關於可執行檔控制項
在這個部分中:
受信任擁有權
在规则匹配过程中,对文件和文件夹执行“受信任的所有权”检查,确保项目的所有权与默认规则配置中指定的可信所有者列表匹配。
例如,如果要运行的文件与允许的项目匹配,则执行额外的安全检查可确保文件所有权也与“可信所有者”列表匹配。 如果原始文件被篡改,或存在安全威胁的文件被重命名来仿冒允许的文件,则受信任的所有权检查会识别到其不规则性并阻止文件执行。
默认情况下拒绝网络文件夹/共享。 因此,如果文件保存在网络文件夹中,则必须将该文件或文件夹作为允许的项目添加到规则中。 否则,即使该文件通过了受信任的所有权检查,规则也不会允许访问。
具有檔案簽章的項目因為這些無法被模仿,因此不需要進行「受信任擁有權」檢查。
依預設受信任的所有者為:
- 系統
- 內建\管理員
- %ComputerName%\Administrator
- NT 服务\可信安装者
這表示在預設情況下,應用程式控制項 信任「內建\管理員」群組和本機管理員所擁有的檔案。 應用程式控制項 对“可信所有者”不执行组查找 - 默认情况下,不信任“内建\管理员”组的用户。 其他用户(包括“管理员”组的成员)必须经过明确添加才能成为“可信所有者”。 可通过扩展“可信所有者”列表添加其他用户或组。
技術
應用程式控制項 使用安全过滤驱动程序和 Microsoft NTFS 安全策略来拦截所有执行请求。 执行请求完成 應用程式控制項 挂钩,阻止任何不想要的应用程序。 应用程序权限基于应用程序的所有权,默认的受信任的所有权通常属于管理员。 通过使用此方法,无需脚本或列表管理就可强制执行当前的应用程序访问策略。 这称为受信任的所有权。 除了可执行文件之外,應用程式控制項 还管理应用程序内容(如 VBScripts、批处理文件、MSI 程序包和注册表配置文件)的权限。
受信任的所有权是 應用程式控制項 中应用程序访问的默认控制方法。 它使用自由访问控制 (DAC) 模型。 它对文件的所有者属性进行检查,并将其与预定义的可信所有者列表进行比较。 如果文件的所有者出现在列表中,则允许其执行文件,否则拒绝执行。
此安全方法的一个重要功能是能够不考虑文件内容本身。 通过这种方式,應用程式控制項 能够同时控制已知和未知的应用程序。 常规的安全系统,如反病毒应用程序,将文件模式与已知列表中的模式进行比较,以识别潜在的威胁。 因此,它提供的保护与它用于比较的列表的准确性成正比。 许多恶意软件应用程序要么永远无法识别,要么最多只能在一段时间后当系统比较脆弱时才能识别。 默认情况下,如果可执行文件的所有者列在配置中的可信所有者列表中,那么 應用程式控制項 将允许所有本地安装的可执行内容执行。然后,管理员必须提供他们不希望从本地磁盘子系统执行的应用程序列表,它们通常是管理应用程序,比如 mmc.exe、eventvwr.exe、setup.exe 等。
如果采用这种方法,则管理员无需了解应用程序设置为函数所需的每一段执行代码的详细信息,因为受信任的所有权模式可根据实际情况允许/拒绝访问。
当 應用程式控制項 被引入系统时能够阻止任何基于可执行脚本的恶意软件,應用程式控制項 不用于取代现有的恶意软件删除工具,但应作为辅助技术。 例如,虽然 應用程式控制項 能够阻止病毒的执行,但无法将其从磁盘清除。
受信任的所有权规则
受信任的所有权无需考虑登录用户。 登录用户是否为可信所有者或管理员并不重要。 哪个用户(或组)拥有磁盘上的文件是受信任的所有权的中心内容。 通常为创建文件的用户。
通常将 應用程式控制項 控制台中的“内建\管理员”组视为文件所有者。 文件所有者可能是单个管理员的帐户。 这导致下列情况:
- 檔案所有者是「內建\管理員」群組,而該群組是「受信任所有者」。 受信任擁有權允許檔案執行。
- 文件所有者是单个管理员,且该单个管理员是可信所有者。 受信任擁有權允許檔案執行。
- 檔案所有者是個別管理員,但該個別管理員不是「受信任所有者」,不過「內建\管理員」群組是「受信任所有者」。 受信任的所有权不允许执行文件。
在前述情況中,即使擁有檔案的管理員屬於「內建\管理員」群組成員,該檔案所有者仍不受信任。 未扩展该组以了解单个所有者是否值得信任。 在此情況下,若要允許檔案執行,該檔案的擁有權必須變更為受信任所有者 (如網域或本機管理員)。
安全级别
應用程式控制項 規則可讓您設定安全性層級,藉此指定如何管理符合規則的使用者、群組或裝置執行未授權應用程式的要求。
自授权
在某些環境中,使用者需要在電腦上新增新的可執行檔,例如,持續更新或測試內部軟體的開發人員,或是需要存取全新或未知應用程式的進階使用者。 自助授權允許指定的進階使用者執行其引入系統中的應用程式。 就算不在辦公室,這些進階使用者也可新增應用程式至安全端點,而無需依賴 IT 支援人員。 這樣可讓開發團隊、進階使用者與管理員在安裝及測試軟體時仍保有彈性的同時,還能提供高層級防護來抵禦潛伏的惡意軟體及未知執行檔。
任何設定為自助授權的使用者,均可選擇允許未受信任的執行檔執行一次、每次在目前工作階段時均執行,或是一律執行。 全面性稽核詳細資訊提供了像是應用程式名稱、執行時間和日期,以及裝置等資訊。 此外,您可以複製應用程式並集中儲存以進行檢查。
允許及拒絕的項目
允許的項目
允許清單方式規定,每一段可執行檔案內容必須均已事先定義,之後使用者才能針對作業系統上應用程式提出要求。 透過此方式識別的所有內容詳細資訊,均保存於允許清單內,而每次發生執行要求時都必須檢查允許清單。 若允許清單上有該可執行檔案,便允許執行,反之則拒絕執行。
一小部分安全技术以这种方式工作,但是它们在执行后通常会遇到与所需管理级别有关的问题。 這是因為此方式需要將所有修補程式、產品級別,以及升級新增至允許清單並持續維護。
應用程式控制項 完全支持这种控制模型,并添加了重要的步骤来启用模型中的附加安全性。 其中一个附加功能是包含 SHA-1、SHA-256 和 Adler-32 数字签名,这样不仅应用程序名称和文件路径必须匹配,而且可执行文件的数字签名也必须与数据库中的签名匹配。 此外,應用程式控制項 还将可执行文件的完整路径添加到列表,以确保所有三个项目在应用程序执行之前均匹配:
文件名 - 比如 winword.exe。
文件路径 - 比如 C:\Program Files\Microsoft Office\Office\digital signature
要将该技术引入控制的下一个阶段,應用程式控制項 不仅包含可执行程序的详细信息,还要求管理员指定特定的 DLL 以及所有其他可执行内容,比如 ActiveX 控件、Visual Basic 脚本和命令脚本。
在 應用程式控制項,允許清單為「允許的項目」。 “允许的项目”列表中的项目包括:
- 檔案
- 資料夾
- 磁碟機
- 檔案雜湊
- 規則集合
拒絕的項目
相較於允許清單,拒絕清單則代表著潛在的低安全措施。 生成列表(包含要拒绝执行的应用程序)并对其进行维护。 这是该方法的主要缺点,因为它假定所有危险的应用程序实际上都是已知的。 这对大多数企业来说用处不大,特别是具备电子邮件和 Internet 访问权限和/或用户可以在无需管理员干预的情况下引入文件和应用程序的企业。
應用程式控制項 不需要积极维护被拒绝的应用程序列表,因为任何未安装的应用程序(因此由管理员拥有)都是通过使用受信任的所有权拒绝的。
透過拒絕清單禁止應用程式的主要原因之一,是使「受信任擁有權」可用於授權管理用途,方式是不允許應用程式 (甚至是已知的應用程式,也就是受信任且已擁有的應用程式) 執行,直到管理員能於稍後透過定義特定使用者/群組或用戶端規則,明確允許存取該應用程式。 除了允许外部应用程序之外,此保护不需要配置。 此外,對於受信任所有者所擁有的檔案,要拒絕對有風險檔案的存取,拒絕清單非常有用。 比如,regedit.exe、ftp.exe 等。