Если паранойя подсказывает, что вы недостаточно защищены, а под рукой имеются только бесплатные инструменты для безопасности, то нужно это чувство удовлетворить! Под катом будем создавать белый список программ для выхода в сеть с помощью стандартного брандмауэра Windows, в том числе и на PowerShell.
Введение
Большинство энкодеров, троянов и других плохих вещей из мира киберугроз для своих темных делишек используют возможность выхода в сеть с устройства жертвы: получение ключа для шифрования файлов, отправка конфиденциальной информации и так далее. Антивирусные компании в борьбе с такими противниками натаскивают свои проактивные технологии, выпускают даже отдельные продукты для шифровальщиков, ну а для простых пользователей бесплатной защиты остается только более тонко настраивать свои рубежи самостоятельно. Со времен Vista встроенный в Windows брандмауэр стал неплох, но большую часть времени простаивает без дела, отбивая лишь неписаные входящие соединения в лучшем случае. Не все знают, но он умеет чуточку больше - фильтровать и исходящие соединения, стоит лишь только включить этот режим и правильно настроить.Итак, приступим
Первым делом необходимо запретить все исходящие соединения (входящие, считаем, уже запрещены - нужное ПО само, как правило, прописывает для себя исключения). Для этого идем в Панель управления -> Система и безопасность -> Брандмауэр Windows -> Дополнительные параметры. Далее выбираем «Брандмауэр Windows в режиме повышенной безопасности» и через правую кнопку мыши открываем Свойства. В зависимости от вашего сетевого профиля (частный - локальная сеть с маршрутизатором, общий - напрямую в интернет, домен - доменная сеть) выбирается вкладка профиля и для исходящих соединений выбирается режим «Блокировать» (я настраивал для всех профилей одинаково).Скриншоты
На данный момент никакая программа выйти в сеть не может (кроме уже имеющих правила). Легко это проверить, открыв браузер с любым сайтом - наверняка получим ошибку сети. Чтобы загрузить страницу необходимо создать соответствующее правило. Рассмотрим Internet Explorer - имеется у всех на Windows. Нажимаем правой кнопкой на «Правила для исходящего подключения» -> Создать правило. Открывается окно с 4-мя типами правил, для IE подойдет первый - «Для программы». Далее нужно указать путь к программе - в нашем случае - C:\Program Files\Internet Explorer\iexplore.exe . Не забываем, что обладатели 64-битных систем должны создать еще одно такое же правило, только для Program Files (x86) (там IE тоже установлен). После выбора файла необходимо выбрать пункт «Разрешить подключение», далее отметить галками нужные сетевые профили. Осталось только придумать название для нашего правила. Рекомендую все правила писать с одного и того же слова/символа, потом искать будет удобнее. Созданное правило будет отображаться в общем списке.
Скриншоты
Для программ правила делать научились, а что со службами? Пусть необходимо добавить в исключения службу Mozilla Maintenance Service. Создаем новое правило, выбираем тип «Настраиваемое». Далее нажимаем «Настроить», выбираем «Применять к службе» и ищем в списке нужную службу или чуть ниже вводим название службы вручную. Затем предлагается настроить протокол и порты, но в данном случае их можно оставить по умолчанию - программа доверенная и шут ее знает, чем она там пользуется при доставке и установке обновлений. IP-адреса аналогично не трогаем. Далее разрешаем подключение, выбираем профили и задаем название для правила.
Скриншоты
Казалось бы, основные моменты пройдены, что теперь? А теперь подводные камни. Если кто-нибудь использует в своей деятельности программу удаленного управления TeamViewer, которая ставит с собой службу, то вроде бы достаточно найти в списке службу и добавить правило для нее. Но это не сработает. Необходимо вместо службы добавлять правило «Для программы» и выбирать исполняемый файл службы C:\Program Files (x86)\TeamViewer\TeamViewer_Service.exe (путь для 64-битной системы). Это частая ситуация, поэтому не спешите добавлять службы, начинайте с exe. Кроме этого в нашей системе перестанет работать ping. Для него необходимо добавить правило по типу «Настраиваемое», все оставлять по умолчанию, только протокол выбрать ICMPv4 и внизу нажать «Настроить», где поставить галочку только рядом с «Эхо-запрос». Теперь ping и tracert будут работать. Для IPv6 повторить, но уже с протоколом ICMPv6. Если правило уже создано, но необходимо что-то в нем изменить, это легко можно сделать, выбрав нужное правило в списке и зайдя в его свойства. На вкладках можно все настроить на любой вкус - привязать службу к определенному exe, ограничить программу в портах и т.д.
Скриншот
Свойства уже созданного правила для ping
Обновив систему с Windows 8.1 до Windows 10, я не мог создать работоспособное правило для OneDrive. Вроде бы простое правило для %USERPROFILE%\AppData\Local\Microsoft\OneDrive\OneDrive.exe и все должно работать. Но, потратив несколько месяцев, я пришел к тому, что, оказывается, надо было прописывать прямой путь C:\Users\ProfileName\AppData\Local\Microsoft\OneDrive\OneDrive.exe , хотя в предыдущих ОС того же семейства все благополучно работало и с первым вариантом (загадка?).
Накопленный опыт и PowerShell
Список правил, накопленный за N-ое время, я представлю в виде команд для PowerShell - легче автоматизировать. Чтобы можно было запустить в PowerShell скрипт на исполнение, необходимо дать на это разрешение для неподписанных скриптов в системе (для параноиков можно потом вернуть на место):Set-ExecutionPolicy Unrestricted
Set-ExecutionPolicy Default # Отмена
Блокировка всех исходящих соединений брандмауэром выглядит так:
Set-NetFirewallProfile -All -DefaultOutboundAction Block
Команда для добавления правила для всех профилей и исходящего направления для explorer.exe - обновление плиток на Windows 8.1. Полагаю, что и на 10-ке используется:
New-NetFirewallRule -Program "C:\Windows\explorer.exe" -Action Allow -Profile Any -DisplayName "Доступ для explorer.exe" -Direction Outbound
Пусть у нас первая ячейка содержит название правила, а вторая ячейка хранит путь до программы. И у нас будет N таких двухячеечных строк - сколько штук правил. Все это будем хранить в $programs . Начнем с простого: Internet Explorer, Google Chrome, Tor Browser, Yandex.Browser, Notepad++, Visual Studio 2015, qBittorrent, HWMonitor, OneDrive, PowerShell, PowerShell ISE, Steam, CS GO, TeamViewer и так далее - все более-менее простые приложения, которым для выхода в сеть нужен доступ из 1-2 файлов exe.
Заполнение таблицы $programs
# $env - системные переменные %USERPROFILE%, %SystemRoot% и т.д.
$programs =
("Доступ для Internet Explorer (x86)",
(${env:ProgramFiles(x86)}+"\Internet Explorer\iexplore.exe")),
("Доступ для Internet Explorer",
($env:ProgramFiles+"\Internet Explorer\iexplore.exe")),
("Доступ для Google Chrome",
(${env:ProgramFiles(x86)}+"\Google\Chrome\Application\chrome.exe")),
("Доступ для Google Update",
(${env:ProgramFiles(x86)}+"\Google\Update\GoogleUpdate.exe")),
("Доступ для Tor Browser",
($env:USERPROFILE+"\AppData\Local\Tor Browser\Browser\firefox.exe")),
("Доступ для Tor Browser updater",
($env:USERPROFILE+"\AppData\Local\Tor Browser\Browser\updater.exe")),
("Доступ для Yandex.Browser",
($env:USERPROFILE+"\AppData\Local\Yandex\YandexBrowser\Application\browser.exe")),
("Доступ для Notepad++ (GUP)",
(${env:ProgramFiles(x86)}+"\Notepad++\updater\GUP.exe")),
("Доступ для Visual Studio 2015",
(${env:ProgramFiles(x86)}+"\Microsoft Visual Studio 14.0\Common7\IDE\devenv.exe")),
("Доступ для Blend (Visual Studio)",
(${env:ProgramFiles(x86)}+"\Microsoft Visual Studio 14.0\Common7\IDE\Blend.exe")),
("Доступ для qBittorrent",
(${env:ProgramFiles(x86)}+"\qBittorrent\qbittorrent.exe")),
("Доступ для HWMonitor",
($env:ProgramFiles+"\CPUID\HWMonitor\HWMonitor.exe")),
("Доступ для OneDrive",
($env:USERPROFILE+"\AppData\Local\Microsoft\OneDrive\OneDrive.exe")),
("Доступ для PowerShell (выключить для безопасности)",
($env:SystemRoot+"\System32\WindowsPowerShell\v1.0\powershell.exe")),
("Доступ для PowerShell ISE (выключить для безопасности)",
($env:SystemRoot+"\System32\WindowsPowerShell\v1.0\powershell_ise.exe")),
("Доступ для Steam",
(${env:ProgramFiles(x86)}+"\Steam\Steam.exe")),
("Доступ для steamwebhelper",
(${env:ProgramFiles(x86)}+"\Steam\bin\steamwebhelper.exe")),
("Доступ для Steam CS GO",
("D:\Games\SteamLibrary\steamapps\common\Counter-Strike Global Offensive\csgo.exe")),
("Доступ для TeamViewer",
(${env:ProgramFiles(x86)}+"\TeamViewer\TeamViewer.exe")),
("Доступ для TeamViewer_Service",
(${env:ProgramFiles(x86)}+"\TeamViewer\TeamViewer_Service.exe"))
Также в табличку можно при желании добавить хитрый Avast (ему еще нужна служба) и Firefox (+служба).
Добавляем в $programs
("Доступ для AvastUI+",
($env:ProgramFiles+"\AVAST Software\Avast\AvastUI.exe")),
("Доступ для AvastSvc",
($env:ProgramFiles+"\AVAST Software\Avast\AvastSvc.exe")),
("Доступ для Avast планировщик (AvastEmUpdate)",
($env:ProgramFiles+"\AVAST Software\Avast\AvastEmUpdate.exe")),
("Доступ для Avast обновления (instup)",
($env:ProgramFiles+"\AVAST Software\Avast\setup\instup.exe")),
("Доступ для Mozilla Firefox",
(${env:ProgramFiles(x86)}+"\Mozilla Firefox\firefox.exe"))
Все строки таблицы будем обрабатывать поштучно следующим образом:
foreach($prog in $programs) { try { New-NetFirewallRule -Program $prog -Action Allow -Profile Any -DisplayName $prog -Direction Outbound Write-Host "Успех: "$prog } catch { Write-Host "Ошибка: "$prog } Write-Host }
Кроме этого необходимо разобраться с нестандартными правилами и службами. Например, центр обновления работает через svchost.exe по протоколу TCP через порты 80 и 443. А магазин приложений использует для обновления отдельную службу WSService. Помимо этого не забываем про пинг и службы для нужных приложений:
Try
{
$i = "Доступ для Windows Update/Modern Apps"
New-NetFirewallRule -Program ($env:SystemRoot+"\System32\svchost.exe") -Protocol TCP -RemotePort 80, 443 -Action Allow -Profile Any -DisplayName $i -Direction Outbound
$i = "Доступ для Avast (служба)"
New-NetFirewallRule -Service "avast! Antivirus" -Action Allow -Profile Any -DisplayName $i -Direction Outbound
$i = "Доступ для Mozilla Maintenance Service"
New-NetFirewallRule -Service "MozillaMaintenance" -Action Allow -Profile Any -DisplayName $i -Direction Outbound
$i = "Доступ для ping (v4)"
New-NetFirewallRule -Profile Any -Action Allow -DisplayName $i -Protocol ICMPv4 -IcmpType 8 -Direction Outbound
$i = "Доступ для ping (v6)"
New-NetFirewallRule -Profile Any -Action Allow -DisplayName $i -Protocol ICMPv6 -IcmpType 8 -Direction Outbound
$i = "Доступ для Службы Магазина Windows"
New-NetFirewallRule -Service "WSService" -Action Allow -Profile Any -DisplayName $i -Direction Outbound
# На редкие исключения, когда огненную стену надо приопустить (при установке программ, например)
$i = "Доступ для Частного профиля (выключить)"
New-NetFirewallRule -Enabled False -Action Allow -Profile Private -DisplayName $i -Direction Outbound
Write-Host "Успех при применении особых правил"
}
catch
{
Write-Host "Ошибка при применении особых правил на шаге:" $i
}
Write-Host
Вот и, пожалуй, все. На этом повествование можно заканчивать. Передаю инициативу теперь в ваши руки, дерзайте! Надеюсь, Вы узнали что-то новое или хотя бы вспомнили хорошо забытое старое. Итоговый скрипт (.ps1) можно обнаружить под спойлером ниже.
Итоговый скрипт
Set-NetFirewallProfile -All -DefaultOutboundAction Block
$programs =
("Доступ для Internet Explorer (x86)",
(${env:ProgramFiles(x86)}+"\Internet Explorer\iexplore.exe")),
("Доступ для Internet Explorer",
($env:ProgramFiles+"\Internet Explorer\iexplore.exe")),
("Доступ для Google Chrome",
(${env:ProgramFiles(x86)}+"\Google\Chrome\Application\chrome.exe")),
("Доступ для Google Update",
(${env:ProgramFiles(x86)}+"\Google\Update\GoogleUpdate.exe")),
("Доступ для Tor Browser",
($env:USERPROFILE+"\AppData\Local\Tor Browser\Browser\firefox.exe")),
("Доступ для Tor Browser updater",
($env:USERPROFILE+"\AppData\Local\Tor Browser\Browser\updater.exe")),
("Доступ для Yandex.Browser",
($env:USERPROFILE+"\AppData\Local\Yandex\YandexBrowser\Application\browser.exe")),
("Доступ для Notepad++ (GUP)",
(${env:ProgramFiles(x86)}+"\Notepad++\updater\GUP.exe")),
("Доступ для Visual Studio 2015",
(${env:ProgramFiles(x86)}+"\Microsoft Visual Studio 14.0\Common7\IDE\devenv.exe")),
("Доступ для Blend (Visual Studio)",
(${env:ProgramFiles(x86)}+"\Microsoft Visual Studio 14.0\Common7\IDE\Blend.exe")),
("Доступ для qBittorrent",
(${env:ProgramFiles(x86)}+"\qBittorrent\qbittorrent.exe")),
("Доступ для HWMonitor",
($env:ProgramFiles+"\CPUID\HWMonitor\HWMonitor.exe")),
("Доступ для OneDrive",
($env:USERPROFILE+"\AppData\Local\Microsoft\OneDrive\OneDrive.exe")),
("Доступ для PowerShell (выключить для безопасности)",
($env:SystemRoot+"\System32\WindowsPowerShell\v1.0\powershell.exe")),
("Доступ для PowerShell ISE (выключить для безопасности)",
($env:SystemRoot+"\System32\WindowsPowerShell\v1.0\powershell_ise.exe")),
("Доступ для Steam",
(${env:ProgramFiles(x86)}+"\Steam\Steam.exe")),
("Доступ для steamwebhelper",
(${env:ProgramFiles(x86)}+"\Steam\bin\steamwebhelper.exe")),
("Доступ для Steam CS GO",
("D:\Games\SteamLibrary\steamapps\common\Counter-Strike Global Offensive\csgo.exe")),
("Доступ для TeamViewer",
(${env:ProgramFiles(x86)}+"\TeamViewer\TeamViewer.exe")),
("Доступ для TeamViewer_Service",
(${env:ProgramFiles(x86)}+"\TeamViewer\TeamViewer_Service.exe")),
("Доступ для explorer.exe",
($env:SystemRoot+"\explorer.exe")),
("Доступ для AvastUI+",
($env:ProgramFiles+"\AVAST Software\Avast\AvastUI.exe")),
("Доступ для AvastSvc",
($env:ProgramFiles+"\AVAST Software\Avast\AvastSvc.exe")),
("Доступ для Avast планировщик (AvastEmUpdate)",
($env:ProgramFiles+"\AVAST Software\Avast\AvastEmUpdate.exe")),
("Доступ для Avast обновления (instup)",
($env:ProgramFiles+"\AVAST Software\Avast\setup\instup.exe")),
("Доступ для Mozilla Firefox",
(${env:ProgramFiles(x86)}+"\Mozilla Firefox\firefox.exe"))
foreach($prog in $programs)
{
try
{
New-NetFirewallRule -Program $prog -Action Allow -Profile Any -DisplayName $prog -Direction Outbound
Write-Host "Успех: "$prog
}
catch
{
Write-Host "Ошибка: "$prog
}
Write-Host
}
try
{
$i = "Доступ для Windows Update/Modern Apps"
New-NetFirewallRule -Program ($env:SystemRoot+"\System32\svchost.exe") -Protocol TCP -RemotePort 80, 443 -Action Allow -Profile Any -DisplayName $i -Direction Outbound
$i = "Доступ для Avast (служба)"
New-NetFirewallRule -Service "avast! Antivirus" -Action Allow -Profile Any -DisplayName $i -Direction Outbound
$i = "Доступ для Mozilla Maintenance Service"
New-NetFirewallRule -Service "MozillaMaintenance" -Action Allow -Profile Any -DisplayName $i -Direction Outbound
$i = "Доступ для ping (v4)"
New-NetFirewallRule -Profile Any -Action Allow -DisplayName $i -Protocol ICMPv4 -IcmpType 8 -Direction Outbound
$i = "Доступ для ping (v6)"
New-NetFirewallRule -Profile Any -Action Allow -DisplayName $i -Protocol ICMPv6 -IcmpType 8 -Direction Outbound
$i = "Доступ для Службы Магазина Windows"
New-NetFirewallRule -Service "WSService" -Action Allow -Profile Any -DisplayName $i -Direction Outbound
# На редкие исключения, когда огненную стену надо приопустить (при установке программ, например)
$i = "Доступ для Частного профиля (выключить)"
New-NetFirewallRule -Enabled False -Action Allow -Profile Private -DisplayName $i -Direction Outbound
Write-Host "Успех при применении особых правил"
}
catch
{
Write-Host "Ошибка при применении особых правил на шаге:" $i
}
Write-Host
21.06.2011 Орин Томас
Спомощью решений, ограничивающих круг выполняемых приложений (создание белых списков), администраторы могут настроить клиентские компьютеры на запуск только явно разрешенных прикладных программ. Чтобы не беспокоиться о запуске пользователями вредоносных программ или опасных сценариев, администраторы составляют список доступных сотрудникам приложений. Выполнение приложений, отсутствующих в списке, просто блокируется. В зависимости от сложности технологии, используемой при подготовке белых списков, приложения можно утверждать по сертификату издателя, хешированному значению (цифровому отпечатку) или просто по пути и имени файла
Как правило, самый простой способ - идентификация по сертификату издателя. При использовании этого метода нетрудно предусмотреть в любом правиле все будущие версии приложения. Недостаток сертификатов издателя - наличие большого количества программ без цифровых подписей, которые нельзя идентифицировать таким методом. В одних случаях реализации метода в белые списки вносится только имя издателя, а в других можно указать имя, назначенное приложению, и его версию.
При использовании хешированного значения формируется цифровой хеш, нечто вроде цифрового отпечатка, идентифицирующий исполняемый файл целевого приложения. Недостаток цифровых хешей заключается в том, что при каждом изменении файла (в результате установки программных исправлений или новой версии приложения) значение хеша необходимо пересчитывать, так как «цифровой отпечаток» изменяется. Если в основе белого списка лежит хешированное значение, необходимо предусмотреть способ своевременного пересчета обновлений программ в регулярном цикле управления.
Идентификация на основе пути - самый простой, но одновременно и самый уязвимый способ идентификации файлов. Преимущество сертификатов издателя и хешированного значения заключается в том, что в случае изменения исполняемого файла вредоносной программой он исключается из белого списка, как не соответствующий идентифицирующим свойствам издателя или хеша. А зараженный исполняемый файл, идентифицируемый по пути, остается в белом списке и воспринимается как безопасный.
Политики ограничения и AppLocker
Политики ограничения приложений появились в Windows со времени XP. С помощью политик ограничения программ Software Restriction Policies (SRP) можно создать правила хешей и правила путей. Политики SRP имеют следующие преимущества и недостатки.
- Идентификация файлов на основе хеша и местоположения.
- Содержат правила сертификатов издателя, но функционируют по принципу «все или ничего». Все приложения, подписанные издателем, разрешаются или запрещаются. Например, нельзя использовать правило сертификатов издателя, чтобы разрешить Adobe Acrobat, но блокировать Adobe Photoshop. Для создания правила SRP необходима копия сертификата издателя в формате. cer или. crt.
- Позволяют указать, какие расширения относятся к исполняемым файлам.
- Не содержат правил издателя.
- Правила приходится строить вручную.
- Не существует иного централизованного решения для подготовки отчетов, кроме просмотра журналов событий.
- Используется собственная функциональность групповой политики; не требуется установки дополнительного клиента.
Утилита AppLocker в составе Windows 7 расширяет функциональность SRP. В AppLocker появился целый ряд улучшений.
- Можно создать правило издателя на основе эталонного файла без необходимости в отдельном файле сертификата формата. cer или. crt.
- Можно автоматически проанализировать компьютер, чтобы подготовить набор правил издателя и сертификата.
- Поддерживаются только клиенты Windows 7 Professional, Enterprise и Ultimate.
- Утилита применяется через групповую политику. При отсутствии клиентской программы администраторам приходится прилагать значительно больше усилий для запуска AppLocker.
Централизованное решение для подготовки отчетов по-прежнему отсутствует.
Если в рамках стратегии безопасности компании нужно применять белые списки приложений и требуется продукт с более широкими возможностями, чем у SRP и AppLocker, подумайте об использовании Lumension Application Control, Endpoint Security and Data Protection компании Sophos или Bit9 Parity. Функциональность всех этих продуктов выходит далеко за рамки подготовки белых списков приложений. Прочие функции упоминаются в данной статье, но акцент сделан на белых списках.
Lumension Application Control
Lumension Application Control
ЗА:
простое обнаружение приложений; легко строить белые списки.
ПРОТИВ:
сложная процедура установки; трудности настройки.
ОЦЕНКА:
4 из 5.
ЦЕНА:
лицензия 45 долл.; обслуживание 9 долл./год.
РЕКОМЕНДАЦИИ
: продукт может понравиться администраторам, которые нуждаются в более широкой функциональности, чем AppLocker. Однако процедура установки излишне сложна.
КОНТАКТНАЯ ИНФОМАЦИЯ:
Lumension Security, www.lumension.com
Lumension Application Control - специализированный продукт для подготовки белых списков с функциями автоматического обнаружения прикладных программ, авторизации обновлений программного обеспечения, защиты от сценариев и макросов, просмотра приложений, локальной авторизации приложений и эвристического анализа для обнаружения вредоносного кода, локально авторизованного на определенном числе компьютеров. В Lumension используются правила на основе хеша и пути для идентификации файлов, а администраторы могут дистанционно проверять клиентов, составляя списки идентификации файлов.
Развертывание клиента. Вместе с программой поставляется установщик для Windows x64 и x86 в формате MSI. Администраторы могут развертывать программный продукт на клиентах через групповую политику или с использованием более мощного инструмента, такого как Microsoft System Center Configuration Manager (SCCM).
С помощью программы Lumension Application Control можно обнаружить приложения, развернутые в компании. Результаты обнаружения используются при подготовке политик белых списков.
Обнаруженные файлы можно распределить по группам в консоли Lumension Application Control. На основе групп файлов принимаются решения о разрешении или запрете программ. Белые списки приложений можно применять к различным пользователям, назначая учетные записи пользователей разным группам файлов. Группы файлов определяют, какие приложения доступны для данного пользователя, как показано на экране 1.
| Экран 1. Lumension Application Control |
Главное преимущество перед AppLocker - мощные функции дистанционного обнаружения. С помощью AppLocker можно запустить мастер локально на эталонном компьютере и создать список приложений. В Lumension достаточно указать мастеру целевой компьютер, чтобы проверить его и сформировать список.
Более эффективны и функции мониторинга с централизованными отчетами Lumension. Для подготовки отчетов используются возможности баз данных SQL Server.
И наконец, в Lumension предусмотрены функции проверки распространения для автоматического блокирования подозрительных исполняемых файлов.
Дополнительные замечания. Установка Lumension - очень трудоемкий процесс. Установка Endpoint Security and Data Protection и Bit9 Parity сводится в основном к нескольким щелчкам мыши, по указаниям мастера. Однако для установки Lumension Application Control необходимо выполнить подробные инструкции, изложенные на нескольких страницах. Хотя для опытного администратора это не составит труда, при усложнении процесса установки возрастает вероятность ошибки.
В Lumension Application Control предусмотрен быстрый и простой способ генерации идентификационных данных файлов для использования в белых списках, но в документации продукта рекомендуется применять пути для регулярно обновляемых приложений. Как отмечалось выше, правила пути уязвимы, так как не препятствуют выполнению зараженных файлов, Такая угроза исключена при использовании правил сертификатов или хеша.
Endpoint Security and Data Protection 9.5
ЗА:
благодаря автоматическому обслуживанию сокращается трудоемкость обновления правил для администраторов. Совместимость с платформами Mac, Windows и Linux.
ПРОТИВ:
неясно, как добавить пользовательские программы и программы, которых нет в списках Sophos.
ОЦЕНКА:
3 из 5.
ЦЕНА:
11 долл./год для одного пользователя (до 99 пользователей).
РЕКОМЕНДАЦИИ:
продукт - часть комплекса безопасности с более широкими возможностями; он может подойти компаниям, нуждающимся в развертывании широко известных клиентов, но не собственных программ.
КОНТАКТНАЯ ИНФОРМАЦИЯ:
Sophos, www.sophos.com
Endpoint Security and Data Protection 9.5 компании Sophos - передовое решение для защиты компьютеров конечных пользователей. В нем есть брандмауэр, антивирус, функции контроля приложений и устройств, предотвращения потерь данных, шифрования и управления доступом к сети для клиентов Windows, Linux, Mac и UNIX. Как и в Bit9 Parity и Lumension Application Control, информация о приложениях хранится в SQL Server 2008 Express.
Развертывание клиентов. Bit9 и Lumension располагают отдельными установщиками клиентов, но в Sophos применяется установщик с принудительным распространением, который «проталкивает» клиента из консоли на защищаемый компьютер. Файл клиента можно загрузить непосредственно из сайта Sophos, но изначально он в пакет поставки не входит.
Перед развертыванием клиента из консоли Sophos необходимо подготовить клиентские компьютеры. При этом требуется изменить стандартные настройки сети и общего доступа, статус запуска службы Remote Registry, настройки контроля пользовательских учетных записей UAC и параметры брандмауэра.
Создание и обновление политик. Чтобы создать политики для приложений, нужно выбрать узел Application Control в разделе Policies в главной консоли. Можно создать новую политику или изменить стандартную. Политики применяются к группам компьютеров; в каждый момент времени компьютер может принадлежать только одной организованной администратором группе.
Компания Sophos предоставляет обширный список приложений, сортированный по функциональности. Администратор строит политику, проходя по списку и указывая приложения, которые нужно разрешить и запретить. Sophos регулярно обновляет список, и если администратор разрешил определенное приложение, то теоретически все последующие версии данной программы распознаются компанией Sophos, и эти сведения передаются на компьютеры конечных пользователей. Кроме того, Sophos постоянно пополняет список новыми приложениями. Однако не совсем ясно, как обрабатываются пользовательские приложения.
Политикой по умолчанию разрешены все приложения, хотя не составит особого труда блокировать все программы, а затем ввести в белый список приложения, используемые в компании. На экране 2 показан инструмент архивации, добавленный к белому списку. Похоже, в продукте нет средства для автоматического поиска приложений, установленных на компьютере. Поэтому, если предварительно не проведена инвентаризация программного обеспечения, следует действовать очень осмотрительно, составляя белый список приложений.
.jpg) |
| Экран 2. Endpoint Security and Data Protection |
Политики управления приложениями применяются к группам компьютеров. Можно импортировать существующие группы компьютеров из Active Directory (AD) или создать собственную иерархию групп. Учетные записи компьютеров можно импортировать из AD или обнаруживать в сети. К группе можно применить только одну политику управления приложениями, хотя одна политика может воздействовать на несколько групп.
Из документации и интерфейса Sophos не удалось понять, как подготовить белые списки для продуктов, не входящих в список идентифицируемых продуктов. Неясно, какой механизм идентификации использует компания Sophos: на основе сертификатов, хеша или пути. Главное преимущество механизма идентификации на основе сертификатов перед механизмом на основе хеша заключается в том, что правила не устаревают после внесения изменений в приложения. Однако определения правил загружаются вместе с регулярными обновлениями, рассылаемыми компанией Sophos, поэтому данное различие несущественно.
Мониторинг. Из особой консоли можно отслеживать все события, относящиеся к управлению приложениями. Можно увидеть события, произошедшие в указанный период времени, относящиеся к определенному пользователю, компьютеру или типу приложений.
Преимущества перед AppLocker. У Endpoint Security есть несколько преимуществ перед AppLocker. Прежде всего, Endpoint Security создает эвристический механизм идентификации для определенных приложений, поэтому администраторам не нужно строить их вручную. Кроме того, Endpoint Security обновляет базу данных идентификации приложений. Недостаток продукта заключается в том, что, похоже, невозможно блокировать определенную версию приложения (например, Adobe Acrobat 9), но разрешить более новую версию той же программы.
Дополнительные замечания. Перед развертыванием Endpoint Security and Data Protection администратору требуется применить политики, чтобы задать нужные параметры и запустить службы. Без установщика MSI развертывание производится через консоль Sophos. Администраторам некоторых компаний не понравится, что метод развертывания клиентов через консоль плохо масштабируется. Но Sophos хорошо подходит для разнородной среды благодаря поддержке клиентов Mac, Unix и Linux, а также совместимости со всеми клиентскими операционными системами Windows.
Подходу, при котором правила создает поставщик, свойственны как достоинства, так и недостатки. С одной стороны, сложно распространить действие правил на пользовательские приложения. Однако преимущество в том, что передав компании Sophos обязанность обновлять правила, администратор может внести приложение в белый список и уже не задумываться о правилах для этого приложения.
Bit9 Parity
Bit9 Parity
ЗА:
обширный набор функций.
ПРОТИВ:
интерфейс нуждается в доработке, чтобы облегчить освоение мощной функциональности.
ОЦЕНКА
: 4 из 5.
ЦЕНА:
39 долл. за неограниченную лицензию.
РЕКОМЕНДАЦИИ:
продукт будет очень эффективным средством подготовки белых списков для администраторов, нуждающихся в более продуманной функциональности, чем имеется в AppLocker, и располагающих временем для освоения Bit9 Parity.
КОНТАКТНАЯ ИНФОРМАЦИЯ:
Bit9, www.bit9.com
Наряду с белыми списками приложений, Bit9 Parity располагает функциями защиты реестра, мониторинга конфигурации, управления уходом параметров и инвентаризации файлов.
Развертывание клиентов. Развертывание клиентов Bit9 Parity производится через файлы MSI, которые можно развернуть традиционно с помощью групповой политики, или с использованием такого инструмента, как SCCM 2007 R3. Пользователи также могут установить клиентскую программу Bit9 из общих папок на сервере управления.
Создание и обновление политик. Политики Bit9 Parity используются для распределения компьютеров по группам с похожими требованиями к безопасности. Клиентская программа блокирует или разрешает исполняемые файлы на основе параметров, заданных в политике. Создавая политику, администратор указывает, как поступать с разрешенными и неутвержденными исполняемыми файлами, в том числе блокировать ли непроверенные или неодобренные скрипты и исполняемые файлы, и блокировать ли определенные имена файлов и хеши. На экране 3 показана политика Bit9 Parity.
.jpg) |
| Экран 3. Bit9 Parity |
Можно подписаться на базу данных, размещенную на сервере Bit9, которая автоматически обновляет белый список, чтобы пользователи могли запускать приложения, безопасность которых удостоверена. Опасные или сомнительные приложения блокируются автоматически.
Мониторинг. Bit9 Parity обеспечивает мониторинг и автоматическое обнаружение новых приложений, а также оповещение администраторов. Благодаря этой функции администраторы могут быстро определить новые приложения, появившиеся в компании, и принять решение об их авторизации. Неизвестные приложения блокируются по умолчанию. Посмотрев приложение, администратор может утвердить его.
Преимущества перед AppLocker. У Bit9 Parity есть несколько преимуществ перед AppLocker. Прежде всего, продукт работает на клиентах Windows Vista и XP. Кроме того, благодаря оперативной идентификации файлов можно получить дополнительные сведения о блокированном приложении, в частности узнать, относится ли оно к опасным по классификации Bit9. Блокированные приложения можно переслать в компанию Bit9 для анализа. Функции подготовки отчетов Bit9 Parity существенно лучше, чем у AppLocker. И наконец, из консоли мониторинга Bit9 Parity на основе Web администраторы могут подключаться ко многим клиентам, не устанавливая отдельной консоли управления.
Дополнительные замечания. В настоящее время для функционирования Bit9 Parity необходимо отключить IPv6 на сервере управления. Подавляющее большинство компаний не использует IPv6 во внутренних сетях, но это вызовет неудобства у некоторых компаний, совершивших переход на инфраструктуру IPv6.
Bit9 Parity отличается широтой функций управления приложениями. Единственный недостаток продукта заключается в том, что обширную функциональность трудно освоить администраторам, незнакомым с интерфейсом.
Оптимальный выбор
Выбор продукта для подготовки белого списка приложений или собственной функциональности групповой политики зависит от особенностей инфраструктуры компании и ее нужд. С помощью специализированного продукта можно существенно уменьшить ущерб от вирусных заражений и неавторизованных приложений, блокируя приложения, отсутствующие в белом списке. Продукты для подготовки белого списка с расширенной функциональностью, выходящей за рамки возможностей операционных систем Windows Server, необходимы большинству компаний, поскольку, если клиенты не представлены лишь компьютерами Windows 7, администраторам придется тратить неоправданно много времени на своевременное обновление политик SRP.
Крайне важно правильно организовать обслуживание. Основные затраты при развертывании белых списков связаны не собственно с продуктами, а со временем, потраченным системными администраторами на установку и обслуживание белых списков приложений. Bit9 Parity и Lumension Application Control обеспечивают автоматическое обнаружение измененных файлов, позволяя администраторам быстро реагировать на изменения в экосистеме приложений. Подход Sophos основан на центральном списке приложений, из которых можно формировать белые списки, но возникает вопрос, охватывает ли список Sophos все приложения компании.
Важно отметить, что рассмотренные продукты входят в состав более широких комплексов безопасности. В данном обзоре показан лишь один аспект этих комплексов и не делается попытки сравнить все их функции. В зависимости от индивидуальных предпочтений, администратору может быть проще выполнять важные задачи обслуживания и управления белым списком из интерфейса Bit9 Parity, а не интерфейса Lumension Application Control или Endpoint Security and Data Protection компании Sophos.
Орин Томас ([email protected]) - редактор Windows IT Pro
Рассмотрим важное и многофункциональное приложение Центр Безопасности в системе Flyme OS на смартфонах Meizu. Это предустановленное приложение можно назвать санитаром смартфона. Поможет провести очистку от лишних файлов, кеша, вирусов, увеличить время работы смартфона и контролировать трафик интернета. А так же в центре безопасности можно настроить получение уведомлений от сторонних приложений.
В главном меню центра безопасности можно увидеть основные приложения-команды управления смартфоном. Рассмотрим их по порядку.
Очистка ненужного. Приложение задействует сканирование внутренней памяти на наличие хлама в виде временных файлов, кэша, неиспользуемого софта и остатков удаленных приложений. Сканирование настраиваемое. Можно добавить в белый список приложения, которые сканирование затрагивать не будет. В настройках данной утилиты возможно активировать ярлычок «системный кэш»- появится на главном экране смартфона в виде маленькой ракеты, нажав на который произойдет очистка системного кэша.
Большие файлы. Здесь тот же принцип-происходит поиск и анализ файлов на размер занимаемый в памяти телефона. Список больших файлов отображается списком, пользователю предлагается выбрать ненужные для удаления и увеличения таким образом свободной памяти. В данной утилите можно отсортировать найденные файлы, можно выбрать только видео или аудио, архивы, документы или все остальное.
Очистка приложений. Эта утилита сортирует приложения по времени использования или по размеру, информируя пользователя сколько времени приложение не активно и сколько места занимает. Предлагая таким образом удалить ненужные что бы освободить память смартфона.
Очистка вирусов. Утилита активирует поиск вредоносных файлов, приложений и всякого рода рисков взлома. В настройках сканера на вирусы, можно создать список доверенных приложений, которые не будут затрагиваться, а так же включить или отключить сканирование всех приложений. Еще доступна команда обновления базы данных вирусов и возможность включить автообновление баз по Wi-Fi.
Разрешения. Своего рода центр управления правами доступа приложений к системным компонентам смартфона, например к контактам или смс.
Утилита разделена на несколько вкладок:
В нижней части данной утилиты расположен ярлычок Приложения в виде четырех квадратиков, который ведет к списку приложений, что бы проверить количество разрешений у каждого приложения и настроить их. Для удобства доступен поиск того или иного приложения.
Управление трафиком. В данном меню можно активировать мониторинг используемого трафика мобильного интернета, установить ежемесячный план и указать дату расчетного дня. Таким образом когда трафик вашего интернет пакета закончиться мобильный интернет отключится автоматически, тут же возможно включить уведомление об окончании заданного трафика.
Утилита ведет статистику использования мобильного интернета и отображает ее в главном меню. В списке приложений отображается количество использованного трафика каждым приложением. Пользователю предлагается проанализировать его и закрыть доступ не нужным приложениям к мобильному интернету, для экономии трафика.
Энергосбережение. Здесь все рычаги управления энергосбережением смартфона Meizu. В главном меню утилиты отображается информация об оставшемся времени работы смартфона и список доступных режимов. Первый это Смарт-режим который активирует сбалансированные настройки, такие как автояркость, отключение Bluetoth и GPS, отключение экрана через 30 секунд и др.
Следующий это Супер-режим , с помощью него можно получить максимальную экономию потребления батареи, активировав его вы отключите абсолютно все, кроме звонков и смс. Данная функция переводит смартфона в энергосберегающий режим питания, отключит мобильный интернет и Wi-Fi, переводит сеть в режим 2G, в общем делает все что бы продлить время работы смартфона.
Есть еще Режим пользователя , он настраиваемый. Перейдите в настройки и отфильтруйте его под ваши требования. В настройках можно активировать автовключение режимов по уровню заряда батареи или по расписанию.
В утилите Энергосбережение можно перейти в меню управления приложениями и настроить блокировку приложений в режиме ожидания, т.е. когда телефон не используется.
Кстати эти настройки повлияют на получение уведомлений , если приложение заблокировано в режиме ожидания, то и уведомления от него приходить не будут.
Приложение Центр безопасности это как кабина пилота, много кнопочек и рычажков, главное разобраться в них и полет станет плавным!
Администраторы могут управлять корпоративными приложениями на устройствах Android пользователей, не затрагивая их личные данные. Например, вы можете:
- создавать белые списки рекомендованных приложений, которые будут доступны для установки;
- автоматически устанавливать нужный набор приложений для работы;
- управлять системными приложениями на корпоративных устройствах.
Принцип работы белого списка
Вы выбираете приложения из Play Маркета в консоли администратора Google и заносите их в белый список, который пользователи видят на своих устройствах.
Приложениями из белого списка управляет организация, поэтому когда сотрудник увольняется, эти приложения удаляются с его устройства вместе с корпоративным аккаунтом. Их также можно удалить, если устройство потеряно или украдено. Некоторые мобильные приложения Google, например Gmail и Google Диск, уже добавлены в белый список.
Как разделить личные и корпоративные приложения
Рабочие профили доступны в .
Шаг 1. Откройте белый список приложений для Android
Шаг 2. Создайте белый список
Как добавить приложениеПриложение появится в белом списке почти сразу, но пользователи смогут установить его из корпоративного Google Play или с вкладки "Для работы" в Play Маркете только после следующей синхронизации с системой управления мобильными устройствами Google. Приложениями, установленными не из корпоративного Google Play и не с вкладки "Для работы", управлять нельзя.
Как удалить приложениеПосле удаления приложения из белого списка оно станет недоступным для пользователей в корпоративном Google Play и на вкладке "Для работы" в Play Маркете. Если пользователь уже установил приложение, оно не удаляется с его устройства. Пользователи, которые ещё не установили удаленное из белого списка приложение, все равно могут скачать его из Play Маркета, но в таком случае оно не будет управляемым.
Вы получите подтверждение, что выбранное приложение удалено из белого списка.
Примечание. Удалить Google Apps Device Policy из белого списка невозможно.
Шаг 3. Управление приложениями в белом списке
Как управлять настройками приложенийПримечание.
Как подтвердить новые разрешенияДобавив в белый список приложение для Android, вы можете управлять его доступом к данным от имени пользователей в организации, то есть предоставить ему определенные разрешения. Например, приложению может потребоваться доступ к контактам или местонахождению устройства. Пользователи могут менять предоставленные вами разрешения после установки приложения на своем устройстве.
После обновления приложения из белого списка ему могут потребоваться новые разрешения. Приложения, для которых необходимо обновить разрешения, отмечены в консоли администратора значком . Чтобы одобрить запрос на обновление разрешений:
Как управлять динамическими разрешениями
Некоторые приложения для устройств Android запрашивают у пользователя разрешения во время выполнения. Например, приложение может запросить доступ к календарю или местонахождению устройства. Вы можете указать, как будут обрабатываться запросы отдельных приложений на получение таких разрешений. Эти параметры имеют приоритет над заданными для устройства настройками динамических разрешений .
Как создать управляемые конфигурацииДля использования этой функции требуется включить .
С помощью управляемых конфигураций можно автоматически настраивать приложения для организационного подразделения или группы пользователей. Вы можете создать несколько управляемых конфигураций для одного приложения и применить их к разным группам и подразделениям. Чтобы создать управляемую конфигурацию, выполните следующие действия:
Шаг 4. Предоставьте приложения определенным пользователям
Как добавить пользователей в список распространения приложенияСравнение версий
- Откройте белый список приложений для Android, следуя инструкциям выше.
- Выберите приложение, которое хотите сделать доступным.
На экране "Распространение приложений" показаны подразделения и группы пользователей, которым приложение доступно в настоящий момент.
Совет. Чтобы увидеть список приложений, доступных только определенному пользователю или группе, выберите в настройках фильтров в левой части страницы организационное подразделение, группу или конкретного человека. Вы также можете отфильтровать только общедоступные или только частные приложения. - Чтобы сделать приложение доступным другим группам, нажмите Добавить .
- Выберите один из вариантов ниже.
- Чтобы предоставить доступ к приложению организационному подразделению, нажмите в левой части экрана Организационное подразделение и выберите из списка название подразделения.
- Чтобы предоставить доступ к приложению группе, нажмите в левой части экрана Группа и начните вводить ее название, а затем выберите ее из списка.
- Задайте настройки приложения для организационного подразделения или группы и нажмите Сохранить
.
Вы можете:- сразу же автоматически установить приложение на устройствах пользователей;
- запретить пользователям удалять приложение;
- разрешить пользователям добавлять виджеты приложения (если они есть) на главный экран.
Нажмите Продолжить .
Примечание.
Как удалить пользователей из списка распространения приложенияЭта функция доступна в пакетах G Suite Business и G Suite Enterprise. Сравнение версий
Примечание. Изменения на устройствах пользователей обычно вступают в силу через несколько минут, но иногда это занимает до 24 часов. Если не указать подразделение или группу, приложение станет доступно всем пользователям организации верхнего уровня.
Как запретить пользователям устанавливать приложения не из белого списка
Для использования этой функции требуется включить .
Пользователи могут скачивать приложения из Play Маркета. При этом добавленные в белый список приложения доступны на вкладке "Для работы". Чтобы запретить пользователям устанавливать приложения, не входящие в этот список:
Примечание. Изменения на устройствах пользователей обычно вступают в силу через несколько минут, но иногда это занимает до 24 часов.
Была ли эта статья полезна?
Как можно улучшить эту статью?
