Contents of this directory is archived and no longer updated.

AppLocker vs Software Restriction Policies

В последнее время мне всё чаще стали задавать вопрос, что выбрать, AppLocker или старый добрый SRP?

Казалось бы, что тут думать — AppLocker и точка. Многие, наверное, помнят пиар-акцию под названием «Windows 7 + 1», которую проводили многие MVP для рекламы новых технологий Windows 7. И весьма досадно то, что некоторые MVP вместо раскрытия реальной объективности новых технологий распространяли просто маркетинговый булшит и даже подтасовывали факты. Например статья Владимира Безмалого про AppLocker:

Этот вариант статьи можно ещё прочитать и здесь: http://www.osp.ru/win2000/2009/09/10721226/. Моё внимание обратила на себя табличка сравнения SRP и AppLocker. Вот она с моими комментариями:

AppLocker & SRP comparison

Я думаю, что ни для кого не секрет, что аудит в SRP был и не сильно хуже, чем в AppLocker. Разница лишь в том, что AppLocker пишет в свой собственный EventLog, а SRP писал аудит в текстовый файл.

На счёт мастера создания правил я немного не понял. В принципе, окно создания правила в SRP тоже своего рода мастер. Только одношаговый, в отличии от AppLocker.

А сообщения об ошибках в SRP были тоже. Как в виде диалогоых окон, так и в журнале Application в эвентлоге. Т.е. тут у меня 2 мнения — либо человек не работал с SRP, либо намеренно исказил факты, чтобы подкрутить популярность AppLocker'а, поскольку революции AppLocker не совершил. Ведь с появлением AppLocker мы приобрели не только удобный интерфейс, но и потеряли несколько полезных вещей, которые есть в SRP. Как я уже отмечал ранее, мы потеряли возможность самостоятельно регулировать список контролируемых расширений файлов и потеряли возможность фильтрования файлов по конкретным сертификатам. Новое правило издателя позволяет контролировать версию разрешённого приложения, но не отличает каким сертификатом подписано приложение. Да и применимость издателей такая же как и у классических правил сертификатов — т.е. низкая. К сожалению я не могу вспомнить ни одно бизнес-приложение (не стандартные приложения типа Microsoft Office), которое бы было подписано. Плюс невозможность использования системных переменных окружения так же усложняет создание правил в доменной среде. Эту табличку можно переделать в такой вид:

  SRP AppLocker
Применение правил Все пользователи Определённые группы и пользователи
Уровень по умолчанию Unrestricted Deny
Разрешающее действие :yes: :yes:
Запрещающее действие :yes: :yes:
Особое действие :yes: (Basic User) :no:
Правила сертификатов :yes: :no:
Правила издателей :no: :yes:
Правила хешей :yes: :yes:
Правила сетевой зоны :yes: :no:
Правила пути :yes: :yes:
Системные переменные окружения :yes: :no:
Собственные переменные окружения :no: :yes:
Пути из реестра :yes: :no:
Режим аудита :yes: :yes:
Группировка правил :no: :yes:
Мастер создания правил :yes: :yes:
Импорт/экспорт политик :no: :yes:
Поддержка PowerShell :no: :yes:
Сообщения об ошибках :yes: :yes:
Настраиваемый список расширений :yes: :no:

Мы видим, что преимущество AppLocker перед SRP резко переходит на нет. Я не хочу сказать, что AppLocker — отстой, а лишь хочу показать, что реализация этой технологии не на столько крутая, что её стоит пиарить как революцию.

Из блога Владимира Безмалого:

В Windows 7 SRP также могут применяться, однако все чаще будет использоваться AppLocker. Почему?

К сожалению этого не случится, во всяком случае в цикле Windows 7. Как уже отмечалось, наиболее значительное изменение в AppLocker — это новый простой, удобный и понятный интерфейс, чего в SRP не было. В значительной степени из-за этого SRP на домашних компьютерах применялся лишь в единичных случаях. Сейчас же применить AppLocker гораздо проще на домашних системах при получении одинаково эффективного результата. Но Microsoft слишком жадный и включил эту технологию только в Windows 7 Ultimate и Enterprise. Я верю, что от появления SRP в домашних редакциях Windows 7 количество применений SRP на них не увеличится совсем. Учитывая, что с ноутбуками будет чаще всего проинсталлирована какая-то домашняя редакция Windows 7, то профита от AppLocker они не получат тоже. Но если дома есть возможность использовать AppLocker и вы хотите получить адекватный уровень защиты от запуска случайных файлов — используйте AppLocker. Хотя, скажите, кто из вас, кроме меня, использует Windows 7 Ultimate/Enterprise дома и использует AppLocker? :-)

Если вы будете иметь возможность перевести часть парка машин предприятия на Windows 7 Enterprise, то вопрос использования AppLocker может сложиться не в его пользу. Это обусловлено тем, что если у вас уже используется SRP, то вам AppLocker не будет нужен до тех пор, пока весь парк не будет переведён на Windows 7 Enterprise. Ведь с AppLocker вы ощутимых бенефитов не получите в плане безопасности, но сразу усложните себе жизнь тем, что вам придётся поддерживать гораздо больше политик — SRP и AppLocker. При необходимости поддерживать клиентов отличных от Windows 7 Enterprise лучше использовать то, что может охватить наиболее число машин — SRP.

Внимать моим рекомендациям — личное дело каждого, просто я отразил своё видение проблематики. Вобщем, я не верю в массовое светлое будущее AppLocker по крайней мере до выхода следующей версии Windows, даже не смотря на активный и нечестный пиар технологии со стороны Microsoft (что вполне нормально для самого создателя) и прочих пиарщиков. Но начинать его использование по мере возможности — очень даже можно и нужно, т.к. однажды SRP просто не окажется в релизе ОС.

Comments:

Stanky
Stanky 02.12.2009 06:38 (GMT+3)

Вадя, а что за прикол с "Применение правил - Все пользователи"? С какого это перепугу SRP перестал назначаться на уровне пользовательской политики, а политика в свою очередь применяться к конкретной группе или пользователю? Да, это не так удобно как в AppLocker'е - нужно создавать несколько групповых политик и каждую применять к отдельной группе, но это ни разу не отменяет функционал;)!

Vadims Podāns
Vadims Podāns 02.12.2009 09:09 (GMT+3)

А прикол в том, что пользовательская политика в SRP доступна только в домене. Т.е. вне домена нельзя разделить SRP по отдельным пользователям, а только на всех сразу.

Stanky
Stanky 02.12.2009 20:21 (GMT+3)

Считаю данный момент совершенно не принципиальным;)!

Vadims Podāns
Vadims Podāns 02.12.2009 21:42 (GMT+3)

Ну как сказать, кто-то считает его очень даже принципиальным. В принципе, эта фича аплокера дико козырна на терминальных серверах, что не надо городить много политик. Но в некоторых ситуациях это не спасёт. Так что это в любом случае это плюс. И, тем более, в оригинальной табличке оно было, поэтому я должен был упомянуть этот пункт.

Владимир Безмалый
Владимир Безмалый 03.12.2009 10:04 (GMT+3)

Вадим, как ни странно, кроме тебя использую дома я :)

Stanky
Stanky 03.12.2009 13:39 (GMT+3)

Я не спорю, что плюс и не маленкий, но это не отменяет возможность сделать подобное через SRP. Так что предлагаю сделать оговорку по данному пункту;).

Vadims Podāns
Vadims Podāns 03.12.2009 13:46 (GMT+3)

Нет, оговорки не будет, потому что в данном случае используются возможности групповой политики, но не самого SRP.

Stanky
Stanky 03.12.2009 23:44 (GMT+3)

Слияние настроек из разных политик - всё же логика SRP. Например, если через групповые политики настраивать права доступа к файловой системе, то такого слияния не происходит.

Vadims Podāns
Vadims Podāns 03.12.2009 23:55 (GMT+3)

Вот на счёт пермишенов. Да, они не складываются, зато аудит файловой системы и реестра складывается. Но это ТЗ. :)

Ghost
Ghost 20.06.2011 17:35 (GMT+3)

Здравствуйте, не нашёл куда ещё написать. Проблемма с AppLocker пропускает запуск exe с рабочего стола. Система такая Windows 7 sp1 Макс x86 AppLocker настроен так: созданы правила для исполняемых файлов по сертификату и хэшу только для папок Windows и Program Files созданы правила для установщика по сертификату и хэшу только для папок Windows и Program Files созданы правила для сценариев по сертификату и хэшу только для папок Windows и Program Files При этих настройках запускаю файлы exe и скрипты они естевственно блокируются правилами, но один исполняемый файл почемуто запускается, хотя разрешающих правил для него я точно не создавал, так как сперва были созданы правила как уже писал выше только для папок Windows и Program Files, а файл с другими тестовыми файлами на ПК я загрузил позже. Прилогаю этот файл в архиве rar пароля нет http://depositfiles.com/files/1spklsbrs , называется crap расширение exe. Файл программа шутка показывает изображения на раб. столе, но некоторыми антивирусами может восприниматся как вирус.

Comments are closed.