Ochrona antywirusowa w dobie Windows 10 – hardening cz. 2

20 marca, 2017

Nie trzeba było długo czekać, by pojawiły się nowe podatności w Windowsie, w tym w GDI, które wymagają w większości przypadków natychmiastowego „patchowania”. Ze względu na pominięcie przez Microsoft „wtorkowych aktualizacji”, w lutym br. pojawiły się nawet samodzielne próby załatania tych podatności, co trochę zaskoczyło branżę bezpieczeństwa. A gdyby tak zastosować technologię „białych list” za pomocą oprogramowania Microsoftu i nie bać się, że szkodliwe oprogramowania zdoła dotrzeć do naszego komputera?

Pierwsze pomysły na wykorzystanie tej technologii, jak i czarnych list, związane są z pocztą elektroniczną (spamem) oraz zabezpieczaniem sieci komputerowych. Jeśli chodzi o interesujący temat „białych list aplikacji” to może on być realizowany zarówno przez system operacyjny jak i oprogramowanie ochronne np. EMET/AV.

Realizacja ochrony może polegać na:

  • sygnaturach plików (gdzie wskazane są sygnatury obliczane przez minimum sha-256),
  • certyfikatach producenta oprogramowania, ścieżkach z których może być ono uruchamiane bądź blokowane (oparcie się tylko na metodzie ochrony stacji roboczych może spowodować nieoczekiwane problemy, czego dowodem jest włamanie w 2013 r. do firmy Bit9, a obecnie Carbon Black),
  • usługach powiązanych z danym oprogramowaniem,
  • oraz zachowaniach systemu i użytkownika .
Nas najbardziej interesuje technologia wbudowana w system Windows oparta o listy ścieżek, z których może być uruchamiane oprogramowanie.

Najnowszym produktem tego typu jest AppLocker, który pojawił się wraz z Windowsem 7 i Windows 2008R2. W Windowsie 10 Applocker wchodzi w skład technologii Device Guard, która ma chronić system przed malwarem i innym niechcianym oprogramowaniem. Niestety jest on dostępny tylko w wersjach Ultimate i Enterprise, które ze względu na cenę są mało popularne na rynku. Może natomiast chronić za darmo wszystkie wersje od Windows 2008R2 Server.

Aby uruchomić Applockera musi być uruchomiona usługa Tożsamości aplikacji – Application Identity (AppIDSvc). Instrukcja konfiguracji Applockera dostępna jest na stronie Microsoftu.

zasady grup
Caption

Zalecane przez Microsoft reguły Applockera do powstrzymywania ransomware to blokowanie uruchamiania niepodpisanych plików wykonywalnych w następujących lokalizacjach:

<users profile>\AppData\Local\Temp

<users profile>\AppData\Local\Temp\*

<users profile>\AppData\Local\Temp\*\*.

Najbardziej wyczerpującą ten temat lekturą są zalecenia NSA).

Z powodu dostępności nadal najpopularniejszą aplikacją dla stacji roboczej w wersji Professional jest technologia Zasad Ograniczeń Oprogramowania – Software Restriction Policies (SRP). Opis wykorzystania Zasad Ograniczeń Oprogramowania do blokowania wirusów można znaleźć na stronie poświęconej walce z nimi oraz na blogu Branko Vucineca. Tak jak i w przypadku Applockera najwięcej informacji znajdziemy w publikacji NSA.

PODZIEL SIĘ:

Czy ten artykuł był pomocny?

Średnia ocena: 0 / 5. Liczba głosów: 0

guest
0 komentarzy
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]