Общие сведения о проектировании политик AppLocker
В этой статье описываются вопросы о проектировании AppLocker, возможные ответы и другие рекомендации при планировании развертывания политик управления приложениями с помощью AppLocker.
Когда вы начинаете процесс проектирования и планирования, следует учитывать влияние выбора проекта. Полученные в результате решения влияют на схему развертывания политики и последующее обслуживание политики управления приложениями.
Если выполняются все указанные ниже действия, рекомендуется использовать AppLocker в рамках политик управления приложениями вашей организации.
- В организации вы используете поддерживаемые версии Windows. Конкретные требования к версии операционной системы см. в разделе Требования к использованию AppLocker.
- Вам нужен улучшенный контроль над доступом к приложениям вашей организации.
- Количество приложений в организации известно и управляемо.
- У вас есть ресурсы для тестирования политик в соответствии с требованиями организации.
- У вас есть ресурсы, чтобы привлечь службу поддержки или создать процесс самостоятельной помощи для проблем с доступом к приложениям конечных пользователей.
Ниже приведены некоторые вопросы, которые следует учитывать при развертывании политик управления приложениями (в соответствии с целевой средой).
Какие приложения необходимо контролировать в вашей организации?
Вам может потребоваться контролировать ограниченное количество приложений, так как они получают доступ к конфиденциальным данным, или вы хотите разрешить только приложения, утвержденные для бизнеса. Могут быть определенные бизнес-группы, требующие строгого контроля, и другие, которые способствуют независимому использованию приложений.
| Возможные ответы | Вопросы оформления |
|---|---|
| Управление всеми приложениями | Политики AppLocker управляют приложениями путем создания списка разрешенных приложений по типу файла. Также возможны исключения. Политики AppLocker можно применять только к приложениям, установленным на компьютерах под управлением одной из поддерживаемых версий Windows. |
| Управление конкретными приложениями | При создании правил AppLocker создается список разрешенных приложений. Все приложения в этом списке разрешены к запуску (за исключением приложений в списке исключений). Приложения, которых нет в списке, блокируются. Политики AppLocker можно применять только к приложениям, установленным на компьютерах с любой из поддерживаемых версий Windows. |
| Управление только классическими приложениями Windows, только упакованными приложениями или обоими | Политики AppLocker управляют приложениями, создавая список разрешенных приложений по типу файлов. Так как упакованные приложения классифицируются в соответствии с условием издателя, классическими приложениями Windows и упакованными приложениями можно управлять вместе. Правила, которые вы сейчас используете для классических приложений Windows, могут оставаться, и вы можете создавать новые для упакованных приложений. Сравнение классических приложений Windows и упакованных приложений см. в статье Сравнение классических приложений Windows и упакованных приложений для решений по проектированию политик AppLocker в этой статье. |
| Управление приложениями по бизнес-группам и пользователям | Политики AppLocker можно применять через объект групповая политика (GPO) к объектам-компьютерам в подразделении. Отдельные правила AppLocker можно применять к отдельным пользователям или группам пользователей. |
| Управление приложениями с помощью компьютера, а не пользователя | AppLocker — это реализация политики на основе компьютера. Если организационная структура домена или сайта не основана на логической пользовательской структуре, например подразделении, вы можете настроить эту структуру, прежде чем приступить к планированию AppLocker. В противном случае необходимо определить пользователей, их компьютеры и требования к доступу к приложениям. |
| Общие сведения об использовании приложений, но пока нет необходимости контролировать какие-либо приложения | Политики AppLocker можно настроить для аудита использования приложений, чтобы отслеживать, какие приложения используются в вашей организации. Затем можно использовать журнал событий AppLocker для создания политик AppLocker. |
Примечание.
Правила AppLocker разрешают или блокируют запуск приложения или двоичного файла. AppLocker не контролирует поведение приложений после их запуска. Дополнительные сведения см. в разделе Вопросы безопасности для AppLocker.
Сравнение классических приложений Windows и упакованных приложений для решений по проектированию политик AppLocker
Политики AppLocker для упакованных приложений могут применяться только к приложениям, установленным на компьютерах под управлением операционных систем Windows, поддерживающих приложения Microsoft Store. Однако классическими приложениями Windows можно управлять в Windows Server 2008 R2 и Windows 7 в дополнение к компьютерам, поддерживающим упакованные приложения. Правила для классических приложений Windows и упакованных приложений можно применять вместе. Для упакованных приложений следует учитывать следующие различия:
- Стандартные пользователи могут устанавливать упакованные приложения, тогда как для установки многих классических приложений Windows требуются учетные данные администратора. Таким образом, в среде, где большинство пользователей являются стандартными пользователями, вам может не потребоваться множество правил exe, но вам может потребоваться более явные политики для упакованных приложений.
- Классические приложения Windows могут быть записаны для изменения состояния системы, если они выполняются с учетными данными администратора. Большинство упакованных приложений не могут изменить состояние системы, так как они выполняются с ограниченными разрешениями. При разработке политик AppLocker важно понимать, может ли приложение, которое вы разрешаете, вносить изменения в систему.
- Упакованные приложения можно получить через Store или загрузить их с помощью командлетов Windows PowerShell. Если вы используете командлеты Windows PowerShell, для приобретения упакованных приложений требуется специальная лицензия Enterprise. Классические приложения Для Windows можно приобрести с помощью традиционных средств, таких как поставщики программного обеспечения или розничная рассылка.
AppLocker управляет упакованными приложениями и классическими приложениями Windows с помощью различных коллекций правил. Вы можете управлять упакованными приложениями, классическими приложениями Windows или и тем, и другим.
Дополнительные сведения см. в статье Упакованные приложения и правила установщика упакованных приложений в AppLocker.
Управление скриптами с помощью AppLocker
Принудительное применение скрипта AppLocker включает подтверждение между узлом скриптов с поддержкой поддержки, например PowerShell, и AppLocker. Тем не менее, узел скрипта обрабатывает фактическое поведение принудительного применения. Большинство узлов скриптов сначала спрашивают AppLocker, следует ли разрешить выполнение скрипта на основе активных политик AppLocker. Затем узел скрипта блокирует, разрешает или изменяет способ выполнения скрипта, чтобы обеспечить оптимальную защиту пользователя и устройства.
AppLocker использует журнал событий MSI и скриптов AppLocker для всех событий принудительного применения скриптов. Всякий раз, когда узел скрипта запрашивает AppLocker, следует ли разрешить сценарий, событие регистрируется с ответом AppLocker, возвращенным на узел скрипта.
Примечание.
При выполнении скрипта, который не разрешен политикой, AppLocker вызывает событие, указывающее, что скрипт был заблокирован. Однако фактическое поведение принудительного применения скрипта обрабатывается узлом скриптов и на самом деле не может полностью блокировать запуск файла.
Применение скриптов AppLocker может управлять только VBScript, JScript, .bat файлами, .cmd файлами и скриптами Windows PowerShell. Он не управляет всем интерпретируемым кодом, который выполняется в хост-процессе, например скриптами и макросами Perl. Интерпретируемый код — это форма исполняемого кода, выполняемого в хост-процессе. Например, пакетные файлы Windows (*.bat) выполняются в контексте узла команд Windows (cmd.exe). Чтобы использовать AppLocker для управления интерпретируемым кодом, ведущий процесс должен вызвать AppLocker перед выполнением интерпретированного кода, а затем принудительно применить решение, которое из AppLocker. Не все хост-процессы вызывают AppLocker. Поэтому AppLocker не может управлять всеми типами интерпретированного кода, например макросами Microsoft Office.
Важно.
Необходимо настроить соответствующие параметры безопасности этих ведущих процессов, если необходимо разрешить их запуск. Например, настройте параметры безопасности в Microsoft Office, чтобы обеспечить загрузку только подписанных и доверенных макросов.
Как в настоящее время вы контролируете использование приложений в организации?
Большинство организаций со временем развивают свои политики и методы управления приложениями. AppLocker лучше всего подходит для организаций с хорошо управляемыми процессами развертывания и утверждения приложений.
| Возможные ответы | Вопросы оформления |
|---|---|
| Политики безопасности (локальное или через групповая политика) | Использование AppLocker требует больших усилий при планировании создания правильных политик, но это создание политики приводит к упрощению метода распространения. |
| Программное обеспечение для управления приложениями сторонних разработчиков | Для использования AppLocker требуется полная оценка и реализация политики управления приложениями. |
| Управляемое использование по группам или подразделениям | Для использования AppLocker требуется полная оценка и реализация политики управления приложениями. |
| Диспетчер авторизации или другие технологии доступа на основе ролей | Для использования AppLocker требуется полная оценка и реализация политики управления приложениями. |
| Другое | Для использования AppLocker требуется полная оценка и реализация политики управления приложениями. |
Существуют ли в вашей организации определенные группы, которым требуются настраиваемые политики управления приложениями?
Большинство бизнес-групп или отделов предъявляют особые требования к безопасности, относящиеся к доступу к данным и приложениям, используемым для доступа к этим данным. Перед развертыванием политик управления приложениями для всей организации следует учитывать область проекта для каждой группы и приоритеты группы.
| Возможные ответы | Вопросы оформления |
|---|---|
| Да | Для каждой группы необходимо создать список, содержащий требования к управлению приложениями. Хотя это может увеличить время планирования, это часто приводит к более эффективному развертыванию. Если структура объекта групповой политики не соответствует группам организаций, вы можете применить правила AppLocker к определенным группам пользователей. |
| Нет | Политики AppLocker можно применять глобально к установленным приложениям. В зависимости от количества приложений, которые необходимо контролировать, управление всеми правилами и исключениями может оказаться сложной задачей. |
Есть ли у ИТ-отдела ресурсы для анализа использования приложений, а также для разработки политик и управления ими?
Время и ресурсы, доступные для проведения исследований и анализа, могут повлиять на детали вашего плана и процессов для непрерывного управления политиками и обслуживания.
| Возможные ответы | Вопросы оформления |
|---|---|
| Да | Положите время на анализ требований к управлению приложениями в организации и планирование полного развертывания, в котором используются как можно более сконструированные правила. |
| Нет | Рассмотрите возможность целенаправленного и поэтапного развертывания для определенных групп с помощью нескольких правил. При применении элементов управления к приложениям в определенной группе изучите это развертывание, чтобы спланировать следующее развертывание. |
Есть ли в вашей организации служба поддержки?
Если пользователи не получают доступ к приложениям, это приводит к увеличению поддержки конечных пользователей, по крайней мере на начальном этапе. Необходимо устранить различные проблемы поддержки в организации, чтобы соблюдать политики безопасности и не препятствовать бизнес-процессу.
| Возможные ответы | Вопросы оформления |
|---|---|
| Да | Обратитесь в службу поддержки на ранних этапах планирования, так как пользователям может быть запрещено использовать свои приложения или они могут обратиться за исключениями для использования определенных приложений. |
| Нет | Положите время на разработку онлайн-процессов поддержки и документации перед развертыванием. |
Знаете ли вы, какие приложения требуют ограничительных политик?
Любая успешная реализация политики управления приложениями основана на ваших знаниях и понимании использования приложений в организации или бизнес-группе. Кроме того, схема управления приложениями зависит от требований к безопасности для данных и приложений, которые обращаются к этим данным.
| Возможные ответы | Вопросы оформления |
|---|---|
| Да | Необходимо определить приоритеты управления приложениями для бизнес-группы, а затем попытаться разработать простейшие схемы для политик управления приложениями. |
| Нет | Для обнаружения использования приложения необходимо выполнить проект аудита и сбора требований. AppLocker предоставляет средства для развертывания политик в режиме "Только аудит" и средства для просмотра журналов событий. |
Как развертывать или утверждать приложения (обновленные или новые) в организации?
Реализация успешной политики управления приложениями основана на ваших знаниях и знаниях об использовании приложений в организации или бизнес-группе. Кроме того, схема управления приложениями зависит от требований к безопасности данных и приложений, которые обращаются к этим данным. Понимание политики обновления и развертывания помогает сформировать политики управления приложениями.
| Возможные ответы | Вопросы оформления |
|---|---|
| Незапланированных | Необходимо собрать требования из каждой группы. Некоторым группам может потребоваться неограниченный доступ или установка, а другим — строгие элементы управления. |
| Строгая письменная политика или рекомендации для выполнения | Необходимо разработать правила AppLocker, отражающие эти политики, а затем протестировать и поддерживать правила. |
| Процесс не выполняется | Необходимо определить, есть ли у вас ресурсы для разработки политики управления приложениями и для каких групп. |
Каковы приоритеты вашей организации при реализации политик управления приложениями?
Некоторые организации получают выгоду от политик управления приложениями, как показано в повышении производительности или соответствии, в то время как другие не могут выполнять свои обязанности. Определите приоритеты этих аспектов для каждой группы, чтобы вы могли оценить эффективность AppLocker.
| Возможные ответы | Вопросы оформления |
|---|---|
| Производительность. Организация гарантирует работу инструментов и установку необходимых приложений. | Для достижения целей инноваций и повышения производительности некоторым группам требуется возможность устанавливать и запускать различное программное обеспечение из разных источников, включая программное обеспечение, разработанное ими. Таким образом, если инновации и производительность имеют высокий приоритет, управление политиками управления приложениями через список разрешенных может занять много времени и препятствовать прогрессу. |
| Управление. Организация знает о поддерживаемых ею приложениях и контролирует их. | В некоторых бизнес-группах управление использованием приложений осуществляется из центральной точки управления. Для этой цели политики AppLocker можно встроить в объект групповой политики. |
| Безопасность. Организация должна частично защищать данные, обеспечивая использование только утвержденных приложений. | AppLocker помогает защитить данные, позволяя определенному набору пользователей обращаться к приложениям, которые обращаются к данным. Если безопасность является главным приоритетом, политики управления приложениями могут быть более строгими. |
Как в настоящее время в вашей организации получают доступ к приложениям?
AppLocker эффективен для организаций с хорошо управляемым управлением приложениями с простыми целями политики управления приложениями. Например, AppLocker может использовать среду, в которой пользователи не имеют доступа к компьютерам, подключенным к сети организации, например к учебному заведении или библиотеке.
| Возможные ответы | Вопросы оформления |
|---|---|
| Пользователи работают без прав администратора. | Приложения устанавливаются с помощью технологии развертывания установки. |
| AppLocker помогает снизить общую стоимость владения для бизнес-групп, которые обычно используют ограниченный набор приложений, таких как отделы кадров и финансов. В то же время эти отделы получают доступ к конфиденциальной информации, большая часть которой содержит конфиденциальную и конфиденциальную информацию. Используя AppLocker для создания правил для определенных приложений, которые могут запускаться, вы можете ограничить доступ неавторизованных приложений к этой информации. Примечание: AppLocker также может помочь в создании стандартизированных рабочих столов в организациях, где пользователи работают от имени администраторов. Однако важно отметить, что пользователи с учетными данными администратора могут добавлять новые правила в локальную политику AppLocker. |
Пользователи должны иметь возможность устанавливать приложения по мере необходимости. |
| Пользователи в настоящее время имеют доступ к администратору, и изменить эту привилегию будет трудно. | Применение правил AppLocker не подходит для бизнес-групп, которые должны иметь возможность устанавливать приложения по мере необходимости и без одобрения со стороны ИТ-отдела. Если одно или несколько подразделений в вашей организации имеют это требование, вы можете не применять правила приложений в этих подразделениях с помощью AppLocker или реализовать параметр применения только аудит с помощью AppLocker. |
Основана ли структура в доменные службы Active Directory на иерархии организации?
Разработать политики управления приложениями на основе организационной структуры, уже встроенной в доменные службы Active Directory (AD DS), проще, чем преобразовать существующую структуру в организационную. Так как эффективность политик управления приложениями зависит от возможности обновления политик, рассмотрите, какая организационная работа должна быть выполнена до начала развертывания.
| Возможные ответы | Вопросы оформления |
|---|---|
| Да | Правила AppLocker можно разрабатывать и реализовывать с помощью групповая политика на основе структуры AD DS. |
| Нет | ИТ-отдел должен создать схему, чтобы определить, как политики управления приложениями могут применяться к нужному пользователю или компьютеру. |
Запись результатов
Следующим шагом процесса является запись и анализ ответов на предыдущие вопросы. Если AppLocker является правильным решением для ваших целей, вы можете задать цели политики управления приложениями и спланировать правила AppLocker. Этот процесс завершается созданием документа планирования.