Хотя AppLocker гораздо лучше политик ограничения ПО (Software Restriction Policies), есть ряд основных проблем, о которых необходим знать, прежде чем создавать свое первое правило AppLocker. В этой статье мы рассмотрим данные проблемы.
В своей первой части этого цикла я говорил о том, что компания Microsoft представила политики ограничения ПО в Windows XP в качестве способа, позволяющего администраторам контролировать то, какие приложения пользователям разрешено использовать. Однако, как показала история, у политик ограничения ПО был ряд серьезных недостатков. С выходом Windows 7 компания Microsoft предприняла попытку устранить эти недостатки, создав новую функцию под названием AppLocker.
Совместимость
Хотя AppLocker технически является новой версией политик ограничения ПО, эта функция несовместима с политиками ограничения ПО. Если в настоящее время у вас определены политики ограничения ПО для объекта групповой политик, эти политики будут продолжать работать, даже если ваша организация обновит все свои ПК до версии Windows 7. Однако если вы определите политики AppLocker в том объекте групповой политики, который уже содержит политики ограничения ПО, то компьютеры под управлением Windows 7 будут игнорировать ваши политики ограничения ПО, и только политики AppLocker будут применяться.
С другой стороны, если объект групповой политики содержит и политики ограничения ПО и политики AppLocker, то компьютеры под управлением Windows XP и Vista будут игнорировать политики AppLocker, и будут использовать только политики ограничения ПО. Это происходит потому, что функция AppLocker отсутствует в более ранних версиях ОС.
Ограничения
Хотя AppLocker и обеспечивает значительно усовершенствование по сравнению с политиками ограничения ПО, он все же имеет ряд ограничений. Самым значительным ограничением является то, что если пользователи обладают правами администратора на своих машинах, то они смогут легко обойти политики AppLocker.
Обычно в Microsoft рекомендуют не давать пользователям прав администратора, но в реальности это иногда неизбежно. В конце концов, существуют приложения, которые просто не будут корректно работать, если у пользователя нет полного контроля над системой.
Если вы хотите использовать AppLocker, но ваши пользователи имеют права администратора, то я бы порекомендовал рассмотреть все варианты и альтернативы предоставления пользователям полного набора разрешений администратора. Возможно, вы сможете предоставить пользователям полный набор разрешений для определенных папок без необходимости предоставления им всех прав администратора системы. Такой подход не всегда работает, поскольку некоторые приложения требуют изменения системного реестра или других частей ОС.
Если пользователям все же требуется полный набор администраторских прав в системе, вы можете попросту заблокировать инструменты администрирования. Например, вы можете создать правило, которое блокирует такие элементы администрирования, как редактор системного реестра или командную оболочку Windows PowerShell. Если вы попытаетесь использовать такой подход, вам нужно быть осторожным, чтобы не сделать это правило глобальным. В конце концов, персоналу технической поддержки потребуется доступ к различным инструментам администрирования, чтобы они смогли исправлять проблемы с пользовательскими компьютерами.
Базовые стратегии AppLocker
Хотя AppLocker поддерживает некоторые типы базовых правил, которые использовались в политиках ограничения ПО, основной способ, которым работает AppLocker, значительно отличается от того, к чему вы привыкли. На самом деле, очень просто создать себе серьезные проблемы, если вы не понимаете принцип работы AppLocker. Таким образом, я рекомендую внимательно прочитать то, что я буду описывать в этом разделе.
Для безопасного использования AppLocker вам необходим понимать основную философию, которую Microsoft вкладывает в использование правил AppLocker. Эта философия основана на идее о том, что есть определенные приложения, которые можно использовать в своей организации, в отличие от практически безграничного количества приложений, которые не используются в вашей организации. Не следует воспринимать эти приложения в традиционном смысле, а следует воспринимать их как исполняемый код. Например, некоторые типы «приложений», которые не одобрены для использования в вашей организации, могут включать более старые версии приложений, которые вы все таки используете, видеоигры, вредоносное ПО, ПО для пиринговых сетей и т.д.
Я хочу сказать, что существует больше приложений, которые вы хотите запретить, чем приложений, которые должны использоваться. Учитывая все это, гораздо проще предоставить ОС Windows белый список разрешенных приложений, чем заблокировать все приложения, которые вы не хотите использовать в своей организации. Именно такой подход использовали представители компании Microsoft в работе правил AppLocker.
Это ведет меня к первому основному понятию в правилах AppLocker. Даже если вы ничего больше не помните из этого цикла статей, пожалуйста, запомните это. Правила AppLocker организованы в собрания (о которых я более подробно расскажу в одной из следующих частей цикла). Хотя можно создавать явный отказ, правила AppLocker следует обычно воспринимать, как механизм обеспечения разрешений для чего-либо (помните, проще одобрить ПО, которое вы хотите разрешить, чем запретить все приложения, которые вы хотите ограничить). А сейчас о действительно важном. Даже если вы создаете всего одно правило в собрании правил, Windows автоматически считает, что вы хотите запретить запуск всех остальных приложений.
Очень важно понимать это, так как если на время предположить, что вы хотите разрешить своим пользователям использовать приложения Microsoft Office и Internet Explorer, и вы создаете правило, разрешающее им это делать, вы тем самым запрещаете пользователям запускать все остальные приложения, включая ОС Windows. Хотите, верьте, хотите, нет, очень легко заблокировать пользователю доступ к Windows, если создать некорректное правило AppLocker. Об этом я расскажу более подробно в одной из следующих частей цикла.
И последнее, о чем бы я хотел рассказать, это отказы. Как вы, возможно, помните, ранее я говорил, что можно запретить пользователям с правами администраторов системы использование инструментов администрирования, но вы можете создавать исключение для сотрудников отдела технической поддержки. Подробнее об этом я расскажу в одной из следующих частей цикла, однако, пока что, скажу, что для создания такой конфигурации требуется обратное мышление.
Учитывая принцип работы AppLocker, мы не можем просто заблокировать доступ к инструментам администрирования для всех. Вместо этого нам придется предоставить доступ к системным файлам Windows для всех. А здесь мы уже можем добавить запрещение доступа к инструментам администрирования, которое будет применяться к определенной группе пользователей (ко всем пользователям за исключением сотрудников отдела технической поддержки). Вам не нужно делать ничего для сотрудников технической поддержки, поскольку у них есть доступ к инструментам администрирования, так как вы предоставили доступ для всех к системным файлам Windows.
Заключение
В этой статье я объяснил, что очень легко случайно заблокировать доступ к Windows путем создания несоответствующего набора правил AppLocker. Учитывая это, я настоятельно рекомендую потренироваться в использовании AppLocker на одном или нескольких лабораторных ПК, прежде чем приступать к использованию AppLocker в производственной среде. В третьей части этого цикла я начну показывать вам, как создавать правила AppLocker.