователя. Не имеет значения, является ли вошедший в систему пользователь доверенным владельцем, администратором или нет. Доверенное владение связано с тем, какой пользователь (или группа) владеет файлом на диске. Обычно это пользователь, который создал файл.
Зачастую можно увидеть группу BUILTIN\Administrators на консоли Управление приложениями в качестве владельца файлов. Также можно обнаружить, что владельцем файла является отдельная учетная запись администратора. Это приводит к следующим ситуациям:
- Владелец файла - это группа BUILTIN\Administrators, и данная группа - это доверенный владелец. Атрибут "Доверенное владение" разрешает выполнение файлов.
- Владелец файла - это отдельный администратор, и отдельный администратор - это доверенный владелец. Атрибут "Доверенное владение" разрешает выполнение файлов.
- Владелец файла - это отдельный администратор, а отдельный администратор не является доверенным владельцем, но группа BUILTIN\Administrators сама является доверенным владельцем. Атрибут "Доверенное владение" не разрешает выполнение файлов.
В последнем случае, даже если администратор, которому принадлежит файл, находится в группе BUILTIN\Administrators, владелец файла не считается доверенным. Группа не расширяется, чтобы было ясно, можно ли доверять отдельному владельцу. В этом случае для разрешения выполнения файла необходимо изменить владение файла на доверенного владельца, например, на локального или доменного администратора
Уровни безопасности
Правила Управление приложениями позволяют вам устанавливать уровни безопасности для указания, как управлять запросами для выполнения неавторизованных приложений пользователями, группами или устройствами, которым соответствует правило:
Самоавторизация
В некоторых средах необходимо, чтобы пользователи добавляли новые исполняемые файлы на компьютер, например, разработчики, которые постоянно обновляют или тестируют внутреннее программное обеспечение, или опытные пользователи, которым требуется доступ к новым или неизвестным приложениям. Самоавторизация позволяет назначенным опытным пользователям выполнять приложения, которые те самостоятельно приносят в систему. Такие опытные пользователи могут добавлять приложения на защищенную конечную систему, которая находится вне офиса, не полагаясь на помощь персонала ИТ-поддержки. Это предоставляет группам разработчиков, опытным пользователям и администраторам гибкость в установке и тестировании программного обеспечения, обеспечивая высокий уровень защиты от скрытых вредоносных программ и исполняемых файлов.
Любой пользователь, сконфигурированный для самоавторизации, будет иметь возможность запуска ненадежных исполняемых файлов во время текущего сеанса или всегда. Исчерпывающий аудит выявит информацию, такую как имя приложения, время и дата его выполнения на устройстве. Кроме того, копия приложения может быть сохранена централизованно для дальнейшего исследования.
Разрешенные и запрещенные элементы
Разрешенные элементы
Подход с использованием списка разрешений требует, чтобы каждая часть данных исполняемого файла быть определена до того, как пользователь выполнит запрос запуска приложения в операционной системе. Информация обо всех данных, определенных таким образом, сохраняется в список разрешений, проверяемый каждый раз во время выполнения запроса. Если исполняемый файл находится в списке разрешений, он разрешен; иначе он запрещен.
Так работает небольшое число технологий безопасности, но они часто испытывают проблемы с уровнем управления, который необходимо задать после установки. Это связано с необходимостью добавления и обработки всех исправлений, уровней продукта и обновлений в список разрешений.
Управление приложениями полностью поддерживает эту модель управления и добавляет значительные возможности для обеспечения ее безопасности. Одним из таких дополнений является возможность включения цифровых подписей SHA-1, SHA-256 и Adler-32, чтобы совпадали не только имя приложения и путь к файлу, но также и цифровая подпись этого исполняемого файла, и его цифровая подпись в базе данных. Кроме того, Управление приложениями также добавляет полный путь к исполняемому файлу в список для обеспечения соответствия всех трех элементов до запуска приложения:
Имя файла - например, winword.exe.
Путь файла, например, C:\Program Files\Microsoft Office\Office\digital signature
Для применения технологий более высокого уровня Управление приложениями не только использует данные об исполняемых файлах, но также требует от администраторов указывать конкретные библиотеки DLL, а также все другие данные исполняемых файлов, такие как элементы управления ActiveX, сценарии Visual Basic и командные сценарии.
В Управление приложениями список разрешений содержит разрешенные элементы. Элементы в списке разрешенных элементов:
- Файлы
- Папки
- Диски
- Хеши файлов
- Коллекции правил
Запрещенные элементы
В отличие от списков разрешений списки запрещений имеют потенциально низкий уровень оценки безопасности. Создается список, а затем в него заносятся приложения, выполнение которых запрещено. Это основной недостаток этого метода, так как он предполагает, что все опасные приложения на самом деле известны. Это бесполезно в большинстве организаций, в особенности, с использованием электронной почты и Интернета и/или там, где пользователь может приносить файлы и приложения без разрешения администратора.
Управление приложениями не требуется активно вести список запрещенных приложений, поскольку они не установлены и принадлежат администратору, и следовательно, не могут использовать доверенное владение.
Одной из основных причин использования функции запрета приложений с помощью списка запрещений является использование доверенного владения для управления лицензиями без разрешения выполнения даже известных приложений (поэтому доверенных и имеющих владение), пока администратор явно не разрешит доступ к этим приложениям посредством указания конкретного пользователя/группы или клиентского правила. Эта защита не нуждается в конфигурации за исключением разрешения запуска внешних приложений. Кроме того, использование списка запрещений полезно для запрета доступа к файлам доверенных владельцев, которые могут вызвать скрытый риск безопасности. Например, regedit.exe, ftp.exe и т.д.