Nie trzeba było długo czekać, by pojawiły się nowe podatności w Windowsie, w tym w GDI, które wymagają w większości przypadków natychmiastowego „patchowania”. Ze względu na pominięcie przez Microsoft „wtorkowych aktualizacji”, w lutym br. pojawiły się nawet samodzielne próby załatania tych podatności, co trochę zaskoczyło branżę bezpieczeństwa. A gdyby tak zastosować technologię „białych list” za pomocą oprogramowania Microsoftu i nie bać się, że szkodliwe oprogramowania zdoła dotrzeć do naszego komputera?

Pierwsze pomysły na wykorzystanie tej technologii, jak i czarnych list, związane są z pocztą elektroniczną (spamem) oraz zabezpieczaniem sieci komputerowych. Jeśli chodzi o interesujący temat „białych list aplikacji” to może on być realizowany zarówno przez system operacyjny jak i oprogramowanie ochronne np. EMET/AV.

Realizacja ochrony może polegać na:

  • sygnaturach plików (gdzie wskazane są sygnatury obliczane przez minimum sha-256),
  • certyfikatach producenta oprogramowania, ścieżkach z których może być ono uruchamiane bądź blokowane (oparcie się tylko na metodzie ochrony stacji roboczych może spowodować nieoczekiwane problemy, czego dowodem jest włamanie w 2013 r. do firmy Bit9, a obecnie Carbon Black),
  • usługach powiązanych z danym oprogramowaniem,
  • oraz zachowaniach systemu i użytkownika .
Nas najbardziej interesuje technologia wbudowana w system Windows oparta o listy ścieżek, z których może być uruchamiane oprogramowanie.

Najnowszym produktem tego typu jest AppLocker, który pojawił się wraz z Windowsem 7 i Windows 2008R2. W Windowsie 10 Applocker wchodzi w skład technologii Device Guard, która ma chronić system przed malwarem i innym niechcianym oprogramowaniem. Niestety jest on dostępny tylko w wersjach Ultimate i Enterprise, które ze względu na cenę są mało popularne na rynku. Może natomiast chronić za darmo wszystkie wersje od Windows 2008R2 Server.

Aby uruchomić Applockera musi być uruchomiona usługa Tożsamości aplikacji - Application Identity (AppIDSvc). Instrukcja konfiguracji Applockera dostępna jest na stronie Microsoftu.

Caption

Zalecane przez Microsoft reguły Applockera do powstrzymywania ransomware to blokowanie uruchamiania niepodpisanych plików wykonywalnych w następujących lokalizacjach:

<users profile>\AppData\Local\Temp

<users profile>\AppData\Local\Temp\*

<users profile>\AppData\Local\Temp\*\*.

Najbardziej wyczerpującą ten temat lekturą są zalecenia NSA).

Z powodu dostępności nadal najpopularniejszą aplikacją dla stacji roboczej w wersji Professional jest technologia Zasad Ograniczeń Oprogramowania - Software Restriction Policies (SRP). Opis wykorzystania Zasad Ograniczeń Oprogramowania do blokowania wirusów można znaleźć na stronie poświęconej walce z nimi oraz na blogu Branko Vucineca. Tak jak i w przypadku Applockera najwięcej informacji znajdziemy w publikacji NSA.

Podziel się