Фреймворк конфигурации и управления политиками Software Restriction Policies — IV

Политики «белых списков» помогают защитить систему от несанкционированных изменений — то есть, законсервировать её. Но полная консервация невозможна: следует ставить обновления операционной системы, иногда требуется менять программы. Как вносить санкционированные изменения?

 

ЧАСТЬ ЧЕТВЁРТАЯ. ОТКЛЮЧЕНИЕ ПОЛИТИК APPLICATION WHITELISTING

Продолжить чтение этой записи

Фреймворк конфигурации и управления политиками Software Restriction Policies — III

ЧАСТЬ ТРЕТЬЯ. КОНФИГУРАЦИЯ БЛОКИРУЮЩИХ ПОЛИТИК.

Какое количество политик (объектов GPO) создать, в каких ситуациях следует создавать дополнительные политики? На это влияют следующие факторы:

  • Раздельные реализации AWL: AppLocker или SRP;
  • Возможность раздельного отключения политик для определённых контейнеров АД. Например, когда требуется временно выключить AWL для одного-двух департаментов, но не выключать для всех остальных;
  • Делегирование управления. Если компания имеет представительства в различных странах (например, Латвия и Россия), и в каждой стране имеется своя IT-поддержка, то для базовой политики SRP я предпочту создать два дополнения: SRP Workstations LV и SRP Workstations RU. Затем можно делегировать управление этими дополнениями IT-отделам соответствующих стран, разрешив конфигурацию базовой политики только доменным администраторам;
  • Разбиение большого количества дополнительных правил на несколько GPO. Количество правил может зависеть в том числе и от политических установок руководства компании. Например, IT-директор может заявить «да, наши пользователи устанавливают программы дезорганизованно, но сделайте AWL так, чтобы им ничего не пришлось переделывать». Такая позиция потребует применить сотни путей и хэшей, которые будет лучше разнести по нескольким GPO согласно структуре департаментов или другому признаку;
  • Существенные различия в конфигурации AWL: например, для департамента продаж, где все сотрудники работают с ограниченными привилегиями, можно включить AWL, нацеленный только на стандартных пользователей, в то время как для компьютеров химического анализа, где все сотрудники обладают привилегиями администратора, следует задействовать фильтрацию всех пользователей, в том числе администраторов.

Продолжить чтение этой записи

Фреймворк конфигурации и управления политиками Software Restriction Policies — II

Приняв решение выбрать Политики ограниченного использования программ (Software Restriction Policies, SRP) в качестве инструмента реализации «белых списков» (Application Whitelisting, AWL) и заручившись поддержкой всех ответственных лиц, можно перейти к аудиту используемых на предприятии приложений. Это позволит реализовать AWL с полным знанием того, какие на самом деле программы и откуда запускаются пользователями вручную или операционной системой автоматически (например, сценарии входа, Logon Scripts). Узнав, какие пути реально используются, вы сможете настроить «белые списки», не повредив функционалу компьютера. Разумеется, существует множество конфигураций, в которых рабочая станция стандартизирована и полностью готова к внедрению AWL без дополнительных временных затрат на аудит, но такое случается не столь часто, как хотелось бы.

 

ЧАСТЬ ВТОРАЯ. АУДИТ ИСПОЛЬЗУЕМЫХ ПРИЛОЖЕНИЙ.

 

Разрабатывая фреймворк управления политиками SRP, я старался создать систему аудита, позволяющую ответить на следующие вопросы:

  • Какие программы и модули используются на компьютерах компании в настоящий момент? Что потребуется добавить в политику, чтобы не вызвать отказ производственных систем при включении SRP?
  • Какие программы и модули были заблокированы уже задействованной политикой? Не было ли среди сработавших блокировок false positive?
  • Исправна ли система AWL? Нет ли в ней пробелов, позволяющих её легко обойти?
  • Какие программы запускают сотрудники техподдержки и другие пользователи с правами администратора? Не пытаются ли они обмануть или отключить систему AWL?
  • В самом ли деле пользователи работают с определёнными программами, количество лицензий на которые ограничено?

Продолжить чтение этой записи

Фреймворк конфигурации и управления политиками Software Restriction Policies — I

Некоторые вполне себе удачные ИТ-технологии не внедряются или неверно применяются потому, что у людей нет понимания, как это делать правильно, а заниматься собственными исследованиями не каждый захочет. К таким технологиям в настоящий момент относится и столь важная концепция безопасности, как «белые списки» программ (Application Whitelisting, AWL), которая в Microsoft Windows реализована в виде Политик ограничения программ (Software Restriction Policies, SRP) и AppLocker (SRPv2). Возможно, она непопулярна среди ИТ-администраторов в первую очередь из-за относительной сложности внедрения и диагностики. В этой статье я поделюсь своим опытом внедрения SRP на предприятии, попытавшись сформулировать основные положения правильной конфигурации политик в доменах Active Directory (AD).

 

Приведённый ниже опыт получен как с нескольких компаний размером порядка 1000 хостов, так и с большого количества маленьких компаний. Некоторые политики было проще реализовать на небольших объёмах, так как в них количество администраторов не превышало двух-трёх; компании побольше дали понимание того, как обычные сотрудники службы техподдержки взаимодействуют с администраторами и другими сотрудниками. Далее я буду описывать свой фреймворк внедрения SRP применительно для компании с парой-тройкой администраторов и десятком сотрудников техподдержки.

Продолжить чтение этой записи

Как узнать, какой процент компьютеров подчиняется SRP?

Внедряя Software Restriction Policies (SRP) в очередной компании, регулярно требуется отвечать на вопрос «а как далеко мы продвинулись?» Работая со сравнительно разветвлённой структурой Active Directory, никогда не получится ответить «с наскоку», требуется некий механизм объективного контроля (назовём его SRP Compliance Report). У вас нет SCCM? Не беда, такой контроль можно осуществлять с помощью встроенного механизма Group Policy.

Продолжить чтение этой записи

Account Lockout: мифы и реалии

Система блокировки учётных записей Windows при неоднократном введении неправильного пароля существует с самой первой редакции ОС Windows (Windows NT 3.1 Advanced Server, 1993), но новички продолжают прокалываться на элементарных вещах. В данной статье я попробую разобрать основные ошибки начинающих администраторов. Ну и на кусочек Тайного Знания можете рассчитывать тоже.

Продолжить чтение этой записи

Взлом паролей, сохранённых в Group Policy Preferences.

Много раз уже писалось, что задавать пароли через Group Policy Preferences небезопасно, так как они хоть и сохраняются в зашифрованном виде, но ключ шифрования всем известен. Интересно, что в Windows Server 2012 редактор групповых политик даже предупреждение выдаёт соответствующее:

GPP-Warning

Но так ли просто достать пароль из политик? Думаю, лучше один раз увидеть, чем сто раз услышать.

Продолжить чтение этой записи