Предотвратите кибератаки с помощью внесения приложений в белый список с помощью Windows AppLocker.
Происхождение термина «черный список» восходит, по крайней мере, к 1884 году, когда он использовался для обозначения списка работодателей, считавшихся проблемными работниками, обычно для профсоюзной деятельности. Термин «белый список» был придуман примерно в то же время и относится к списку людей или организаций, которые считаются достойными одобрения или принятия, или к списку вещей, которые считаются безопасными, приемлемыми или желательными. Вот этимология (зевает), а теперь вернемся к ИТ. Белый список используется в ИТ-индустрии в нескольких целях. У вас могут быть белые списки электронной почты для доверенных отправителей, которые не будут отфильтрованы как спам. У вас могут быть белые списки локальной сети, чтобы контролировать, какие системы разрешены в сети на основе их MAC-адресов. И у вас могут быть белые списки приложений, которые являются функцией безопасности, используемой для определения того, какие программы разрешено запускать в вашей системе. Microsoft Windows включает встроенную поддержку внесения приложений в белый список, начиная с Windows 7, используя функцию Windows AppLocker, и эта статья посвящена именно этому. Чтобы узнать больше о AppLocker, я пригласил Оддвара Мо, ИТ-специалиста, проработавшего более 17 лет в различных областях ИТ, чтобы объяснить, как организации могут извлечь выгоду из его использования и как его можно настроить. Оддвар — MVP по управлению облаком и центром обработки данных, который работает в Advania в Норвегии в качестве главного технического архитектора, специализирующегося на безопасности Windows, как наступательной, так и оборонительной. Оддвар является сертифицированным тренером Microsoft, а также сертифицированным тестером на проникновение (GIAC Penetration Tester). У него есть страсть к безопасности, и он любит делиться своими знаниями, и делает это через свой блог, пишет статьи, выступает на конференциях, пишет сценарии или в социальных сетях. Для получения дополнительной информации о нем см. его блог, его профиль MVP или его профиль LinkedIn. Вы также можете подписаться на Oddvar в Twitter. Теперь давайте обратим внимание на то, как Оддвар знакомит нас с основами настройки белого списка приложений на компьютерах с Windows.
Преимущества внесения приложений в белый список
Бьюсь об заклад, вы все уже слышали эти слова миллион раз, но что они на самом деле означают с точки зрения внедрения и обслуживания белого списка приложений? Я не буду лгать вам, правда в том, что белый список приложений может быть трудно поддерживать с течением времени, и на пути, безусловно, есть препятствия. Но преимущества того, что это реализовано должным образом, действительно того стоят.
Я не знаю, сколько клиентов, с которыми я разговаривал, удалили права локального администратора для своих конечных пользователей и думают, что теперь они, наконец, в безопасности от всех жестоких атак, которые происходят. Удаление прав локального администратора у ваших конечных пользователей может быть очень трудным делом, и вы должны похлопать себя по плечу за это, но это только начало повышения безопасности на ваших рабочих станциях.
Самый распространенный вопрос
Мой самый частый вопрос клиентам: «Могут ли конечные пользователи, не являющиеся администраторами, устанавливать программное обеспечение на свои компьютеры?» К моему большому удивлению, люди думают, что конечные пользователи не могут этого сделать. Знаете ли вы, что большинство современных установщиков в наши дни фактически определяют, является ли пользователь локальным администратором или нет, и даже спрашивают, хотите ли вы установить программное обеспечение, даже если вы не являетесь локальным администратором?
Лучший пример — Google Chrome. Если вы запустите установщик с пользователем, который не является локальным администратором, появится приглашение UAC и запросит учетные данные для повышения привилегий. Если вы нажмете «Отмена», установщик фактически спросит, следует ли его устанавливать, даже если у вас нет прав локального администратора. Это показано на этом снимке экрана:
Зачем я вам все это рассказываю, спросите вы? Причина в том, что если конечные пользователи могут запускать и устанавливать программное обеспечение, то и злоумышленники тоже. Поэтому нам нужен белый список приложений, чтобы этого не произошло. В этой статье я сосредоточусь на AppLocker, но есть много других продуктов, предлагающих аналогичную защиту. У Microsoft есть, например, Контроль приложений Защитника Windows (Device Guard).
Настройка AppLocker
Если у вас в организации есть корпоративная версия Windows, у вас уже есть лицензия на AppLocker, и я бы порекомендовал вам хотя бы настроить ее с базовыми параметрами. Просто применяя простые правила, вы можете устранить большинство автоматических атак программ-вымогателей.
Позвольте мне начать с базовой настройки AppLocker. Во-первых, вам нужно убедиться, что ваши клиенты работают под управлением корпоративной версии Windows (Windows 7 или выше). Затем вам нужно убедиться, что они являются частью домена Active Directory. Вы используете групповую политику в Active Directory для централизованной настройки AppLocker. Хорошо, у вас есть предварительные условия, теперь вам нужно создать групповую политику, связанную с компьютерами, к которым вы хотите применить политики AppLocker. На этом снимке экрана показано, как это выглядит:
Внутри этой групповой политики вам необходимо настроить действия AppLocker. Параметры AppLocker находятся в разделе «Конфигурация компьютера Политики Параметры Windows Параметры безопасности Политики контроля приложений».
Есть пять частей AppLocker, для которых вы можете создать правила:
- EXE
- Скрипт
- DLL
- Установщики MSI
- Пакетные приложения
Если у вас отсутствует DLL, сначала нужно щелкнуть правой кнопкой мыши имя AppLocker и выбрать свойства. Оттуда перейдите на вкладку «Дополнительно» и включите сбор правил DLL. В нем есть предупреждение о том, что это повлияет на производительность системы. Исходя из моего опыта, это не проблема. После того, как вы включили сбор правил DLL, он будет доступен вместе с остальными.
Далее вам нужно снова щелкнуть правой кнопкой мыши имя AppLocker и перейти к свойствам. Отсюда вы должны выбрать, как AppLocker должен применять правила. У вас есть возможность выбрать «Принудительно применять правила» или «Только аудит». При внедрении AppLocker вы часто начинаете с аудита только для того, чтобы ничего не сломать. После того, как вы решили использовать Enforce или Audit, вы должны настроить правила. Это можно сделать, щелкнув правой кнопкой мыши коллекцию, для которой вы хотите создать правила. Я часто начинаю с использования правил по умолчанию. Для этого просто выберите «Создать правила по умолчанию», и вы получите следующее:
Вот и все, теперь вы создали несколько правил AppLocker, и осталось настроить еще одну вещь в групповой политике: службу идентификации приложения. Эта служба должна быть запущена на клиентах, чтобы AppLocker работал. В рамках той же групповой политики вы можете указать это, перейдя в Параметры компьютераПолитикиПараметры WindowsПараметры безопасностиСистемные службыИдентификация приложения и установив для него значение Автоматически.
Вот оно! Теперь у вас есть базовая настройка AppLocker. Если вы выбрали только аудит, вы можете просмотреть журналы в средстве просмотра событий Windows в разделе Журнал приложений и служб Microsoft Windows AppLocker.
Правила по умолчанию гарантируют, что будут запускаться только файлы, расположенные в папках C:program files, C:program files (x86) и C:Windows. Многие типы вредоносных программ размещают двоичные файлы в Appdata пользователя. Если вредоносное ПО может размещать туда файлы, AppLocker предотвратит его запуск. Если, конечно, вы решите применять правила.
Другой подход вместо использования папок — использовать цифровую подпись как нечто, чему вы доверяете. Это может быть, например, то, что вы доверяете каждому двоичному файлу, подписанному Microsoft. Это правило можно создать, создав правило издателя, когда вы определяете новое правило в одном из разных разделов.
Теперь твоя очередь
На мой взгляд, белый список приложений — очень важная часть безопасности клиента. Нам нужно контролировать то, что разрешено запускать на клиентах, и предотвращать запуск нежелательного кода. Внедрение белого списка приложений не только повысит вашу безопасность, но и повысит стабильность ваших клиентов, поскольку они не смогут добавлять и запускать программы, которые вы не разрешаете. Надеюсь, это поможет вам начать работу с белым списком приложений и даст вам мощное оружие в борьбе с кибератаками. И не бойтесь обращаться ко мне, если у вас есть какие-либо вопросы, разместив комментарий внизу этой статьи.