В последнее время мне всё чаще стали задавать вопрос, что выбрать, AppLocker или старый добрый SRP?
Казалось бы, что тут думать — AppLocker и точка. Многие, наверное, помнят пиар-акцию под названием «Windows 7 + 1», которую проводили многие MVP для рекламы новых технологий Windows 7. И весьма досадно то, что некоторые MVP вместо раскрытия реальной объективности новых технологий распространяли просто маркетинговый булшит и даже подтасовывали факты. Например статья Владимира Безмалого про AppLocker:
Этот вариант статьи можно ещё прочитать и здесь: http://www.osp.ru/win2000/2009/09/10721226/. Моё внимание обратила на себя табличка сравнения SRP и AppLocker. Вот она с моими комментариями:
Я думаю, что ни для кого не секрет, что аудит в SRP был и не сильно хуже, чем в AppLocker. Разница лишь в том, что AppLocker пишет в свой собственный EventLog, а SRP писал аудит в текстовый файл.
На счёт мастера создания правил я немного не понял. В принципе, окно создания правила в SRP тоже своего рода мастер. Только одношаговый, в отличии от AppLocker.
А сообщения об ошибках в SRP были тоже. Как в виде диалогоых окон, так и в журнале Application в эвентлоге. Т.е. тут у меня 2 мнения — либо человек не работал с SRP, либо намеренно исказил факты, чтобы подкрутить популярность AppLocker'а, поскольку революции AppLocker не совершил. Ведь с появлением AppLocker мы приобрели не только удобный интерфейс, но и потеряли несколько полезных вещей, которые есть в SRP. Как я уже отмечал ранее, мы потеряли возможность самостоятельно регулировать список контролируемых расширений файлов и потеряли возможность фильтрования файлов по конкретным сертификатам. Новое правило издателя позволяет контролировать версию разрешённого приложения, но не отличает каким сертификатом подписано приложение. Да и применимость издателей такая же как и у классических правил сертификатов — т.е. низкая. К сожалению я не могу вспомнить ни одно бизнес-приложение (не стандартные приложения типа Microsoft Office), которое бы было подписано. Плюс невозможность использования системных переменных окружения так же усложняет создание правил в доменной среде. Эту табличку можно переделать в такой вид:
| SRP | AppLocker | |
| Применение правил | Все пользователи | Определённые группы и пользователи |
| Уровень по умолчанию | Unrestricted | Deny |
| Разрешающее действие | :yes: | :yes: |
| Запрещающее действие | :yes: | :yes: |
| Особое действие | :yes: (Basic User) | :no: |
| Правила сертификатов | :yes: | :no: |
| Правила издателей | :no: | :yes: |
| Правила хешей | :yes: | :yes: |
| Правила сетевой зоны | :yes: | :no: |
| Правила пути | :yes: | :yes: |
| Системные переменные окружения | :yes: | :no: |
| Собственные переменные окружения | :no: | :yes: |
| Пути из реестра | :yes: | :no: |
| Режим аудита | :yes: | :yes: |
| Группировка правил | :no: | :yes: |
| Мастер создания правил | :yes: | :yes: |
| Импорт/экспорт политик | :no: | :yes: |
| Поддержка PowerShell | :no: | :yes: |
| Сообщения об ошибках | :yes: | :yes: |
| Настраиваемый список расширений | :yes: | :no: |
Мы видим, что преимущество AppLocker перед SRP резко переходит на нет. Я не хочу сказать, что AppLocker — отстой, а лишь хочу показать, что реализация этой технологии не на столько крутая, что её стоит пиарить как революцию.
Из блога Владимира Безмалого:
В Windows 7 SRP также могут применяться, однако все чаще будет использоваться AppLocker. Почему?
К сожалению этого не случится, во всяком случае в цикле Windows 7. Как уже отмечалось, наиболее значительное изменение в AppLocker — это новый простой, удобный и понятный интерфейс, чего в SRP не было. В значительной степени из-за этого SRP на домашних компьютерах применялся лишь в единичных случаях. Сейчас же применить AppLocker гораздо проще на домашних системах при получении одинаково эффективного результата. Но Microsoft слишком жадный и включил эту технологию только в Windows 7 Ultimate и Enterprise. Я верю, что от появления SRP в домашних редакциях Windows 7 количество применений SRP на них не увеличится совсем. Учитывая, что с ноутбуками будет чаще всего проинсталлирована какая-то домашняя редакция Windows 7, то профита от AppLocker они не получат тоже. Но если дома есть возможность использовать AppLocker и вы хотите получить адекватный уровень защиты от запуска случайных файлов — используйте AppLocker. Хотя, скажите, кто из вас, кроме меня, использует Windows 7 Ultimate/Enterprise дома и использует AppLocker? :-)
Если вы будете иметь возможность перевести часть парка машин предприятия на Windows 7 Enterprise, то вопрос использования AppLocker может сложиться не в его пользу. Это обусловлено тем, что если у вас уже используется SRP, то вам AppLocker не будет нужен до тех пор, пока весь парк не будет переведён на Windows 7 Enterprise. Ведь с AppLocker вы ощутимых бенефитов не получите в плане безопасности, но сразу усложните себе жизнь тем, что вам придётся поддерживать гораздо больше политик — SRP и AppLocker. При необходимости поддерживать клиентов отличных от Windows 7 Enterprise лучше использовать то, что может охватить наиболее число машин — SRP.
Внимать моим рекомендациям — личное дело каждого, просто я отразил своё видение проблематики. Вобщем, я не верю в массовое светлое будущее AppLocker по крайней мере до выхода следующей версии Windows, даже не смотря на активный и нечестный пиар технологии со стороны Microsoft (что вполне нормально для самого создателя) и прочих пиарщиков. Но начинать его использование по мере возможности — очень даже можно и нужно, т.к. однажды SRP просто не окажется в релизе ОС.
Вадя, а что за прикол с "Применение правил - Все пользователи"? С какого это перепугу SRP перестал назначаться на уровне пользовательской политики, а политика в свою очередь применяться к конкретной группе или пользователю? Да, это не так удобно как в AppLocker'е - нужно создавать несколько групповых политик и каждую применять к отдельной группе, но это ни разу не отменяет функционал;)!
А прикол в том, что пользовательская политика в SRP доступна только в домене. Т.е. вне домена нельзя разделить SRP по отдельным пользователям, а только на всех сразу.
Считаю данный момент совершенно не принципиальным;)!
Ну как сказать, кто-то считает его очень даже принципиальным. В принципе, эта фича аплокера дико козырна на терминальных серверах, что не надо городить много политик. Но в некоторых ситуациях это не спасёт. Так что это в любом случае это плюс. И, тем более, в оригинальной табличке оно было, поэтому я должен был упомянуть этот пункт.
Вадим, как ни странно, кроме тебя использую дома я :)
Я не спорю, что плюс и не маленкий, но это не отменяет возможность сделать подобное через SRP. Так что предлагаю сделать оговорку по данному пункту;).
Нет, оговорки не будет, потому что в данном случае используются возможности групповой политики, но не самого SRP.
Слияние настроек из разных политик - всё же логика SRP. Например, если через групповые политики настраивать права доступа к файловой системе, то такого слияния не происходит.
Вот на счёт пермишенов. Да, они не складываются, зато аудит файловой системы и реестра складывается. Но это ТЗ. :)
Здравствуйте, не нашёл куда ещё написать. Проблемма с AppLocker пропускает запуск exe с рабочего стола. Система такая Windows 7 sp1 Макс x86 AppLocker настроен так: созданы правила для исполняемых файлов по сертификату и хэшу только для папок Windows и Program Files созданы правила для установщика по сертификату и хэшу только для папок Windows и Program Files созданы правила для сценариев по сертификату и хэшу только для папок Windows и Program Files При этих настройках запускаю файлы exe и скрипты они естевственно блокируются правилами, но один исполняемый файл почемуто запускается, хотя разрешающих правил для него я точно не создавал, так как сперва были созданы правила как уже писал выше только для папок Windows и Program Files, а файл с другими тестовыми файлами на ПК я загрузил позже. Прилогаю этот файл в архиве rar пароля нет http://depositfiles.com/files/1spklsbrs , называется crap расширение exe. Файл программа шутка показывает изображения на раб. столе, но некоторыми антивирусами может восприниматся как вирус.
Comments: