.

Как правило, самый простой способ — идентификация по сертификату издателя. При использовании этого метода нетрудно предусмотреть в любом правиле все будущие версии приложения. Недостаток сертификатов издателя — наличие большого количества программ без цифровых подписей, которые нельзя идентифицировать таким методом. В одних случаях реализации метода в белые списки вносится только имя издателя, а в других можно указать имя, назначенное приложению, и его версию.

При использовании хешированного значения формируется цифровой хеш, нечто вроде цифрового отпечатка, идентифицирующий исполняемый файл целевого приложения. Недостаток цифровых хешей заключается в том, что при каждом изменении файла (в результате установки программных исправлений или новой версии приложения) значение хеша необходимо пересчитывать, так как «цифровой отпечаток» изменяется. Если в основе белого списка лежит хешированное значение, необходимо предусмотреть способ своевременного пересчета обновлений программ в регулярном цикле управления.

Идентификация на основе пути — самый простой, но одновременно и самый уязвимый способ идентификации файлов. Преимущество сертификатов издателя и хешированного значения заключается в том, что в случае изменения исполняемого файла вредоносной программой он исключается из белого списка, как не соответствующий идентифицирующим свойствам издателя или хеша. А зараженный исполняемый файл, идентифицируемый по пути, остается в белом списке и воспринимается как безопасный.

Политики ограничения и AppLocker

Политики ограничения приложений появились в Windows со времени XP. С помощью политик ограничения программ Software Restriction Policies (SRP) можно создать правила хешей и правила путей. Политики SRP имеют следующие преимущества и недостатки.

  • Идентификация файлов на основе хеша и местоположения.
  • Содержат правила сертификатов издателя, но функционируют по принципу «все или ничего». Все приложения, подписанные издателем, разрешаются или запрещаются. Например, нельзя использовать правило сертификатов издателя, чтобы разрешить Adobe Acrobat, но блокировать Adobe Photoshop. Для создания правила SRP необходима копия сертификата издателя в формате. cer или. crt.
  • Позволяют указать, какие расширения относятся к исполняемым файлам.
  • Не содержат правил издателя.
  • Правила приходится строить вручную.
  • Не существует иного централизованного решения для подготовки отчетов, кроме просмотра журналов событий.
  • Используется собственная функциональность групповой политики; не требуется установки дополнительного клиента.

Утилита AppLocker в составе Windows 7 расширяет функциональность SRP. В AppLocker появился целый ряд улучшений.

  • Можно создать правило издателя на основе эталонного файла без необходимости в отдельном файле сертификата формата. cer или. crt.
  • Можно автоматически проанализировать компьютер, чтобы подготовить набор правил издателя и сертификата.
  • Поддерживаются только клиенты Windows 7 Professional, Enterprise и Ultimate.
  • Утилита применяется через групповую политику. При отсутствии клиентской программы администраторам приходится прилагать значительно больше усилий для запуска AppLocker.

Централизованное решение для подготовки отчетов по-прежнему отсутствует.

Если в рамках стратегии безопасности компании нужно применять белые списки приложений и требуется продукт с более широкими возможностями, чем у SRP и AppLocker, подумайте об использовании Lumension Application Control, Endpoint Security and Data Protection компании Sophos или Bit9 Parity. Функциональность всех этих продуктов выходит далеко за рамки подготовки белых списков приложений. Прочие функции упоминаются в данной статье, но акцент сделан на белых списках.

Lumension Application Control

Lumension Application Control
ЗА: простое обнаружение приложений; легко строить белые списки.
ПРОТИВ: сложная процедура установки; трудности настройки.
ОЦЕНКА: 4 из 5.
ЦЕНА: лицензия 45 долл.; обслуживание 9 долл./год.
РЕКОМЕНДАЦИИ: продукт может понравиться администраторам, которые нуждаются в более широкой функциональности, чем AppLocker. Однако процедура установки излишне сложна.
КОНТАКТНАЯ ИНФОМАЦИЯ: Lumension Security, www.lumension.com

Lumension Application Control — специализированный продукт для подготовки белых списков с функциями автоматического обнаружения прикладных программ, авторизации обновлений программного обеспечения, защиты от сценариев и макросов, просмотра приложений, локальной авторизации приложений и эвристического анализа для обнаружения вредоносного кода, локально авторизованного на определенном числе компьютеров. В Lumension используются правила на основе хеша и пути для идентификации файлов, а администраторы могут дистанционно проверять клиентов, составляя списки идентификации файлов.

Развертывание клиента. Вместе с программой поставляется установщик для Windows x64 и x86 в формате MSI. Администраторы могут развертывать программный продукт на клиентах через групповую политику или с использованием более мощного инструмента, такого как Microsoft System Center Configuration Manager (SCCM).

Создание и обновление политик. С помощью программы Lumension Application Control можно обнаружить приложения, развернутые в компании. Результаты обнаружения используются при подготовке политик белых списков.

Обнаруженные файлы можно распределить по группам в консоли Lumension Application Control. На основе групп файлов принимаются решения о разрешении или запрете программ. Белые списки приложений можно применять к различным пользователям, назначая учетные записи пользователей разным группам файлов. Группы файлов определяют, какие приложения доступны для данного пользователя, как показано на экране 1.

 

Экран 1. Lumension Application Control

Преимущества перед AppLocker. Главное преимущество перед AppLocker — мощные функции дистанционного обнаружения. С помощью AppLocker можно запустить мастер локально на эталонном компьютере и создать список приложений. В Lumension достаточно указать мастеру целевой компьютер, чтобы проверить его и сформировать список.

Более эффективны и функции мониторинга с централизованными отчетами Lumension. Для подготовки отчетов используются возможности баз данных SQL Server.

И наконец, в Lumension предусмотрены функции проверки распространения для автоматического блокирования подозрительных исполняемых файлов.

Дополнительные замечания. Установка Lumension — очень трудоемкий процесс. Установка Endpoint Security and Data Protection и Bit9 Parity сводится в основном к нескольким щелчкам мыши, по указаниям мастера. Однако для установки Lumension Application Control необходимо выполнить подробные инструкции, изложенные на нескольких страницах. Хотя для опытного администратора это не составит труда, при усложнении процесса установки возрастает вероятность ошибки.

В Lumension Application Control предусмотрен быстрый и простой способ генерации идентификационных данных файлов для использования в белых списках, но в документации продукта рекомендуется применять пути для регулярно обновляемых приложений. Как отмечалось выше, правила пути уязвимы, так как не препятствуют выполнению зараженных файлов, Такая угроза исключена при использовании правил сертификатов или хеша.

Endpoint Security and Data Protection 9.5

Endpoint Security and Data Protection 9.5
ЗА:
благодаря автоматическому обслуживанию сокращается трудоемкость обновления правил для администраторов. Совместимость с платформами Mac, Windows и Linux.
ПРОТИВ: неясно, как добавить пользовательские программы и программы, которых нет в списках Sophos.
ОЦЕНКА: 3 из 5.
ЦЕНА: 11 долл./год для одного пользователя (до 99 пользователей).
РЕКОМЕНДАЦИИ: продукт — часть комплекса безопасности с более широкими возможностями; он может подойти компаниям, нуждающимся в развертывании широко известных клиентов, но не собственных программ.
КОНТАКТНАЯ ИНФОРМАЦИЯ: Sophos, www.sophos.com

Endpoint Security and Data Protection 9.5 компании Sophos — передовое решение для защиты компьютеров конечных пользователей. В нем есть брандмауэр, антивирус, функции контроля приложений и устройств, предотвращения потерь данных, шифрования и управления доступом к сети для клиентов Windows, Linux, Mac и UNIX. Как и в Bit9 Parity и Lumension Application Control, информация о приложениях хранится в SQL Server 2008 Express.

Развертывание клиентов. Bit9 и Lumension располагают отдельными установщиками клиентов, но в Sophos применяется установщик с принудительным распространением, который «проталкивает» клиента из консоли на защищаемый компьютер. Файл клиента можно загрузить непосредственно из сайта Sophos, но изначально он в пакет поставки не входит.

Перед развертыванием клиента из консоли Sophos необходимо подготовить клиентские компьютеры. При этом требуется изменить стандартные настройки сети и общего доступа, статус запуска службы Remote Registry, настройки контроля пользовательских учетных записей UAC и параметры брандмауэра.

Создание и обновление политик. Чтобы создать политики для приложений, нужно выбрать узел Application Control в разделе Policies в главной консоли. Можно создать новую политику или изменить стандартную. Политики применяются к группам компьютеров; в каждый момент времени компьютер может принадлежать только одной организованной администратором группе.

Компания Sophos предоставляет обширный список приложений, сортированный по функциональности. Администратор строит политику, проходя по списку и указывая приложения, которые нужно разрешить и запретить. Sophos регулярно обновляет список, и если администратор разрешил определенное приложение, то теоретически все последующие версии данной программы распознаются компанией Sophos, и эти сведения передаются на компьютеры конечных пользователей. Кроме того, Sophos постоянно пополняет список новыми приложениями. Однако не совсем ясно, как обрабатываются пользовательские приложения.

Политикой по умолчанию разрешены все приложения, хотя не составит особого труда блокировать все программы, а затем ввести в белый список приложения, используемые в компании. На экране 2 показан инструмент архивации, добавленный к белому списку. Похоже, в продукте нет средства для автоматического поиска приложений, установленных на компьютере. Поэтому, если предварительно не проведена инвентаризация программного обеспечения, следует действовать очень осмотрительно, составляя белый список приложений.

 

Экран 2. Endpoint Security and Data Protection

Политики управления приложениями применяются к группам компьютеров. Можно импортировать существующие группы компьютеров из Active Directory (AD) или создать собственную иерархию групп. Учетные записи компьютеров можно импортировать из AD или обнаруживать в сети. К группе можно применить только одну политику управления приложениями, хотя одна политика может воздействовать на несколько групп.

Из документации и интерфейса Sophos не удалось понять, как подготовить белые списки для продуктов, не входящих в список идентифицируемых продуктов. Неясно, какой механизм идентификации использует компания Sophos: на основе сертификатов, хеша или пути. Главное преимущество механизма идентификации на основе сертификатов перед механизмом на основе хеша заключается в том, что правила не устаревают после внесения изменений в приложения. Однако определения правил загружаются вместе с регулярными обновлениями, рассылаемыми компанией Sophos, поэтому данное различие несущественно.

Мониторинг. Из особой консоли можно отслеживать все события, относящиеся к управлению приложениями. Можно увидеть события, произошедшие в указанный период времени, относящиеся к определенному пользователю, компьютеру или типу приложений.

Преимущества перед AppLocker. У Endpoint Security есть несколько преимуществ перед AppLocker. Прежде всего, Endpoint Security создает эвристический механизм идентификации для определенных приложений, поэтому администраторам не нужно строить их вручную. Кроме того, Endpoint Security обновляет базу данных идентификации приложений. Недостаток продукта заключается в том, что, похоже, невозможно блокировать определенную версию приложения (например, Adobe Acrobat 9), но разрешить более новую версию той же программы.

Дополнительные замечания. Перед развертыванием Endpoint Security and Data Protection администратору требуется применить политики, чтобы задать нужные параметры и запустить службы. Без установщика MSI развертывание производится через консоль Sophos. Администраторам некоторых компаний не понравится, что метод развертывания клиентов через консоль плохо масштабируется. Но Sophos хорошо подходит для разнородной среды благодаря поддержке клиентов Mac, Unix и Linux, а также совместимости со всеми клиентскими операционными системами Windows.

Подходу, при котором правила создает поставщик, свойственны как достоинства, так и недостатки. С одной стороны, сложно распространить действие правил на пользовательские приложения. Однако преимущество в том, что передав компании Sophos обязанность обновлять правила, администратор может внести приложение в белый список и уже не задумываться о правилах для этого приложения.

Bit9 Parity

Bit9 Parity
ЗА:
обширный набор функций.
ПРОТИВ: интерфейс нуждается в доработке, чтобы облегчить освоение мощной функциональности.
ОЦЕНКА: 4 из 5.
ЦЕНА: 39 долл. за неограниченную лицензию.
РЕКОМЕНДАЦИИ: продукт будет очень эффективным средством подготовки белых списков для администраторов, нуждающихся в более продуманной функциональности, чем имеется в AppLocker, и располагающих временем для освоения Bit9 Parity.
КОНТАКТНАЯ ИНФОРМАЦИЯ: Bit9, www.bit9.com

Наряду с белыми списками приложений, Bit9 Parity располагает функциями защиты реестра, мониторинга конфигурации, управления уходом параметров и инвентаризации файлов.

Развертывание клиентов. Разверты­вание клиентов Bit9 Parity производится через файлы MSI, которые можно развернуть традиционно с помощью групповой политики, или с использованием такого инструмента, как SCCM 2007 R3. Пользователи также могут установить клиентскую программу Bit9 из общих папок на сервере управления.

Создание и обновление политик. Политики Bit9 Parity используются для распределения компьютеров по группам с похожими требованиями к безопасности. Клиентская программа блокирует или разрешает исполняемые файлы на основе параметров, заданных в политике. Создавая политику, администратор указывает, как поступать с разрешенными и неутвержденными исполняемыми файлами, в том числе блокировать ли непроверенные или неодобренные скрипты и исполняемые файлы, и блокировать ли определенные имена файлов и хеши. На экране 3 показана политика Bit9 Parity.

 

Экран 3. Bit9 Parity

Можно подписаться на базу данных, размещенную на сервере Bit9, которая автоматически обновляет белый список, чтобы пользователи могли запускать приложения, безопасность которых удостоверена. Опасные или сомнительные приложения блокируются автоматически.

Мониторинг. Bit9 Parity обеспечивает мониторинг и автоматическое обнаружение новых приложений, а также оповещение администраторов. Благодаря этой функции администраторы могут быстро определить новые приложения, появившиеся в компании, и принять решение об их авторизации. Неизвестные приложения блокируются по умолчанию. Посмотрев приложение, администратор может утвердить его.

Преимущества перед AppLocker. У Bit9 Parity есть несколько преимуществ перед AppLocker. Прежде всего, продукт работает на клиентах Windows Vista и XP. Кроме того, благодаря оперативной идентификации файлов можно получить дополнительные сведения о блокированном приложении, в частности узнать, относится ли оно к опасным по классификации Bit9. Блокированные приложения можно переслать в компанию Bit9 для анализа. Функции подготовки отчетов Bit9 Parity существенно лучше, чем у AppLocker. И наконец, из консоли мониторинга Bit9 Parity на основе Web администраторы могут подключаться ко многим клиентам, не устанавливая отдельной консоли управления.

Дополнительные замечания. В настоящее время для функционирования Bit9 Parity необходимо отключить IPv6 на сервере управления. Подавляющее большинство компаний не использует IPv6 во внутренних сетях, но это вызовет неудобства у некоторых компаний, совершивших переход на инфраструктуру IPv6.

Bit9 Parity отличается широтой функций управления приложениями. Единственный недостаток продукта заключается в том, что обширную функциональность трудно освоить администраторам, незнакомым с интерфейсом.

Оптимальный выбор

Выбор продукта для подготовки белого списка приложений или собственной функциональности групповой политики зависит от особенностей инфраструктуры компании и ее нужд. С помощью специализированного продукта можно существенно уменьшить ущерб от вирусных заражений и неавторизованных приложений, блокируя приложения, отсутствующие в белом списке. Продукты для подготовки белого списка с расширенной функциональностью, выходящей за рамки возможностей операционных систем Windows Server, необходимы большинству компаний, поскольку, если клиенты не представлены лишь компьютерами Windows 7, администраторам придется тратить неоправданно много времени на своевременное обновление политик SRP.

Крайне важно правильно организовать обслуживание. Основные затраты при развертывании белых списков связаны не собственно с продуктами, а со временем, потраченным системными администраторами на установку и обслуживание белых списков приложений. Bit9 Parity и Lumension Application Control обеспечивают автоматическое обнаружение измененных файлов, позволяя администраторам быстро реагировать на изменения в экосистеме приложений. Подход Sophos основан на центральном списке приложений, из которых можно формировать белые списки, но возникает вопрос, охватывает ли список Sophos все приложения компании.

Важно отметить, что рассмотренные продукты входят в состав более широких комплексов безопасности. В данном обзоре показан лишь один аспект этих комплексов и не делается попытки сравнить все их функции. В зависимости от индивидуальных предпочтений, администратору может быть проще выполнять важные задачи обслуживания и управления белым списком из интерфейса Bit9 Parity, а не интерфейса Lumension Application Control или Endpoint Security and Data Protection компании Sophos.

Орин Томас (orin@windowsitpro.com) — редактор Windows IT Pro