Bit9 Parity Suite ou Microsoft AppLocker?

fonte: http://www.ireo.com/fileadmin/img/Fabricantes_y_productos/bit9/Whitepaper-Bit9-Parity-Suite-vs-AppLocker.pdf

Objetivo:

Prevenir a execução de software não autorizado em nós de extremidade de rede deve ser uma prioridade para qualquer segurança de  uma organização consciente. Fazer isso é a única maneira de prevenir efetivamente a pirataria de software e infecções de malware, enquanto mantém uma configuração de linha de base bem controlada. A Microsoft introduziu recentemente um recurso chamado AppLocker projetado para impedir a execução de código não autorizado. Este artigo compara o AppLocker da Microsoft e o Bit9 Parity Suite.

O que é AppLocker?

O potencial para efeitos colateral catastrófico:

Bloqueio acidenta:

Mecanismos de aprovação:

Atualizações de aplicativos:

Identificação do Arquivo:

Eficácia gera:

Conclusão:

O que é AppLocker?

Caso você não esteja familiarizado com o AppLocker, ele é a Implementação da próxima geração da Microsoft Políticas de Restrição de Software, que foram originalmente introduziu há quase dez anos no Windows XP. Embora o AppLocker seja tecnicamente uma nova versão do Políticas de Restrição de Software, não está atrasada compatível com as Políticas de Restrição de Software.

Se, por exemplo, você atualmente usa Restrição de Software Políticas para bloquear seus desktops do Windows, você pode continuar a usar essas políticas mesmo depois de você implemente o Windows 7. Depois de começar a criar políticas do AppLocker, no entanto, Os desktops do Windows 7 ignorarão qualquer software existente nas Políticas de restrição. Da mesma forma, todos os desktops que continuar a executar o Windows XP ou o Vista ignorarão a suas Regras do AppLocker. Como tal, aqueles que executam o AppLocker em ambientes mistos podem ter que mantenha dois conjuntos separados de regras.

A falta de compatibilidade com versões anteriores do AppLocker é um problema que precisa ser seriamente considerado antes de implementando o AppLocker. Por causa do jeito que As políticas de restrição de software são projetadas que podem ser tomadas uma enorme quantidade de trabalho para criar um conjunto de políticas que realizam a área de trabalho da organização objetivos de bloqueio sem serem fáceis para os usuários finais Contornar. Infelizmente, o Windows não fornecer um mecanismo para converter software existente Políticas de restrição nas regras do AppLocker.

Organizações que estão atualmente usando Software com as políticas de restrição para o bloqueio da área de trabalho enfrentarão uma decisão difícil, uma vez que eles começam a trazer o Windows 7 na organização. As opções dessa organização incluir:

  •  Continuar a confiar exclusivamente no Software Políticas de restrição.
  •  Implementar o AppLocker para Windows 7: Desktops e continue usando Software Políticas de restrição para Windows legado desktops (que requer manutenção de dois diferentes conjuntos de regras).
  • Implementar o AppLocker e, em seguida, implantar Windows 7 para cada área de trabalho no organização.
  • Implante o Parity Suite do Bit9 (que oferece suporte Windows 7, Vista, XP e 2000)

O potencial de efeitos colaterais catastróficos:

Embora o AppLocker ofereça inúmeras melhorias sobre políticas de restrição de software, ele deve ser configurado com cuidado. Caso contrário, pode ser possível bloquear-se acidentalmente do Windows.

A razão pela qual isso é possível tem a ver com a filosofia atrás do caminho que o AppLocker governa os trabalhos. Em qualquer organização, há um número finito das aplicações que foram autorizadas para uso. Por outro lado, há um número quase infinito de aplicativos que não estão autorizados a serem utilizados.

Assim sendo, é mais fácil para o AppLocker permitir os aplicativos que são autorizados (e bloqueiam tudo o resto) do que para bloquear aplicativos em uma base individual.

Embora eu acredite que essa filosofia seja sólida, a Microsoft levou-o ao extremo em que a Microsoft realmente exige que você crie um conjunto de regras padrão para para garantir que os arquivos críticos do sistema sejam autorizados a correr. Um administrador inexperiente que esquecer criar as regras padrão (elas não são criadas). automaticamente) poderia potencialmente impedir o funcionamento arquivos do sistema de serem executados.

Na minha opinião: o AppLocker faz parte do Windows, então A Microsoft deveria ter projetado o AppLocker para confiar automaticamente nos arquivos do sistema do Windows uma vez que eles foram validados. Simplificando, se o padrão é necessário, então elas devem ser criadas por padrão.

Bloqueio acidental:

É surpreendentemente fácil para um inexperiente administrador bloquear acidentalmente o Windows de forma não intencional. Uma vez que as primeiras regras do AppLocker são criados, então quaisquer aplicativos que não sejam especificamente permitido por essa regra são impedidos de executando. Além disso, isso pode acontecer mesmo se as regras atualmente não estão sendo aplicadas. A documentação da Microsoft para AppLocker afirma que “se A execução não está configurada, mas as regras estão presentes na coleção de regras correspondente, essas regras são forçada. “Como tal, é uma boa idéia configurar a regra execução e estabelecer o nível de execução para Apenas Auditoria. Dessa forma, você pode evitar um acidental bloqueio e você pode ter uma idéia do efeito que suas regras do AppLocker terão antes de serem colocadas em efeito.

Mecanismos de aprovação:

Eu tenho que dar crédito à Microsoft por tomar medidas para o processo de criação da regra inicial para o AppLocker de forma fácil. O AppLocker é capaz de analisar um sistema que está em um bom estado conhecido e aprovar automaticamente tudo sobre esse sistema para uso em toda a organização.

No entanto, com o passar do tempo, as novas aplicações são muitas vezes adotadas e as organizações que usam o AppLocker devem criar regras que permitirão que esses aplicativos sejam executados. As regras do AppLocker podem ser baseadas no editor de assinaturas digitais, os caminhos do aplicativo ou arquivo hash.

Em organizações altamente dinâmicas, os mecanismos de aprovação podem ser muito arranjados para uso em organizações altamente dinâmicas.

O Bit9 Parity Suite oferece muito mais flexibilidade abordagem para a aprovação da aplicação. As aplicações podem ser aprovado com base em assinaturas digitais, caminhos UNC, descoberta de rede, usuários confiáveis ​​e aprovado processos. O Bit9 Parity Suite também fornece um mecanismo para aprovar aplicativos comuns que pode não ser necessariamente assinado digitalmente.

Atualizações de aplicativos:

Hoje, praticamente todos os editores de software lançam atualizações de rotina para seus produtos. Essas atualizações devem ser aprovado antes que eles possam correr em um Sistema protegido do AppLocker.

Opções do AppLocker para aprovar atualizações de software são um pouco limitadas. As atualizações podem ser aprovadas manualmente, ou você pode criar uma regra de editor. As regras do editor podem ser muito mais específicas da aplicação do que era possível com as Políticas de Restrição de Software. Anteriormente, as Regras do Editor baseavam-se unicamente em assinatura digital do editor de software. Isso significava que se aprovado um editor, você aprovou automaticamente qualquer um dos softwares da editora a menos que você tivesse outro regras para proibir determinados pedidos de sendo usado.

O AppLocker ainda usa as regras do Publisher, mas as regras podem ser criado com diferentes quantidades de detalhes. Para Por exemplo, é possível aprovar um editor, um aplicação específica de um editor, ou mesmo uma versão específica de um aplicativo. Por exemplo, você poderia autorizar o uso do Adobe Acrobat Reader versão 9.0 ou superior.

Embora o AppLocker seja muito mais flexível do que o As Políticas de Restrição de Software foram, o processo de aprovar atualizações ainda pode ser muito tedioso porque Você deve criar regras para cada aplicativo. Dentro contraste, o Parity Suite do Bit9 vai muito longe para facilite a aprovação de atualizações de software. Alguns As opções de aprovação de atualizações do Bit9 incluem:
  • Confiar em tudo que reside em um designado unidade de rede (um volume pode ser usado como ponto de distribuição do software)
  • Automaticamente hash e aprovação de atualizações emitido por produtos de gerenciamento de patches, como WSUS, SMS, Altiris ou BigFix.
  •  Aprovando atualizações por assinatura digital (você também pode aprovar o código que você assinou você mesmo).

Identificação de arquivo:

Eu rotineiramente recebo mensagens de e-mail de pessoas me perguntando se o AppLocker pode ajudá-los a parar os usuários de instalar jogos de vídeo, rede de pares software ou outras aplicações não autorizadas. A verdade é que você pode realizar isso sem usar software de bloqueio de desktop. Basta configurar o Windows com as permissões corretamente impedirão que usuários não autorizado instale aplicativos.

A finalidade do bloqueio da área de trabalho não é apenas impedir a instalação de software não autorizado, mas também para impedir o código não autorizado que já pode existe em um sistema de execução. Simplesmente bloqueando o a execução desse código talvez não seja suficiente. Ter código inativo residente na estação de trabalho dificulta os drives e podem ter as seguintes conseqüências:

  • Código malicioso que reside no sistema poderia potencialmente executar se um administrador com permissões ilimitadas fazem logon no sistema.
  •  Se aplicativos não autorizados forem descobertos durante uma auditoria de software, poderia sujeitar uma organização para multas relacionadas ao licenciamento violações.
  • Software não autorizado detectado durante uma a auditoria de segurança pode afetar a organização status de conformidade regulamentar.
  •  Código inativo consome estação de trabalho difícil espaço em disco.

Como você pode ver, é importante para o bloqueio da área de trabalho software para evitar que o código não autorizado seja executado, mas também para detectar, identificar e reportar qualquer código não autorizado que reside na estação de trabalho difícil drives.

Esta é uma área em que o AppLocker é extremamente em falta. Os únicos mecanismos que o AppLocker tem para identificação do arquivo são as regras do AppLocker que têm foi criado. Além disso, o AppLocker não possui quaisquer mecanismos para identificar ou relatar código não autorizado.

Em contraste, o Bit9 Parity Suite pode produzir uma variedade de relatórios sobre o software que foi detectado em sistemas de desktop. Esses relatórios vão além de simplesmente listar o nome e a localização do arquivo, e realmente identificar arquivos em detalhes detalhados. Isto é importante porque alguns nomes de arquivos não têm sentido. Por exemplo, inúmeros aplicativos incluem um instalador chamado Setup.exe. Se um relatório simplesmente listado que o Setup.exe estava presente em um sistema, você ser difícil pressionar para determinar se o arquivo era suposto estar lá ou não. Bit Parity Suite remedia isso problema, tomando um hash matemático do arquivo, e depois ver o arquivo no Bit9’s Global Software Registro.

O Global Software Registry é um banco de dados contendo informações sobre todos os arquivos executáveis ​​conhecidos. Como os arquivos no banco de dados são identificados por hash, ele é possível a diferença entre os arquivos do mesmo nome.

Bit9 assume esta mesma abordagem para evitar malware infecções. Todos os arquivos no Registro Global de Software foi analisado por um scanner de malware e é avaliado em uma escala de um a dez com base no seu nível de risco. Como tal, o Bit9 Parity Suite é capaz de criar riscos relatórios de análise.

O Bit9 Parity Suite também leva alguns outros passos para prevenir infestações de malware. O software monitora a propagação de arquivos em tempo real. Se um o arquivo está sendo propagado rapidamente, um alerta pode ser emitido. Se um administrador determinar que o arquivo é maliciosos, eles podem usar um recurso de botão de pânico para Pare de imediato a propagação.

Eficácia geral:

Como mencionei anteriormente, quando você habilita o AppLocker, você deve criar um conjunto de regras padrão para que O Windows pode continuar a ser executado. O padrão as regras executáveis ​​têm o seguinte efeito:

  • Todos podem executar qualquer arquivo localizado na pasta Arquivos de Programas.
  • Todos podem executar qualquer arquivo localizado na pasta do Windows ou subpastas.
  • A conta Builtin \ Administrator é permitida para executar qualquer código no sistema.

Embora as regras padrão sejam necessárias, elas pode prejudicar o AppLocker eficácia. Por exemplo, é muito comum para malware para se apresentar como parte do Windows sistema operacional. As regras padrão geralmente permitir que o código mal-intencionado seja executado, desde que seja localizado na pasta do Windows ou em um de seus subpastas (onde é onde o código malicioso muitas vezes reside).

Da mesma forma, se um usuário quiser executar não autorizado código, tudo o que eles têm a fazer é copiá-lo para o Pasta Arquivos de Programas ou para a pasta do Windows. De Por padrão, as permissões NTFS do Windows 7 restringem usuários de escrever arquivos para o Windows ou para o Pastas de arquivos de programas. No entanto, alguns mais velhos Os aplicativos são conhecidos por liberar permissões em essas áreas quando instaladas.

Conclusão:

O AppLocker e o Bit9 Parity Suite têm o seu lugar. AppLocker é melhor adequado para pequenas organizações que usam uma configuração relativamente estática e que têm um bom conjunto de aplicativos definido. O Bi9 Parity Suite é mais adequado para médio e grande organizações que exigem um alto grau de flexibilidade. A auditoria do Bit9 Parity Suite, relatórios e recursos de alerta também o tornam ideal para uso em organizações que são exigido para cumprir os regulamentos governamentais.