Снижение безопасности приложений: все дело в приложениях (часть 6)

Опубликовано: 6 Апреля, 2023

  • Application Security Redux: все дело в приложениях (часть 4)
  • Снижение безопасности приложений: все дело в приложениях (часть 8)

Введение

В этой серии статей мы начали с части 1 с общего обзора безопасности приложений, некоторых различных типов проблем безопасности приложений и дефектов кода, а также типов уязвимостей приложений. Во второй части мы начали с рассмотрения того, как защитить приложения от несанкционированного доступа или доступа, а также подробно рассмотрели особый случай мобильных приложений. В части 3 мы обсудили, как вы можете блокировать нежелательные приложения и ограничивать действия пользователей с приложениями, которые вы разрешаете им использовать.

В части 4 мы начали изучать Microsoft AppLocker, а в части 5 мы углубились в использование PowerShell для настройки и управления AppLocker.

На этот раз, в части 6, мы собираемся завершить обсуждение нашей предпоследней темы ограничения того, что пользователи могут и не могут делать с разрешенными приложениями, обзором новой возможности управления приложениями в Windows. 10 мобильных устройств, в частности через CSP, который был добавлен в AppLocker в Windows 10 и/или Microsoft Intune. Затем в следующий раз мы перейдем к последнему пункту в нашем списке и обратимся к шифрованию и защите данных, которые создаются, собираются или хранятся приложениями.

Управление мобильными приложениями

В современном мобильном мире ИТ-специалистам приходится заботиться не только о приложениях для настольных компьютеров и ноутбуков, но даже в основном о них. Мобильные приложения, работающие на различных платформах, включая Windows, Apple iOS, Android и другие, используются сотрудниками в среде «Принеси свое собственное устройство» для доступа к корпоративным сетям. Это может представлять реальную угрозу безопасности, когда эти мобильные приложения не находятся под вашим контролем.

Вот почему решения для управления мобильными устройствами (MDM) в настоящее время являются таким важным элементом корпоративной безопасности. С помощью MDM вы можете контролировать параметры конфигурации и применять политики компании на смартфонах и планшетах. Многие решения MDM могут поддерживать устройства, работающие на всех основных мобильных операционных системах. Управление мобильными приложениями (MAM) — это подкатегория MDM, позволяющая заносить в белый или черный список определенные приложения.

Решения Microsoft MDM и MAM

Microsoft позиционирует Intune как свою облачную службу управления мобильными устройствами. Хотя Intune предлагает ряд функций, включая защиту электронной почты и документов, нас здесь интересует возможность управлять мобильными приложениями Office и контролировать их. Очевидно, что компания осознала важность защиты на уровне приложений в многоплатформенной мобильной бизнес-среде и работает над удовлетворением этой потребности.

Преимущества InTune

Иногда вы не хотите полностью блокировать использование приложения или полностью запрещать пользователю доступ к данным, созданным с его помощью; вы просто хотите точно контролировать пользователи могут делать с этими файлами, и, в частности, вы хотите, чтобы они не делились данными с неуполномоченными лицами. С помощью Intune вы можете использовать технологию управления правами Microsoft, чтобы ограничить использование данных, к которым обращаются эти приложения, чтобы пользователи не могли копировать, вставлять, пересылать или изменять сообщения электронной почты и документы Office. Многие корпоративные пользователи знакомы со службами управления правами (RMS) в приложениях для настольных компьютеров и ноутбуков. Преимущество Intune заключается в том, что эта возможность управления расширяется на некоторые другие бизнес-приложения.

Затем бывают случаи, когда вы полностью заблокировать определенное приложение либо потому, что оно представляет угрозу безопасности, либо потому, что это трата времени и снижение производительности (или и то, и другое). Intune поможет вам и в этом. Вы также можете настроить его для запрета определенных приложений, которые вы не хотите, чтобы ваши пользователи использовали, и вы можете запретить использование ими определенных веб-приложений, заблокировав доступ к применимым URL-адресам на мобильном устройстве. С другой стороны, если у вас есть определенные приложения, которые вы хотите, чтобы пользователи использовали, вы можете отправить эти приложения на свои устройства, а не полагаться на них, чтобы инициировать процесс установки.

И вы можете пойти еще дальше. Intune не только позволит вам предотвратить установку определенных приложений, но также предоставит вам возможность выборочно стирать управляемые приложения и связанные с ними данные, когда устройство потеряно или украдено, или пользователь покидает организацию, или по любой другой причине. вы хотите удалить приложение с устройств пользователей.

Плохая новость заключается в том, что не всеми приложениями можно управлять с помощью Intune. Хорошая новость заключается в том, что управление приложениями Intune не ограничивается только мобильными приложениями Microsoft. Инструмент Intune App Wrapping доступен для приложений iOS и Android. Это средство, с помощью которого ваши собственные разработчики могут обернуть ваши настраиваемые бизнес-приложения, чтобы вы могли управлять ими с помощью политик MAM, что значительно упрощает управление этими приложениями.

Есть некоторые предпосылки для использования инструмента и создания управляемых приложений; для приложений iOS вам потребуется учетная запись Apple Developer и сертификат распространения, а на устройстве должна быть установлена iOS версии 7.01 или более поздней. Обернутые приложения для Android требуют версии 4.0 или более поздней, и приложение должно быть незашифрованным пакетом приложения Android (расширение файла.apk). Обратите внимание, что инструмент упаковки работает только с вашими пользовательскими приложениями, созданными вашими штатными разработчиками или созданными для вашей организации, — другими словами, вы не можете использовать его для переноса и управления приложениями Play Store.

Intune является частью Microsoft Enterprise Mobility Suite, облачного набора служб управления мобильными устройствами, который также включает Azure Rights Management и Azure Active Directory Premium для обеспечения безопасности на уровне предприятия и контроля над мобильными активами.

AppLocker CSP для Windows 10 Mobile

В то время как Intune имеет более широкое применение для управления устройствами Apple и Android, а также устройствами на базе операционных систем Microsoft, если ваши устройства работают под управлением Windows 10 Mobile, у вас есть новая возможность блокировки этих надоедливых нежелательных приложений. AppLocker и поставщик службы конфигурации AppLocker (CSP) определяют, какие приложения разрешены или заблокированы.

Например, в Магазине Windows есть много приложений, которые вы, возможно, не хотите, чтобы ваши пользователи устанавливали на устройства, которые они будут использовать в вашей сети, и получать доступ к вашим ресурсам. Вы можете заблокировать доступ к Магазину для устройств Windows Mobile 10 с помощью AppLocker.

Вы делаете это, создавая правило, которое будет блокировать упакованные приложения, которые вы хотите заблокировать, по имени. Если вы не знакомы с этим термином, упакованные приложения — это то же самое, что и универсальные приложения Windows, которые построены на UWP (универсальной платформе Windows) и могут работать как в клиентской операционной системе Windows 10 для настольных компьютеров/ноутбуков, так и в Windows. 10 Mobile, версия, работающая на смартфонах с Windows и «фаблетах» (телефонах размером с планшет). Это часть инициативы «Единое окно», выдвинутой Сатьей Наделлой вскоре после того, как он занял пост генерального директора.

Преимущество для наших целей заключается в том, что вы можете заблокировать все приложение всего одним правилом AppLocker. В неупакованных (традиционных) приложениях каждый файл в приложении может иметь уникальный идентификатор, поэтому вам потребуется несколько правил для работы с ними.

Вы используете правила издателя для блокировки упакованных приложений, для которых необходимо указать имя издателя, имя пакета и версию пакета. Вам может быть интересно, что насчет неподписанных приложений и как AppLocker будет их идентифицировать. Ну, на самом деле это не проблема, потому что Windows не поддерживает неподписанные упакованные приложения. Это означает, что все упакованные приложения, которые вы будете запускать, на самом деле подписаны издателем.

Обратите внимание, что правило будет применяться как к установке упакованного приложения, так и к его выполнению, поскольку файл установщика пакета имеет ту же информацию об издателе, что и исполняемый файл программы для приложения. Вы можете создавать исключения, как и в случае с другими правилами AppLocker, и применять правила к указанным пользователям и/или группам.

Создание правила AppLocker для упакованного приложения выполняется с помощью консоли управления групповыми политиками (GPMC) или оснастки локальной политики безопасности, если вы хотите применять правила AppLocker только на локальном компьютере. Как и в случае с другими правилами AppLocker (как мы обсуждали в предыдущем выпуске этой серии), при создании нового правила вы указываете, разрешить или запретить приложение и к каким пользователям и/или группам оно будет применяться. к.

Мастер создания правил AppLocker предоставляет вам возможность создавать правила, которые ссылаются либо на уже установленное упакованное приложение, либо вы можете ссылаться на установщик упакованного приложения в качестве основы для своего правила. В первом случае вы контролируете, какие пользователи или группы могут запускать приложение, а во втором случае вы контролируете, какие пользователи или группы могут устанавливать приложение. Вы также можете исключить определенные файлы из действия правила, используя параметр «Исключения» в мастере. Пошаговые инструкции по созданию правила AppLocker для упакованных приложений см. в этой статье TechNet.

Резюме

В этом шестом выпуске нашей серии статей о безопасности приложений для новой бизнес-модели мы рассказали о возможности использования службы Microsoft Intune для управления мобильными приложениями и их блокировке, а также о том, как вы можете контролировать или блокировать использование упакованных универсальных приложений Windows в Windows 10 и Windows. 10 Мобильный с AppLocker. Это завершает тему управления тем, что пользователи могут делать с приложениями. В следующий раз, в части 7, мы перейдем к теме шифрования и защиты данных, генерируемых приложениями на настольных компьютерах и с помощью мобильных устройств.

  • Application Security Redux: все дело в приложениях (часть 4)
  • Снижение безопасности приложений: все дело в приложениях (часть 8)
Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023