Applocker बनाम सॉफ्टवेयर प्रतिबंध नीति

लक्ष्य उपयोगकर्ताओं को टर्मिनल सर्वर पर अवांछित प्रोग्राम चलाने से रोकना है।

मैंने Microsoft और अन्य लोगों के कई लेखों को पढ़ते हुए कहा है कि नया Applocker फीचर पुरानी सॉफ़्टवेयर प्रतिबंध नीति से 100% बेहतर है और बाद के प्रतिस्थापन के रूप में अनुशंसित है।

मुझे कर्नेल मोड निष्पादन के अलावा Applocker के वास्तविक लाभों को समझना सुनिश्चित नहीं है। सॉफ़्टवेयर प्रतिबंध नीति के साथ इसकी अधिकांश कार्यक्षमताओं को पुन: प्रस्तुत किया जा सकता है।

उसी में इसका एक बड़ा नुकसान है जो इसे बहुत बेकार बनाता है: यह एक्स्टेंसिबल नहीं है, और आप कस्टम फ़ाइल एक्सटेंशन को नहीं जोड़ सकते हैं जिसे आप प्रतिबंधित करना चाहते हैं।

SRP पर Applocker के क्या फायदे हैं और आप सॉफ्टवेयर नियंत्रण के लिए क्या सलाह देंगे?

सॉफ़्टवेयर प्रतिबंध नीति Microsoft द्वारा निकाली गई है ( तकनीकी रूप से दावा करते हुए SRP समर्थित नहीं है ), क्योंकि विंडोज 7 एंटरप्राइज / अल्टीमेट ऐपलॉकर प्रस्तुत किया गया था।

व्यावहारिक रूप से एसआरपी में कुछ नकारात्मक प्रभाव होते हैं, झूठे नकारात्मक और गलत सकारात्मक दोनों के लिए। AppLocker का यह फायदा है कि इसे अभी भी सक्रिय रूप से बनाए रखा और समर्थित किया जा रहा है। यदि AppLocker एक विकल्प है तो यह आपके समय और जोखिमों के हिसाब के बाद सस्ता हो सकता है। यह भी संभव है कि एक उपयुक्त तृतीय-पक्ष विकल्प हो (लेकिन इस प्रश्न में उस विकल्प को शामिल नहीं किया गया :)।

उम्मीद है कि आप उनमें से किसी में आने से पहले SRP के नुकसान के बारे में सही समझ हासिल कर लेंगे </sarcasm>। उनमें से कुछ का वर्णन वादिम्स पॉडन्स के एक अच्छे सुरक्षा लेख में किया गया है ।

ज्ञात नुकसान

1. डिफ़ॉल्ट रूप से, \Windowsफ़ोल्डर से निष्पादन की अनुमति है। कुछ उप-फ़ोल्डर उपयोगकर्ताओं द्वारा लिखे जा सकते हैं। Applocker एक ही है, लेकिन कम से कम आधिकारिक प्रलेखन में इस सीमा का उल्लेख है ।

   EDIT: " उन सभी फोल्डर को एन्यूमरेट करने के लिए, जिन्हें यूजर्स एक्सेस का उपयोग कर लिखते हैं, उदाहरण के लिए, Sysinternals पैक से AccessEnum यूटिलिटी।" (या AccessChk )।

   तकनीकी रूप से प्रलेखन आपको डिफ़ॉल्ट नियमों को ओवरराइड करने से भी बचाता है । संपादित करें: एक NSA दस्तावेज़ SRP के साथ ब्लैकलिस्ट करने के लिए फ़ोल्डर्स के 16 उदाहरण देता है , हालांकि रजिस्ट्री पथ नियम गलत तरीके से बैकस्लैश का उपयोग करते हैं, इसलिए इसे सही किया जाना चाहिए (नीचे दिए गए रजिस्ट्री पथ पर बिंदु देखें) और एक आम ओवर-ब्रॉड ब्लैकलिस्ट प्रविष्टि के बारे में चेतावनी देता है।

   स्पष्ट सवाल यह है कि हम \Windowsइसके बजाय अलग-अलग रास्तों को ध्यान से सफ़ेद क्यों नहीं कर रहे हैं । ( \Windows\*.exeविरासत सहित System32\*.exe, आदि)। मैंने कहीं भी इसका कोई जवाब नहीं दिया :(

2. पर्यावरण चर का उपयोग करते हुए %systemroot%, एसआरपी को पर्यावरण चर को साफ करके उपयोगकर्ताओं द्वारा बाईपास किया जा सकता है। EDIT: ये सुझाए गए चूक में उपयोग नहीं किए जाते हैं। हालांकि वे उपयोग करने के लिए आकर्षक हो सकते हैं। यह फाल्गुन AppLocker में तय किया गया है, क्योंकि यह पर्यावरण चर को कभी नहीं देखता है।

3. \Program Filesआधुनिक 64-बिट इंस्टॉल्स पर उपयोग किए जाने वाले दो अलग - अलग के लिए अनुमति देने के लिए सुझाए गए चूक उपेक्षा करते हैं । अधिक सुरक्षित "रजिस्ट्री रास्तों" का उपयोग करके इसे हल करते समय, यादृच्छिक स्थितियों में झूठी इनकार की खबरें होती हैं, जो आसानी से परीक्षण में चूक हो सकती हैं। उदाहरण के लिए SpiceWorks SRP howto पर टिप्पणियां देखें । संपादित करें: यह रजिस्ट्री के WOW6432Node से प्रासंगिक पथों को पढ़ने वाले 32-बिट अनुप्रयोगों के साथ करना है: सभी कार्यक्रमों को 32-बिट और 64-बिट मशीनों पर काम करने की अनुमति देने के लिए SRP में इन दोनों रास्तों को जोड़ने के लिए अप्रतिबंधित के रूप में क्या शुरू किया गया है x64 या x86 होस्ट प्रक्रिया:%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir (x86)% %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramW6432Dir%
4. Windows द्वारा समर्थित PowerShell स्क्रिप्ट (* .PS1) को निषिद्ध करने के लिए डिफ़ॉल्ट एक्सटेंशन उपेक्षा करते हैं । (देखें वीडियो ) और APPX भी ... Microsoft की तुलना तालिका के अनुसार, SRP विंडोज 8 में "पैकेज्ड ऐप्स" का प्रबंधन नहीं कर सकता है, मुझे इसका कोई मतलब नहीं है।
5. रजिस्ट्री पथ नियम (में शामिल किए जाने के बावजूद माइक्रोसॉफ्ट के स्वयं निर्मित XP / सर्वर 2003 के लिए नियमों को) तुरंत पिछले प्रतिशत चिह्न के बाद स्लैश नहीं होना चाहिए और किसी भी बैकस्लैश काम (करने के लिए शासन के क्रम में forwardslashes के साथ प्रतिस्थापित किया जाना चाहिए 1 / 2 / ३ )।
6. एसआरपी के लिए मुझे जो स्रोत मिले, उनमें से किसी ने भी पूरी सूची आप के लिए एक साथ नहीं रखी। और मैंने केवल दुर्घटना से वादिम्स पॉडन्स के लेख की खोज की। वहाँ और क्या है?
7. कई स्रोत केवल सूची से एलएनके फ़ाइलों को हटाने की सलाह देते हैं। (और पसंदीदा टूटने से बचने के लिए वेब शॉर्टकट?)। ध्यान से, कोई स्रोत LNK भेद्यता पर चर्चा करने के लिए नहीं लगता है ... या एक अप्रत्याशित विस्तार के साथ फ़ाइलों को चलाने के लिए स्क्रिप्ट दुभाषियों को प्राप्त करना जैसेwscript /e ... या शायद इनलाइन स्क्रिप्ट पैरामीटर में पर्याप्त शेलकोड भरवाना ... आदि।
8. यदि आप डेस्कटॉप पर LNK फ़ाइलों की अनुमति देकर समझौता करने का प्रयास करते हैं, और आप उपयोगकर्ताओं को डेस्कटॉप पर लिखने की पहुँच के साथ छोड़ देते हैं, तो वे अब आपकी नीति को पूरी तरह से बायपास कर सकते हैं। वादिम्स पॉडन्स से फिर से लवली टिप। ध्यान दें कि एक पथ नियम में किसी भी विस्तार का उपयोग करने के लिए स्पष्टीकरण लागू होता है। Microsoft इसमें कई उदाहरण प्रस्तुत करता है *.Extension, जिसमें कोई चेतावनी नहीं है। इसलिए आप आधिकारिक दस्तावेज़ीकरण पर भरोसा नहीं कर सकते हैं , और ऐसा लगता है कि अब तय नहीं हो सकता है।
9. [संभावित AppLocker नुकसान]। वादिम्स पोडन्स की रिपोर्ट है कि मैप किए गए ड्राइव का उपयोग करके एसआरपी प्रविष्टियां काम नहीं करती हैं। इसके बजाय UNC पथ का उपयोग किया जाना चाहिए। शायद वे तब मैप किए गए ड्राइव के माध्यम से एक्सेस करने के लिए आवेदन करेंगे? यह 100% स्पष्ट नहीं है। जाहिरा तौर पर AppLocker अलग था: यह या तो के साथ काम नहीं किया :(! "अज्ञात कारण के कारण, UNC पथ Applocker में काम नहीं करता है! इसका मतलब है कि यदि आपका एप्लिकेशन नेटवर्क में स्थापित है, तो आपको या तो हैश या प्रकाशक नियम बनाने होंगे! । "

व्यावहारिक दृष्टिकोण

सॉफ्टवेयर का सफ़ेद होना संभावित रूप से एक बहुत शक्तिशाली रक्षा है। यदि हम निंदक हो जाते हैं: यही कारण है कि Microsoft कम कीमत वाले संस्करणों को चित्रित करता है और अधिक जटिल लोगों को आमंत्रित करता है।

शायद कोई अन्य विकल्प उपलब्ध नहीं है (तृतीय-पक्ष समाधान शामिल करें)। फिर एक व्यावहारिक दृष्टिकोण एसआरपी को यथासंभव सरल बनाने की कोशिश करना होगा। ज्ञात छेद के साथ इसे बचाव की एक अतिरिक्त परत के रूप में मानें। ऊपर के नुकसान का मिलान:

1. डिफ़ॉल्ट नियमों से शुरू करें (पूर्व-विन 7 युग से :)।
2. पर्यावरण चर का उपयोग नहीं करना पसंद करते हैं, जैसे %systemroot%।
3. सुनिश्चित करें कि \Program Files\आधुनिक 64-बिट मशीनों पर दोनों निर्देशिकाओं की अनुमति देने के लिए नियम जोड़ें । अतिरिक्त "रजिस्ट्री पथ" आपको \Program Files\64-बिट कंप्यूटरों पर जोड़ने की आवश्यकता होगी %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir (x86)%और %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramW6432Dir%।
4. रजिस्ट्री पथ नियमों में जोड़ते समय, प्रतिशत के संकेत के तुरंत बाद किसी भी बैकस्लैश को छोड़ दें, और आगे के बैकस्लैश \को फ़ॉर्वर्डलैश /(जैसे %HKEY_LOCAL_MACHINE\Software\CompanyName\CustomApps%App/Bin/start.exe) से बदलें
5. PS1 को नियंत्रित एक्सटेंशन की सूची में जोड़ें।
6. यह समझें कि एक प्रबंधनीय एसआरपी विन्यास इसे हराने के लिए निर्धारित उपयोगकर्ता के खिलाफ सुरक्षित नहीं है। उद्देश्य उपयोगकर्ताओं को "ड्राइव-बाय डाउनलोड" जैसे हमलों से बचाने के लिए नीति के भीतर काम करने के लिए प्रोत्साहित / प्रोत्साहित करना है।
7. LNK फ़ाइलों की अनुमति दें। (अधिमानतः इसे एक्सटेंशन सूची से हटाकर, कुछ पथ नियम के माध्यम से नहीं)।
8. ऊपर देखो :)।
9. सुनिश्चित करें कि आपका लॉगऑन स्क्रिप्ट फ़ोल्डर अनुमत है। NSA दस्तावेज़ जोड़ने का सुझाव देता है \\%USERDNSDOMAIN%\Sysvol\। (बिंदु # 2 देखें, आह, फिर बिंदु # 6 देखें)।

मैं मानता हूं कि एसआरपी में कुछ अतिरिक्त विशेषताएं हैं जिन्हें AppLocker वास्तव में लाभ उठा सकता है।

कहा जा रहा है, मैं AppLocker ( इस तुलना द्वारा प्रलेखित ) के बड़े लाभों को देखता हूं :

• AppLocker नियमों को एक विशिष्ट उपयोगकर्ता या उपयोगकर्ताओं के समूह को लक्षित किया जा सकता है, जबकि SRP पूरे कंप्यूटर पर लागू किया जाता है।
• AppLocker ऑडिट मोड का समर्थन करता है ताकि नियम लागू होने से पहले उत्पादन में परीक्षण किया जा सके। SRP के पास केवल समान लॉग-इन मोड नहीं है।

मेरे लिए सबसे बड़ा फायदा प्रकाशक द्वारा हस्ताक्षरित निष्पादक श्वेतसूची की क्षमता है। इस http://technet.microsoft.com/en-us/library/ee460943(v=ws.10).aspx पर एक नज़र डालें

AppLocker के कोई लाभ नहीं हैं, Microsoft ने स्पष्ट झूठ प्रकाशित किया: 1. SAFER नियमों वाले GPO को उपयोगकर्ताओं और उपयोगकर्ता समूहों से जोड़ा जा सकता है; 2. विंडोज विस्टा ने कई स्थानीय जीपीओ पेश किए जो बिना डोमेन नियंत्रक के समान परिणाम प्राप्त करते हैं; 3. ऑडिट मोड NO प्रवर्तन के साथ विस्तारित लॉगिंग सुविधा के माध्यम से उपलब्ध है।

मैं अपनी कंपनी के भीतर Applocker का उपयोग करता हूं। हम जो रणनीति का उपयोग करते हैं वह है: सब कुछ एक आधारभूत के रूप में अस्वीकार करें (वास्तव में: अप्प्लोकर चूक), और फिर जो सुझाव दिया गया था: एक नियम बनाएं जो केवल हस्ताक्षर किए गए अनुप्रयोगों (कार्यालय, एडोब, विंटूल, कुल्हाड़ी आदि) के लिए अनुमति देता है। अधिकांश, शायद सभी मैलवेयर पर हस्ताक्षर किए गए सॉफ़्टवेयर नहीं हैं, इसलिए निष्पादित नहीं होंगे। यह शायद ही कोई रखरखाव है। मुझे केवल 3 अतिरिक्त विरासत ऐप के लिए अनुमति देनी थी।

इसके अलावा, मैं पुष्टि नहीं कर सकता कि कोई यूएनसी-रास्तों का उपयोग नहीं कर सकता है। कुछ अतिरिक्त सुरक्षा से इनकार करने वाले नियमों में, मैं UNC-path के सक्सेस का उपयोग करता हूं। नुकसान पर्यावरणविद्या का उपयोग करने में है: वे Applocker के लिए काम नहीं करते हैं। * वाइल्डकार्ड का उपयोग करें। मैं इसका उपयोग विंडोज 2008 आर 2 और विंडोज 2012 आर 2 पर करता हूं।

मुझे यह बहुत पसंद है: शायद ही कोई प्रदर्शन-पतन हुआ हो। जैसा कि प्रलेखन कहता है: Applocker अनुप्रयोग पहचान सेवा पर निर्भर करता है (सुनिश्चित करें कि यह स्वचालित रूप से शुरू होता है)।