O documento discute o uso do AppLocker no Windows 7 para proteger ambientes contra a execução de aplicações não autorizadas. O AppLocker fornece controle de aplicação granular baseado em regras allow, deny e exception para executáveis, instaladores, scripts e DLLs. O documento também discute as melhores práticas para criar e implementar com sucesso uma política de AppLocker.
2. CÓDIGO DA SESSÃO: CLI307
Utilizando o AppLocker para
proteger seu ambiente da execução
de aplicações não autorizadas
Rodrigo Immaginario
CISSP
MVP Security
http://rodrigoi.org.br
3. Vista. O Windows 7 fornece aos profissionais de TI funcionalidades de
3
Com base nos fundamentos de segurança do Windows
segurança que são simples de usar e gerenciar
Plataforma
Segura
Proteção aos
dados
sensíveis
Segurança
para Acesso
Remoto
Proteção para
Usuários e
Infraestrutura
4. Proteger Seus Ativos Digitais
4
Formar Tradicionais
Usuários Comuns, Autenticação Forte, …
Anti-virus, firewall, IDS, …
Data access control policies
Access Control Policies (ACLs)
DRM, encryption, …
No Entanto …
Qualquer software rodando em nome do usuário
tem o mesmo acesso aos dados que o usuário tenha
acesso
5. 5
Controle de Aplicação
Situação Hoje Windows 7
AppLocker
Elimina aplicações
desconhecidas na rede
Possibilita padronização de
aplicações
Facilidade de criação e
gerenciamento das regras via
GPO
Usuários podem executar e
Instalar aplicações não
aprovadas
Mesmo usuários comuns
podem executar programas
Aplicações não autorizadas
podem :
Conter Malware
Aumenta Help-Desk
Reduz produtividade
6. Estrutura Simples
6
Allow
Execução Limitada ao “known
good” e bloquear o resto
Deny
Negar o “known bad” e permitir
a execução do resto
Exception
Exceção de arquivos da regras
allow/deny
“Permite todas as versões superiores ao Office 12, exceto o Microsoft
Access.”
7. Publisher
7
Regras baseadas em
assinaturas digitais dos
aplicativos
Pode especificar os
atributos da aplicação
Permite que as regras
funcionem mesmo com
as atualizações das
aplicações
“Todas as versões, superiores a 12, do pacote Office possui assinatura
Digital.”
8. Targeting
8
Regras podem ser
associadas a usuários e
grupos
Controle Granular
Ajuda nas Políticas de
Segurança por “forçar”
quem pode executar
determinadas aplicações
“Permitir usuários do grupo de Finanças de executar …”
9. Múltiplas Regras
9
Tipos de Regras
Executable
Installer
Script
DLL
Regras além dos executáveis
Flexibilidade e melhores
proteções
10. Assistente de Criação de Regras
10
Step-by-step
Help Integrado
Modos de Criação
Manual
Automatically generated
Import / Export
Regras intuitivas,
facilidade de criar e
manter
11. Modo Audit Only
11
Testar antes de aplicar
Eventos registrados para
auditoria local
Applications and Service
Logs | Microsoft |
Windows | AppLocker
Comandos PowerShell
14. Melhores Práticas …
14
Criar uma estratégia de bloqueio
Inventário das aplicações
Testar regras(allow / deny) em LAB
Definir a estratégia de criação do GPO
Documentar o Design do AppLocker
Implementar em modo audit-only
Reverter para enforcement