Введение
Разрешаете ли вы своим пользователям запускать, устанавливать и обновлять приложения, с которыми они работают? А ведь именно пользователи, сами того не желая, могут послужить основной причиной заражения как своего рабочего компьютера, так и целого парка компьютеров вашей организации. Пользователь может из дома принести на зараженном USB-накопителе какой-то новый гламурный календарь и установить или же в просторах Интернета загрузить какое-то программное обеспечение даже вроде бы с доверенного источника. Примером тому может послужить статья «Как элементарно обходятся антивирусы и их «поведенческие анализаторы»», которая в начале января была опубликована на Хабре. Ну, или, в крайнем случае, пользователь может получить письмо от недоброжелателя, который предложит установить, скажем, отличный твиккер, позволяющий в 100500 раз увеличить производительность системы. Но программа, которую пользователь загрузит по указанной в письме ссылке, будет содержать вирус, тем самым, самостоятельно предоставив хакеру доступ к своему компьютеру.
Соответственно, может возникнуть следующий вопрос. Должны ли ваши пользователи иметь на выполнение таких действий безграничный контроль или же вы хотите на основании каких-то специфических правил настроить для своих пользователей ограничения на выполнение указанных выше операций? Какими бы трастовыми не были отношения между сотрудниками вашей компании, все равно, следует настраивать определенные ограничения, благодаря которым ваши компьютеры будут в безопасности. Если же в вашей организации еще не развернуты правила подобного характера, а также все пользователи работают на компьютерах под управлением операционной системы Windows 7, то технология, описанная в данном цикле статей, предназначена именно для вас!
Еще, не так давно, как только операционная система Windows 7 начала выходить на прилавки, уже многие знали о том, что в семерке появилась такая технология, как AppLocker, которую моментально многие начали называть инновационным прорывом, предназначенным для повышения безопасности, предотвращая запуск нежелательных приложений. В принципе, данная статья является первой частью цикла статей по данной технологии. В статьях, посвященных технологии AppLocker, я расскажу о том, что же собой представляет технология AppLocker, о создании и управлении правилами и политиками AppLocker, об аудите развертывания политик, а самое главное, о недостатках, по сравнению с, как сейчас считается, устаревшей технологией политики ограниченного использования программ (Software Restriction Policies, SRP).
Изначально я рассчитываю, что данный цикл будет содержать пять статей, посвященных данной технологии, а именно:
В этой, вводной статье, вы узнаете о том, что такое AppLocker, о его преимуществах и недостатках по сравнению с политиками SRP, также о создании правил, используемых по умолчанию в AppLocker.
Во второй статье будут рассмотрены различные сценарии использования правил данной технологии.
Третья статья будет посвящена политикам AppLocker.
В четвертой статье текущего цикла будет рассмотрен режим аудита, а также события, связанные с AppLocker.
И в заключительной, пятой статье, посвященной работе с AppLocker я расскажу о возможных ошибках и их траблшутинге AppLocker, а также о возможных проблемах, с которыми вы сможете столкнуться.
Для того чтобы вы могли сравнить функциональные возможности данной технологии с политиками ограниченного использования программ, я постараюсь публиковать статьи по обеим технологиям так, чтобы вы могли параллельно узнавать об обеих технологиях, позволяющих управлять работой с приложениями.
WTware для Raspberry Pi
WTware для Raspberry Pi может грузиться с локальной SD-карты или по сети. Для Raspberry Pi 3B+ и выше для загрузки по сети карта microSD не нужна, загрузка происходит автоматически.
- Скачайте и поставьте WTware для Raspberry Pi на сервер.
- Запустите на сервере графический конфигуратор WTware, затем нажмите кнопку и создайте SD карту для локальной загрузки (или сетевой загрузки для ранних версий Raspberry Pi), используя мастер создания карты WTware:
Схема конфигурационных файлов та же, что и у обычной втвари. Можно использовать графический конфигуратор, надо только помнить, что половина параметров еще не поддерживаются.
Разрешение монитора для Pi настраивается не в конфигурационных файлах WTware, а в файле config.txt на загрузочной SD карте. На сайте разработчика Raspberry Pi для файла config.txt описаны все настройки видео. По умолчанию Raspberry Pi устанавливает разрешение 1920х1080.
Raspberry Pi была протестирована со старым дешевым 18.5″ монитором Philips 191V по HDMI-DVI кабелю в стандартном разрешении 1366×768. Если Pi работает с таким устройством в этом разрешении, значит стоит ожидать работы с большинством других цифровых (HDMI и DVI) мониторов в других разрешениях. Для работы в 1366х768 по HDMI-DVI кабелю необходимо указать в файле config.txt две строки::
Должны работать звук, диски с FAT32/exFAT/NTFS, принтеры, планшетные сканеры, перенаправление USB-COM портов.
Производительности WTware для Raspberry Pi достаточно для выполнения офисных задач.
Концепция тонких терминальных клиентов не нова. Действительно, зачем оборудовать рабочее место пользователя относительно производительным железом, приобретать лицензию на клиентскую ОС, устанавливать прикладное ПО, антивирус, обеспечивать должный уровень защиты рабочей станции и данных, если пользователь все свои операции выполняет на терминальном сервере, по сути, не используя локальные ресурсы (кроме периферийных устройств). В этой статье проведем краткий обзор отечественного решения для организации тонких терминальных клиентов – WTware.
WTware – это оптимизированный дистрибутив на базе Linux, включающий в себя все необходимые драйверы и клиенты для подключения к терминальным серверам Windows (rdesktop), Linux (xrdp), Hyper-V VDI, Mac Terminal Server.
Минусы Яндекс.Браузера и претензии к нему:
Важная заметка: я рассматриваю случаи, когда у пользователей всё установлено и настроено по умолчанию — «по дефолту». Почему? Да потому что 90%, если не 99%, пользователей так и пользуются. Большинство не любит лезть в настройки и отключать ненужные функции, автозапуски, дополнительные приложения. Все пользуются как есть.
Вторая важная заметка. Компьютеры у клиентов могут быть разные: у многих в конфиге могут быть процессоры AMD E1, AMD Athlon 64, Intel Celeron, Intel Atom, Intel Core 2 Duo, Intel Pentium (не гиперпни, а 10 летней давности), часто оперативной памяти бывает от 512 МБ до 2 ГБ. Вы не поверите, но такие компы есть. Даже есть люди, которые такими компани или «недобуками» пользуются. У некоторых не бывает выхода. Для таких людей Яндекс.Браузер категорически запрещён. Если у вас современный компьютер, миниму 8 ГБ ОЗУ — пользуйтесь на здоровье, если вас всё устраивает.
Итак, теперь, когда я кратко перечислил все претензии, чуть подробнее распишу претензии к главному отечественному браузеру. А кому он тоже надоел, предлагаю конкретное решение, благодаря которому ваши процессор и оперативка скажут спасибо.
Использование утилиты RWINSTA
Если вы попали в ситуацию, когда графические методы не позволяют вам произвести выход пользователя из системы, а это необходимо, то вам на помощь придут утилиты из командной строки. RWINSTA — это встроенная в Windows утилита, которая позволяет сбрасывать сессии, по ID и имени сеанса. Первым делом вам нужно вычислить или ID сессии или ее имя, я вам рассказывал, о всех известных мне методах. можете ознакомиться. Я выберу утилиту qwinsta. Пишем команду:
qwinsta | findstr barboskin.g (Локально)
или удаленно qwinsta /server:имя сервера | findstr barboskin.g
В моем примере имя сеанса rdp-tcp#172 и ее ID 515. Пишем команду:
rwinsta rdp-tcp#172 /server:localhost или rwinsta 515 /server:localhost
И в первом и во втором случае, пользователь будет разлогинен с данного сервера. Данную команду можно запускать удаленно, со своего рабочего места, главное, чтобы были права на log off. Данный метод меня ни раз выручал в моей практике, например случай с зависшей сессией на Windows Server 2016, где вместо логина пользователя было имя (4).
Автозапуск Яндекс.Браузера вместе с ОС Windows
Это одна из самых главных претензий от меня. В первую очередь, если я вижу, что у человека вместе с компьютером загружается Яндекс.Браузер, то я смело иду в настройки, кое-как нахожу эту тщательно спрятанную «фишку», меняю значение с «Всегда» на «Никогда». Это же надо так прятать эту настройку от обычных пользователей (логичнее было бы сделать эту настройку «галочкой»), чтобы твой браузер всегда был включен. Когда компьютер включается, он загружает кучу программ, библиотек, служб. В этот момент жёсткий диск загружен на все 100%, поэтому всё безбожно тормозит, а люди успевают приготовить и выпить чай, пока всё загрузится. Эта тупая настройка ещё больше загружает и без того медленные компьютеры во время включения. Всегда отключайте автозапуск. Делается это так:
- открываете Настройки
- слева выбираете Системные
- во меню Всегда, выбираете Никогда
- готово!
Что такое сложные проблемы
Посмотрите на две задачи. Подумайте, как бы вы их решили и чем они отличаются.
Задача 1. Мать поручила сыну принести домой ровно 7 л воды с реки. Она дала ему два кувшина емкостью 3 и 5 л. Как мальчик может отмерить точно 7 л воды, используя только два этих кувшина?
Задача 2. Вообразите, что регулярные частные полеты на орбиту Земли стали возможны и сопоставимы по стоимости с среднестатистическим путешествием в другую страну. Подумайте, что делать представителям туристической индустрии на Земле? Запишите мысли, которые придут в голову.
Первая задача — это «задачка». У нее есть конкретный правильный ответ, к которому можно прийти через ряд вычислений. Это фрагмент классического Стэнфордского теста Термана на измерение интеллекта «The Measurement of Intelligence» 1916 года. Правильное и быстрое решение подобных задач показывает высокие значения в тестах когнитивных способностей и уже более 100 лет вызывает горячие дискуссии в профессиональном исследовательском сообществе. Однако, даже несмотря на высокие когнитивные способности, люди склонны попадать в ментальные ловушки, принимать решения на основе ошибочных предположений и опираться на стереотипные представления.
Вторая задача — это сложная «проблема». У нее нет единственно правильного решения. Есть большое количество факторов, которые нужно учесть, и условий, которые будут формировать разные сценарии; при этом существенную роль будет играть эмоциональный фон решающего.
В управленческой практике у менеджеров есть все необходимые данные для принятия решений и решения проблем. По данным Гарвардского исследования, 68% руководителей уверены в точности большей части данных, лежащих в основе их бизнес-решений. То есть, когнитивные способности обеспечивают возможность решать проблемы, но качество решений не от них.
Norton App Lock
Скорее всего, вы слышали о популярном разработчике антивирусов Norton. Что ж, компания предлагает неплохой блокировщик приложений для Android. Norton App Lock – это очень простой блокировщик приложений, который должен быть хорошим выбором, если вы ищете бесплатный блокировщик приложений без рекламы, который просто работает. С помощью Norton App Lock вы можете блокировать приложения с помощью отпечатка пальца, PIN-кода или рисунка. Здесь не так много параметров, но вы можете защитить его от удаления, предоставив ему права администратора. Также есть возможность установить резервный адрес электронной почты, а также функцию скрытого пика, которая делает фотографии злоумышленников, которые вводят неправильный PIN-код или шаблон 3 раза.
Примеры клиентоориентированности
В клиентоориентированных компаниях философию подхода чувствуют на каждом этапе: от удобного расположения кнопок на сайте до качества упаковки товара. Сейчас мы воспринимаем это как должное, но чтобы выгодно отстроиться от конкурентов, нужны уникальные кейсы.
Nordstrom и возврат чужих шин
В 1975 году мужчина купил зимние шины в шиномонтажной мастерской, но спустя несколько недель обнаружил дефект и решил их вернуть. Когда он подъехал к предполагаемой мастерской, обнаружил, что она закрыта, а на ее месте стоит магазин Nordstrom. Компания продавала обувь, модную одежду и товары для дома. Тем не менее мужчина не растерялся и объяснил ситуацию продавцу, а тот — принял его шины и вернул деньги .
Справочник сотрудников Nordstrom
Вывод. Возврат дорогого товара, который нельзя перепродать, выглядит абсурдно. Но если пренебречь небольшим финансовым ударом, в долгосрочной перспективе ситуация оказалась выгодной. Спустя полвека люди продолжают рассказывать эту историю, а если загуглить Nordstrom tires, вы найдете около 3 млн результатов. Теперь поведение продавца выглядит мудро, четко по методичке компании , в которой всего одно правило: «Используй здравый смысл в любой ситуации».
Эта история скорее исключение, чем правило. Регулярная работа в минус разорит компанию, но закладывая небольшой бюджет на подобную блажь для клиентов, действительно можно получить хороший PR-эффект. Особенно, если строить бренд вокруг сильного сервиса. Nordstrom регулярно получает один из наивысших уровней потребительской лояльности (NPS) . По этому показателю компания даже обогнала Apple в 2018 году.
Экономика инноваций
Кризис капитализма: какие бизнес-практики придут на смену старым моделям
Casper и чат-бот для людей с бессонницей
Производитель матрасов Casper создал чат-бота , с которым можно поболтать бессонной ночью. Глава отдела коммуникаций Casper Линдси Каплан объясняет: «Мы хотели сделать бота, который делает 3 часа ночи не такими одинокими». Insomnobot 3000 шутит и поддерживает любимые темы людей с бессонницей: стресс, кофе и сериалы. Бот бесплатный, но помогает компании собирать номера телефонов клиентов, чтобы отправлять рекламные материалы.
Вывод. Casper — одна из немногих компаний, которая использовала чат-бот с измеримой пользой в виде PR-эффекта и сбора базы теплых контактов. Для этого достаточно приправить заботу о целевой аудитории актуальным трендом.
The Ritz-Carlton и проблема на $2 000
Международная сеть гостиниц The Ritz-Carlton разрешает сотрудникам потратить до $2 тыс., чтобы решить любые проблемы гостя без лишних вопросов .
Например, один из клиентов забыл в гостинице зарядное устройство. Он обнаружил пропажу на следующий день, но не успел позвонить в отель, потому что получил посылку. Это был небольшой пакет с запиской: «Мистер Джулиус, я хотел убедиться, что вы получили посылку. Уверен, вам это нужно, и на всякий случай я отправил вам дополнительное зарядное устройство для ноутбука».
Вывод. Ошибка клиента — возможность впечатлить его продуманностью сервиса.
Так можно придумать бюджетные варианты решения проблем, которые возникают из-за неосмотрительности клиентов. Такие решения дают конкурентное преимущество и производят wow-эффект.
Поведение правил AppLocker
Если правила AppLocker для определенной коллекции правил не существуют, то все файлы этого формата можно запускать. Однако если для коллекции создано правило AppLocker, разрешен только запуск файлов, явно указанных в правиле. Например, если создается правило для исполняемых файлов, которое разрешает запускать ЕХЕ-файлы в каталоге %SystemDrive%\FilePath , то можно будет запускать только исполняемые файлы из этого каталога.
Правило можно настроить для использования разрешающих или запрещающих действий.
- Разрешить . Можно указать, какие файлы можно запускать в вашей среде и для каких пользователей или групп пользователей. Можно также задать исключения файлов из данного правила.
- Запретить. Можно указать, какие файлы не разрешается выполнять в среде и каким пользователям или группам пользователей. Кроме того, можно настроить исключения, чтобы указать файлы, исключенные из правила.
Исключения из правил
Правила AppLocker можно применять к отдельным пользователям или группе пользователей. Если правило применяется к группе пользователей, оно влияет на каждого пользователя в этой группе. Если необходимо разрешить использовать приложение для подмножества группы пользователей, следует создать для этого подмножества отдельное правило. Например, правило «Разрешить всем запускать Windows, кроме редактора реестра» позволяет всем в организации запускать ОС Windows, но никому не позволяет открывает редактор реестра.
Это правило не позволит, например, сотрудникам службы поддержки запускать программу, которая требуется для их работы. Чтобы устранить эту проблему, создайте второе правило, которое применяется к группе пользователей службы поддержки: «Разрешить службе поддержки запускать редактор реестра». Если вы создаете запрещающее правило, которое никому не позволяет запускать редактор реестра, запрещающее правило переопределяет второе правило, которое позволяет группе пользователей службы поддержки открывать редактор реестра.
AppLocker в Windows
Чтобы пользователи не могли устанавливать или запускать приложения Магазина Windows с помощью AppLocker в Windows , введите secpol.msc в Выполнить и нажмите Enter, чтобы открыть локальную защиту. Редактор политики.
В дереве консоли выберите «Параметры безопасности»> «Политики управления приложениями»> «AppLocker». Выберите, где вы хотите создать правило. Это может быть исполняемый файл, установщик Windows, сценарии или, в случае Windows 8, упакованное приложение Магазина Windows.
Допустим, вы хотите создать правило для упакованных приложений. Щелкните правой кнопкой мыши на упакованных приложениях и выберите «Создать правило». Вы увидите страницу Перед началом работы .
Нажмите Далее, чтобы перейти на страницу разрешений .
На этой странице выберите действие, а именно. Разрешить или Запретить и пользователя или группы пользователей вы хотите применить правило. Нажмите Далее, чтобы перейти на страницу условий .
Выберите, как вы хотите создавать правила – на основе Publishers, File Path или Has. Я выбрал Publishers, по умолчанию. Нажмите Далее, чтобы перейти на страницу издателя .
Здесь вы можете найти и выбрать Ссылка для упакованного приложения и установить Область для правила.
Настройки для Scope:
- Относится к любому издателю
- Относится к конкретному издателю
- Применяется к имени пакета
- Применяется к версии пакета
- Применение пользовательских значений к правилу
Параметры для справки:
- Использовать установленное упакованное приложение в качестве ссылки
- Использовать установщик упакованного приложения в качестве ссылки
Сделав свой выбор, нажмите кнопку Далее еще раз.
При желании на странице Исключения вы можете указать условия, когда следует исключать правила, а на странице Имя и описание вы можете принять автоматически сгенерированное имя или тип правила. новое имя правила и нажмите кнопку «Создать». Вы можете прочитать больше о создании правил для упакованных приложений Магазина Windows здесь на Technet.
Обратите внимание, что для того, чтобы AppLocker работал в вашей системе, на вашем компьютере должна быть запущена Служба идентификации приложений. Кроме того, Служба клиента групповой политики , gpsvc, необходимая для запуска AppLOcker, по умолчанию отключена в Windows RT, поэтому вам, возможно, придется включить ее через services.msc
Разница между appLocker в Windows 8/10 и Windows 7
AppLocker в Windows 8 позволяет также создавать правила для упакованных приложений Магазина Windows. Более того, правила Windows 10/8 AppLocker также могут дополнительно управлять форматами файлов .mst и .appx.
Это приложение было заблокировано вашим системным администратором
Если в качестве пользователя вы обнаружите, что при запуске любого приложения Магазина Windows (или традиционного программного обеспечения) вы получаете сообщение: Это приложение было заблокировано вашим системным администратором, вам нужно будет связаться с вашим администратором и попросить его создать правила, разрешающие вам использовать (или установить) программное обеспечение.
Для создания и применения правил AppLocker компьютер должен работать под управлением Windows 10/Windows 8 Enterprise, Windows 7 Ultimate, Windows 7 Enterprise, Windows Server 2008 R2 или Windows Server 2012.
Windows Program Blocker – это бесплатное ПО для блокировки приложений или приложений, блокирующее запуск программного обеспечения в Windows 10/8/7.
Протокол доступа
Начну с информационной части. У Citrix есть свой проприетарный протокол доступа к сессии, называется он ICA (Independent Computing Architecture) и его более обновленная версия HDX (High-Definition User Experience). На некоторых тонких клиентах вы может заметить обозначение, что есть поддержка HDX. Если посмотрите в таблицу ниже, то как и я, сделаете вывод, что HDX набор дополнительных функций протокола ICA. Отчасти это маркетинговый ход, ведь HDX звучит, а ICA не особо, поэтому случился такой вот ребрендинг. Работает HDX по порту 1494 и является TCP протоколом.
Принцип работы – точка точка. На стороне сервера или виртуальной рабочей машины устанавливается Citrix агент, а на стороне клиента Citrix Receiver. Если сторона сервера стандартная, Windows, то устройство с которого подключается клиент может быть любым, в том числе и тонким клиентом со своей операционной системой. В Citrix Receiver для разных операционных систем реализованы разные фичи, поэтому после установки связи мы получаем только те возможности, которые заложены в Receiver нашего клиента. При выборе тонкого клиента необходимо узнать, какая операционная система установлена на нем и сверится с последней информационной таблицей от Citrix, которая отлично ищется в google по словосочетанию «citrix receiver compatibility matrix».
Важно отметить, что для Windows клиентов, есть две версии Standard (в открытом доступе) и Enterprise (в закрытом разделе citrix.com и в дистрибутиве). Кажется, что в версии Standard намного больше функций и обновляется версия часто, но по факту оказывается, что для обычного корпоративного пользователя намного лучше использовать именно Enterprise версию, которая обновлялась в последний раз в 2012 году
С того времени Citrix шагнул вперед только в мобильной части и только. В Enterprise версии нет графического интерфейса, поэтому пользователю сложно делать лишние действия, соответственно меньше вопросов к технической поддержке.
Мощность тонкого клиента
Примерно можно разделить тонкие клиенты на три условные категории, я покажу на примере Dell Wyse:
-
Слабак, справляется с сессией, где выключены все визуальные эффекты, работают только простые приложения, типа 1С, Word, Excel. Сюда относятся почти все старые ТК, ТК на ARM процессорах, однопроцессорные модели.
- Dell Wyse C10LE — ОС ThinOS, рекомендуемая цена 330$ — одноядерный процессор VIA Eden 1GHz, 128MB Flash/ 512MB RAM DDR2
- Dell Wyse T50 — ОС Linux, рекомендуемая цена 309$ — одноядерный ARM-процессор Marvell ARMADA PXA 510 v7 1.0GHz система на чипе (SoC), 1GB Flash/ 1GB RAM DDR3
- Dell Wyse C90LEW — ОС WinXP Embedded, рекомендуемая цена 494$ — одноядерный процессор VIA Eden 1GHz, 2G Flash/ 1G RAM
-
Среднячок, справляется с сессией, где работают минимальные эффекты Windows, можно нормально работать в браузере, смотреть видео. Сюда относятся средние по мощности модели ТК, нулевые клиенты.
- Dell Wyse Xenith Pro 2 для Citrix HDX — Zero, рекомендуемая цена 499$ — двухядерный AMD G-Series T48E Dual Core 1.4GHz 2GB Flash / 2GB RAM DDR3-1066MHz
- Dell Wyse T10D — ОС ThinOS, рекомендуемая цена 414$ — Двухядерный (SoC) Marvell ARMADA PXA2128 1,2 ГГц Флэш-память 4 Гбайта/ОЗУ DDR2 2 Гбайта
-
Мощный, можно работать со всеми приложениями комфортно, аудио-видео связь, 3D графика. В первую и последнюю очередь это ТК на базе Windows 7 Embedded.
- Dell Wyse D10DP — ОС ThinOS, рекомендуемая цена 538$ — AMD G-Series T48E Dual Core 1.4GHz 2GB Flash / 2GB RAM DDR3
- Dell Wyse D90Q8 — ОС Windows 8, рекомендуемая цена 688$ — Quad core AMD G-Series SoC 1.5GHz Standard: 16GB Flash / 4GB RAM DDR3-1066MHz
- Dell Wyse D90D7 — ОС Windows 7, рекомендуемая цена 564$ — AMD G-Series T48E Dual Core 1.4GH Standard: 16GB Flash / 2GB RAM DDR3-1066MHz; Maximum: 8GB Flash / 4GB RAM
Соответственно, исходя из задачи нужно выбирать подходящий ТК, но ситуация довольно плачевная, т.к. с переходом на терминальный доступ или VDI мы хотим уйти от Windows на рабочих местах, и вдруг выясняется, что комфортная работа с привычными приложениями возможна только на том же Windows или пользователям придется привыкать к новым стандартам, все красивости останутся только на домашних компьютерах и ноутбуках.