Application Security Redux: все дело в приложениях (часть 3)

Опубликовано: 6 Апреля, 2023
Application Security Redux: все дело в приложениях (часть 3)

  • Снижение безопасности приложений: все дело в приложениях (часть 8)

Введение

В этой серии статей мы начали в части 1 с широкого обзора безопасности приложений и, в частности, различных компонентов эффективной и всеобъемлющей стратегии безопасности приложений, и начали решать некоторые из различных типов проблем безопасности приложений, а затем сосредоточились на кодировании. дефекты, как они возникают, типы уязвимостей приложений и способы их предотвращения или устранения. Во второй части мы начали с рассмотрения того, как защитить приложения от несанкционированного доступа или доступа, а также подробно рассмотрели особый случай мобильных приложений.

На этот раз, в части 3, мы обсудим, как вы можете блокировать нежелательные приложения и ограничивать действия пользователей с приложениями, которые вы разрешаете им использовать. Мы рассмотрим это с двух разных точек зрения: блокировка и контроль приложений в настольных операционных системах Windows и блокировка/контроль мобильных приложений на смартфонах и планшетах.

Блокировка приложений в Windows

Существует несколько различных способов управления использованием определенных программ в Windows, и какой из них подходит в конкретном случае, зависит от того, что вам нужно сделать, а также, в некоторых случаях, от конфигурации вашего компьютера и сети. Это также зависит от того, хотите ли вы блокировать приложения по всей сети или только на определенных компьютерах.

Обратите внимание, что некоторые методы, которые мы собираемся описать в следующих разделах, работают только с определенными версиями Windows. В настоящее время Microsoft поддерживает клиентские операционные системы Vista, Windows 7, Windows 8.1 и Windows 10. Некоторые или все из них могут быть запущены на компьютерах в вашей организации. В некоторых компаниях все еще есть системы под управлением Windows XP.

Здесь мы подробно рассмотрим каждый из следующих способов контроля или блокировки приложений на компьютерах с Windows:

  • Запрет пользователям устанавливать приложения через групповую политику
  • Использование взлома реестра для блокировки приложений
  • Использование стороннего программного обеспечения для предотвращения установки программ пользователями
  • Использование брандмауэра для блокировки доступа приложений к Интернету или блокировки веб-приложений (облачных)
  • Использование AppLocker (инструмент администрирования, ранее известный как политики ограниченного использования программ) для управления запуском установленных приложений.
  • Использование терминальных служб, удаленного приложения или VDI для управления приложениями, к которым у пользователей есть доступ

Запрет пользователям устанавливать приложения через групповую политику

Пользователи не могут запускать приложения, которые не установлены (ну, ладно, они могут запускать веб-приложения, но пока мы говорим о локальных приложениях. Мы вернемся к блокировке веб-сайтов позже). Таким образом, один из самых простых способов удержать их от использования нежелательных приложений — будь то из-за проблем с безопасностью приложений или из-за того, что они становятся пустой тратой времени и негативно сказываются на производительности пользователей — это в первую очередь запретить установку этих программ.

Вы можете начать с предоставления пользователям, которым не нужны дополнительные привилегии, стандартную учетную запись пользователя. Этот тип учетной записи позволяет им использовать большинство установленных программ, но не позволяет им устанавливать или удалять программное или аппаратное обеспечение. Потенциальная проблема заключается в том, что некоторые приложения, которые им могут понадобиться, требуют прав администратора. Мы говорим здесь о локальных учетных записях, а не об учетных записях Microsoft. Хотя локальные учетные записи по-прежнему работают и работают в Windows 8/8.1 и 10, эти операционные системы более ориентированы на облако, и пользователи могут входить в систему со своими учетными записями Microsoft.

В Windows 8 и Server 2012 и более поздних версиях вы можете использовать параметры групповой политики, чтобы запретить пользователям добавлять учетные записи Microsoft на компьютер. Его можно установить в политике домена или в настройках локальной политики. Это находится в следующем месте в консоли редактора групповой политики (GPEdit.msc):

Имя объекта групповой политикиКонфигурация компьютераПараметры WindowsПараметры безопасностиЛокальные политикиПараметры безопасности

Если вы включите параметр политики «Пользователи не могут добавлять или входить в систему с учетными записями Microsoft», пользователи не смогут входить в систему со своими существующими учетными записями Microsoft и не смогут создавать новые учетные записи Microsoft на компьютере или переключать локальную учетную запись. к Microsoft, и они не смогут подключить учетную запись домена к учетной записи Microsoft.

Обратите внимание, что включение этого в качестве политики домена не повлияет на компьютеры с более ранними версиями Windows, чем Windows 8 и Server 2012.

Еще один способ запретить пользователям устанавливать программы в Windows, который работает с любой учетной записью, — это использовать групповую политику для отключения установщика Windows. Этот метод будет работать в Windows XP, Vista, 7, 8/8.1 и 10, а также в операционных системах Windows Server. Этот параметр можно найти в следующем месте в редакторе групповой политики:

Конфигурации компьютера > Административные шаблоны > Компоненты Windows > Установщик Windows.

Установите для политики значение Отключить установщик Windows. Есть несколько вариантов:

  • Всегда полностью отключает установщик Windows. Обратите внимание, что это не запрещает пользователям устанавливать программы с помощью методов, отличных от установщика Windows.
  • Никогда не будет полностью включать установщик Windows, чтобы пользователи могли использовать его для установки или обновления программ.
  • Только для неуправляемых приложений — это промежуточный параметр, с помощью которого вы можете запретить пользователям устанавливать только те программы, которые вы им назначаете или публикуете.

Блокировать приложения, редактируя реестр

Еще один способ запретить пользователям устанавливать программное обеспечение — заблокировать его с помощью взлома реестра. Конечно, применяются все обычные меры предосторожности, связанные с редактированием реестра: сначала сделайте резервную копию на случай ошибки. Чтобы использовать этот метод, вам нужно перейти к следующему ключу в редакторе реестра:

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrent VersionPoliciesExplorerDisallowRun

Теперь вам нужно создать строковое значение в этом ключе, дать ему имя и установить его значение в имя исполняемого файла для программы, которую вы хотите заблокировать. Если вы хотите заблокировать более одного, вам потребуется создать дополнительные строковые значения, по одному для каждого приложения. Очевидно, что это утомительная задача, если вы хотите заблокировать много программ, но она может быть полезна, если вы хотите заблокировать только некоторые из них.

Использование стороннего программного обеспечения для предотвращения установки программного обеспечения

Еще один способ заблокировать установку приложений пользователями, а также автоматическую установку вредоносного, шпионского и рекламного ПО в результате атак «драйв-бай» — использовать продукты, предназначенные для мониторинга и контроля установки программного обеспечения. Существует ряд сторонних программ, в том числе разработанных для корпоративного использования, которые предотвращают запуск без авторизации установщиков, таких как Microsoft Windows Installer, InstallShield и других широко используемых коммерческих программ-установщиков.

Многие из них упрощают добавление авторизованных пользователей в белый список, что позволяет им устанавливать программное обеспечение без ограничений. Те, кто пытается установить программное обеспечение без авторизации, могут получать предупреждения о том, что это запрещено. Вы также можете запретить пользователям программное обеспечение с помощью этих утилит и отключить веб-браузер(ы).

Использование брандмауэра для блокировки приложений

Несмотря на многочисленные заявления о кончине периметра и о том, что брандмауэры устарели в сегодняшних «сетях без границ», этот страж смерти шлюза был сильно преувеличен. Как сетевые, так и хостовые брандмауэры по-прежнему являются важной частью комплексной корпоративной или личной стратегии безопасности, и брандмауэры могут использоваться как для блокировки загрузки пользователями приложений из Интернета, так и для блокировки доступа установленных приложений к Интернету.

Независимо от того, используете ли вы брандмауэр Windows, встроенный в клиентскую операционную систему, или сложный брандмауэр на основе сервера или устройства на сетевом уровне, блокировка приложений осуществляется путем создания правил брандмауэра, которые запрещают порты или протоколы, используемые приложением для связи.. Брандмауэр Windows позволяет относительно легко блокировать программы, создавая исходящие правила в дополнительных настройках. Вы просто создаете новое правило и выбираете, чтобы заблокировать программу, а затем просматриваете, чтобы найти путь к конкретным исполняемым файлам для программы, которую вы хотите заблокировать. Вы также можете применить правило к определенной сети или сетям (общедоступным, частным или доменным). Это руководство содержит подробные инструкции по блокировке программ с помощью брандмауэра Windows 10.

С сетевым брандмауэром все немного сложнее, но у вас больше контроля и гибкости. Брандмауэры, поддерживающие правила брандмауэра уровня 7, могут блокировать доступ клиентов к определенным онлайн-приложениям. Вы можете фильтровать интернет-приложения, такие как Facebook или Spotify, используя веб-фильтрацию. Сетевые брандмауэры прикладного уровня работают с определенной целью блокирования ввода и/или вывода или доступа к приложениям и службам.

Конечно, современные сети очень ориентированы на облачные технологии, и, как и следовало ожидать, теперь существуют облачные брандмауэры веб-приложений, которые можно использовать без установки программного или аппаратного обеспечения на хост-компьютеры. Как правило, они работают путем маршрутизации трафика через облачный брандмауэр, а это означает, что для этого вам обычно придется настраивать DNS.

Резюме

В этом третьем выпуске нашей серии статей о безопасности приложений началось обсуждение способов блокировки приложений в Windows, и мы рассмотрели, как запретить пользователям устанавливать приложения с помощью групповой политики, как использовать взлом реестра для блокировки приложений, как использовать стороннее программное обеспечение для предотвращения установка программ и использование брандмауэра для блокировки доступа приложений к Интернету или для блокировки веб-приложений (облачных).

В следующий раз, в части 4, мы собираемся углубиться в Microsoft AppLocker, который был представлен в Windows 7 и Server 2008 R2 и вырос из предыдущей функции политик ограниченного использования программ. Тогда обязательно присоединяйтесь к нам.

  • Снижение безопасности приложений: все дело в приложениях (часть 8)
Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023