O documento discute o uso do AppLocker no Windows 7 para proteger ambientes contra a execução de aplicações não autorizadas. O AppLocker fornece controle de aplicação granular baseado em regras allow, deny e exception para executáveis, instaladores, scripts e DLLs. O documento também discute as melhores práticas para criar e implementar com sucesso uma política de AppLocker.

1. SETEMBRO, 2010 | SÃO PAULO

2. CÓDIGO DA SESSÃO: CLI307
Utilizando o AppLocker para
proteger seu ambiente da execução
de aplicações não autorizadas
Rodrigo Immaginario
CISSP
MVP Security
http://rodrigoi.org.br

3. Vista. O Windows 7 fornece aos profissionais de TI funcionalidades de
3
Com base nos fundamentos de segurança do Windows
segurança que são simples de usar e gerenciar
Plataforma
Segura
Proteção aos
dados
sensíveis
Segurança
para Acesso
Remoto
Proteção para
Usuários e
Infraestrutura

4. Proteger Seus Ativos Digitais
4
Formar Tradicionais
Usuários Comuns, Autenticação Forte, …
Anti-virus, firewall, IDS, …
Data access control policies
Access Control Policies (ACLs)
DRM, encryption, …
No Entanto …
Qualquer software rodando em nome do usuário
tem o mesmo acesso aos dados que o usuário tenha
acesso

5. 5
Controle de Aplicação
Situação Hoje Windows 7
AppLocker
Elimina aplicações
desconhecidas na rede
Possibilita padronização de
aplicações
Facilidade de criação e
gerenciamento das regras via
GPO
Usuários podem executar e
Instalar aplicações não
aprovadas
Mesmo usuários comuns
podem executar programas
Aplicações não autorizadas
podem :
Conter Malware
Aumenta Help-Desk
Reduz produtividade

6. Estrutura Simples
6
Allow
Execução Limitada ao “known
good” e bloquear o resto
Deny
Negar o “known bad” e permitir
a execução do resto
Exception
Exceção de arquivos da regras
allow/deny
“Permite todas as versões superiores ao Office 12, exceto o Microsoft
Access.”

7. Publisher
7
Regras baseadas em
assinaturas digitais dos
aplicativos
Pode especificar os
atributos da aplicação
Permite que as regras
funcionem mesmo com
as atualizações das
aplicações
“Todas as versões, superiores a 12, do pacote Office possui assinatura
Digital.”

8. Targeting
8
Regras podem ser
associadas a usuários e
grupos
Controle Granular
Ajuda nas Políticas de
Segurança por “forçar”
quem pode executar
determinadas aplicações
“Permitir usuários do grupo de Finanças de executar …”

9. Múltiplas Regras
9
Tipos de Regras
Executable
Installer
Script
DLL
Regras além dos executáveis
Flexibilidade e melhores
proteções

10. Assistente de Criação de Regras
10
Step-by-step
Help Integrado
Modos de Criação
Manual
Automatically generated
Import / Export
Regras intuitivas,
facilidade de criar e
manter

11. Modo Audit Only
11
Testar antes de aplicar
Eventos registrados para
auditoria local
Applications and Service
Logs | Microsoft |
Windows | AppLocker
Comandos PowerShell

12. Comandos PowerShell
12
Comandos
Get-AppLockerFileInformation
Get-AppLockerPolicy
Set-AppLockerPolicy
New-AppLockerPolicy
Test-AppLockerPolicy

13. 13
AppLocker

14. Melhores Práticas …
14
Criar uma estratégia de bloqueio
Inventário das aplicações
Testar regras(allow / deny) em LAB
Definir a estratégia de criação do GPO
Documentar o Design do AppLocker
Implementar em modo audit-only
Reverter para enforcement

15. 15

16. © 2008 Microsoft Corporation. Todos os direitos reservados. Microsoft, Windows, Windows Vista e outros nomes de produtos são ou podem ser marcas registradas e/ou marcas comerciais nos EUA e/ou outros países.
Este documento é meramente informativo e representa a visão atual da Microsoft Corporation a partir da data desta apresentação. Como a Microsoft deve atender a condições de mercado em constante alteração, este
documento não deve ser interpretado como um compromisso por parte da Microsoft, e a Microsoft não pode garantir a precisão de qualquer informação fornecida após a data desta apresentação. A MICROSOFT NÃO DÁ
QUALQUER GARANTIA, SEJA ELA EXPRESSA, IMPLÍCITA OU ESTATUTÁRIA, REFERENTE ÀS INFORMAÇÕES DESTA APRESENTAÇÃO.

17. Por favor preencha a
avaliação