Перейти к содержимому


Фото
- - - - -

Контроль приложений и режим "белых списков"

whitelisting Контроль приложений

  • Please log in to reply
35 ответов в этой теме

#21 Dimasin

Dimasin

    Member

  • Posters
  • 117 Сообщений:

Отправлено 07 Июль 2022 - 14:19

Пожалуйста, ответьте еще на такой вопрос.

Есть две группы компьютеров Бухгалтеры и Администраторы. Я строю для этих групп группы доверенных приложений. Как можно проверить какие именно приложения в какой группе являются доверенными?

Мне не желательно, чтобы приложениями, которые могут пользоваться Администраторы могли пользоваться Бухгалтеры, а ведь так и получиться, если на каком нибудь компьютере бухгалтерии будут установлены программы администраторов.



#22 Dimasin

Dimasin

    Member

  • Posters
  • 117 Сообщений:

Отправлено 07 Июль 2022 - 14:38

> В каких случаях и как можно заставить работать правила запрета "Функционального анализа"?

Возвращаемся к схеме. Последовательность по совпадениям следующая: 1 - запрещающие правила, 2 - разрешающие, 3 - группа/группы доверенных приложений, 4 - критерии функционального анализа. Если совпадений нет по правилам (запрещающим/разрешающим), группы/групп доверенных приложений нет - попадаем в Запрет по критериям функционального анализа.

 

И еще момент, может возникает недопонимание из-за переплетающихся формулировок. Правила разрешающие и запрещающие. Критерии функционального анализа (еще их называют политики) - состоят из 6 категорий, каждая категория содержит свой набор запретов (разрешения у всех одинаковые).

Правила, политики, группы доверенных приложений (еще называют белые списки) - это 3 разные сущности.

Спасибо! Поначалу проблемы с пониманием из за схожести формулировок конечно были, сейчас, кажется, все на своих местах. К документации претензий нет, разве что добавьте разъяснения по поводу значения фразы "известных/доверенных «Доктор Веб»".



#23 Afalin

Afalin

    Guru

  • Dr.Web Staff
  • 5 835 Сообщений:

Отправлено 07 Июль 2022 - 14:40

 

Тут следует обратиться снова к схеме работы контроля приложений. Из неё видно, что в варианте с белым списком запреты в "критериях" не применяются вообще, потому что по умолчанию и так уже всё заблокировано. То, что внесено в белый список, ограничивать не следует, потому что ему уже выдано доверие.

Возможно, Вам стоит рассказать, чего Вы хотите добиться.

Я хочу ограничить запуск приложений с флешек и сетевых дисков, но в случае наличия списка доверенных приложений запреты не применяются. В случае если списка доверенных приложений нет, то ограничение на запуск с флешек и сетевых дисков работают, но локально запускаются любые приложения, если не включены другие ограничения. Т.е. в качестве "ограничителя" может работать либо список доверенных приложений, либо правила запрета "Функционального анализа" совместно эти "ограничители" не работают. Я правильно понял?

Пока что кейс не слишком понятный. У Вас есть некое приложение, Вы ему доверяете и не против, чтобы оно запускалось с локального диска. Чем плохо с точки зрения безопасности, если это же приложение будет запущено не с локального диска, а из сети?


Семь раз отрежь – один раз проверь

#24 Afalin

Afalin

    Guru

  • Dr.Web Staff
  • 5 835 Сообщений:

Отправлено 07 Июль 2022 - 14:42

Пожалуйста, ответьте еще на такой вопрос.

Есть две группы компьютеров Бухгалтеры и Администраторы. Я строю для этих групп группы доверенных приложений. Как можно проверить какие именно приложения в какой группе являются доверенными?

Мне не желательно, чтобы приложениями, которые могут пользоваться Администраторы могли пользоваться Бухгалтеры, а ведь так и получиться, если на каком нибудь компьютере бухгалтерии будут установлены программы администраторов.

Берёте эталон, где заведомо нет ничего лишнего, с него снимаете "группу доверенных" и распространяете, куда нужно.

Что именно попало туда – проверить нельзя, потому как собираются только отпечатки, без каких-либо метаданных. В угоду меньшему объёму и большей скорости.


Семь раз отрежь – один раз проверь

#25 Dimasin

Dimasin

    Member

  • Posters
  • 117 Сообщений:

Отправлено 09 Июль 2022 - 08:19

 

 

Тут следует обратиться снова к схеме работы контроля приложений. Из неё видно, что в варианте с белым списком запреты в "критериях" не применяются вообще, потому что по умолчанию и так уже всё заблокировано. То, что внесено в белый список, ограничивать не следует, потому что ему уже выдано доверие.

Возможно, Вам стоит рассказать, чего Вы хотите добиться.

Я хочу ограничить запуск приложений с флешек и сетевых дисков, но в случае наличия списка доверенных приложений запреты не применяются. В случае если списка доверенных приложений нет, то ограничение на запуск с флешек и сетевых дисков работают, но локально запускаются любые приложения, если не включены другие ограничения. Т.е. в качестве "ограничителя" может работать либо список доверенных приложений, либо правила запрета "Функционального анализа" совместно эти "ограничители" не работают. Я правильно понял?

Пока что кейс не слишком понятный. У Вас есть некое приложение, Вы ему доверяете и не против, чтобы оно запускалось с локального диска. Чем плохо с точки зрения безопасности, если это же приложение будет запущено не с локального диска, а из сети?

 

Какого то конкретного кейса нет, чтобы эффективно использовать инструмент нужно знать его возможности и ограничения. Что с помощью этого инструмента делать можно.
 



#26 Dimasin

Dimasin

    Member

  • Posters
  • 117 Сообщений:

Отправлено 09 Июль 2022 - 08:37

 

Пожалуйста, ответьте еще на такой вопрос.

Есть две группы компьютеров Бухгалтеры и Администраторы. Я строю для этих групп группы доверенных приложений. Как можно проверить какие именно приложения в какой группе являются доверенными?

Мне не желательно, чтобы приложениями, которые могут пользоваться Администраторы могли пользоваться Бухгалтеры, а ведь так и получиться, если на каком нибудь компьютере бухгалтерии будут установлены программы администраторов.

Берёте эталон, где заведомо нет ничего лишнего, с него снимаете "группу доверенных" и распространяете, куда нужно.

Что именно попало туда – проверить нельзя, потому как собираются только отпечатки, без каких-либо метаданных. В угоду меньшему объёму и большей скорости.

 

Скажите, а какие то другие сценарии использования "Контроля приложений" рассматривались? Кроме упомянутого Вами выше: создаем эталон и применяем на все что есть.

 

В реальной жизни все несколько сложнее. Нет эталона. Во первых, зоопарк систем, во вторых, еще больший зоопарк приложений. Как понять, что в список не попало что то левое, нежелательное, и как это контролировать, чтобы и впредь не попало если список посмотреть нельзя?

Самому "Контролю приложений" конечно же этот список не нужен, но нужен тому, кто контролирует "Контроль приложений".

Также плохо что список доверенных нельзя редактировать, понятно, что Вам так проще, но в реальной эксплуатации это будет порождать отдельные разрешающие и запрещающие правила на каждое приложение, а при том, что профилей будут не один десяток то разрастется все это до полной невозможности реально администрировать.
 



#27 Dimasin

Dimasin

    Member

  • Posters
  • 117 Сообщений:

Отправлено 09 Июль 2022 - 10:23

Пожалуйста, ответьте еще на такой вопрос. Если профиль назначен на группу пользователей "Пользователи домена", как в этом случае будет работать контроль приложений?

1. Загрузка системы, до начала входа пользователя в систему - будет ли в этом случае работать "Контроль приложений"?

2. Если пользователь входит в несколько групп, а только одной группе назначен профиль "Контроля приложений"?

По видимому, назначать профили "Контроля приложений" на группы пользователей не очень хорошая идея, по крайней мере в моем случае, когда операционных систем и программ большой зоопарк. Нужно будет в профиль, назначенный на группу пользователей, включить в группы доверенных приложений все что есть на всех компах. С учетом, что средний размер хешей файлов 800 кБ, хешей сертификатов 2 кБ, очень возможно, что "Контроль приложений" сильно замедлится. У меня условно средняя конфигурация рабочей станции Win8.1, i5-4440, 4 Gb память, обычный HDD.



#28 Dimasin

Dimasin

    Member

  • Posters
  • 117 Сообщений:

Отправлено 09 Июль 2022 - 15:45

Могу поделиться одним рецептом: как разрешить или запретить конкретное приложение группе компьютеров или пользователей. Конкретно запрет не тестировал, но по аналогии с разрешением должно работать. Речь идет именно о группах разнородных рабочих станций, которые сильно отличаются операционными системами или наборами приложений, т.е. для которых нецелесообразно строить общий список разрешенных приложений. Но тем не менее без общего списка не обойтись т.к. отдельные правила без списка разрешенных приложений работать не будут, вернее работать то они будут, но толку от этого будет ноль (см. схему работы компонента "Контроль приложений").

Такой общий список разрешенных приложений можно создать используя какой нибудь общий разрешенный для группы исполняемый файл или скрипт, хотя, можно и не разрешенный, если впоследствии в профиле запретить его отдельным правилом. Ну а дальше и так ясно, добавляем нужные правила и распространяем профиль на группу рабочих станций или пользователей. Собственно так решилась задача как разрешить админам использовать свои утилиты на рабочих станциях, при этом не разрешая их использования обычным пользователям.

В связи с этим вопрос. Насколько эффективно будут работать несколько профилей, по сравнению с одним, если 90% доверенных приложений будет в основном профиле, а остальные 10% будут содержаться в десятке дополнительных профилей?



#29 Dimasin

Dimasin

    Member

  • Posters
  • 117 Сообщений:

Отправлено 09 Июль 2022 - 20:38

Могу поделиться одним рецептом: как разрешить или запретить конкретное приложение группе компьютеров или пользователей. Конкретно запрет не тестировал, но по аналогии с разрешением должно работать. Речь идет именно о группах разнородных рабочих станций, которые сильно отличаются операционными системами или наборами приложений, т.е. для которых нецелесообразно строить общий список разрешенных приложений. Но тем не менее без общего списка не обойтись т.к. отдельные правила без списка разрешенных приложений работать не будут, вернее работать то они будут, но толку от этого будет ноль (см. схему работы компонента "Контроль приложений").

Такой общий список разрешенных приложений можно создать используя какой нибудь общий разрешенный для группы исполняемый файл или скрипт, хотя, можно и не разрешенный, если впоследствии в профиле запретить его отдельным правилом. Ну а дальше и так ясно, добавляем нужные правила и распространяем профиль на группу рабочих станций или пользователей. Собственно так решилась задача как разрешить админам использовать свои утилиты на рабочих станциях, при этом не разрешая их использования обычным пользователям.

В связи с этим вопрос. Насколько эффективно будут работать несколько профилей, по сравнению с одним, если 90% доверенных приложений будет в основном профиле, а остальные 10% будут содержаться в десятке дополнительных профилей?

Небольшая поправочка. Почему то именно с группами рабочих станций антивирусной сети такой профиль у меня не работает, хотя, согласно документации, вроде бы должен. Работает, если добавить станции в профиль не группой, а по отдельности.



#30 Afalin

Afalin

    Guru

  • Dr.Web Staff
  • 5 835 Сообщений:

Отправлено 11 Июль 2022 - 10:12

Скажите, а какие то другие сценарии использования "Контроля приложений" рассматривались? Кроме упомянутого Вами выше: создаем эталон и применяем на все что есть.

 

В реальной жизни все несколько сложнее. Нет эталона. Во первых, зоопарк систем, во вторых, еще больший зоопарк приложений. Как понять, что в список не попало что то левое, нежелательное, и как это контролировать, чтобы и впредь не попало если список посмотреть нельзя?

Реальная жизнь многогранна. Насколько я знаю, этот вариант с белыми списками затачивался на места, где есть сотни-тысячи одинаковых станций. Из примеров – банкоматы, всякие терминалы, рабочие места массового профиля и т.п. Как с белыми списками работать в небольших организациях с разношёрстным софтом, который ещё и обновляется не сихронно везде – не очень понятно.


Семь раз отрежь – один раз проверь

#31 Afalin

Afalin

    Guru

  • Dr.Web Staff
  • 5 835 Сообщений:

Отправлено 11 Июль 2022 - 10:18

Пожалуйста, ответьте еще на такой вопрос. Если профиль назначен на группу пользователей "Пользователи домена", как в этом случае будет работать контроль приложений?

1. Загрузка системы, до начала входа пользователя в систему - будет ли в этом случае работать "Контроль приложений"?

Будет. Только надо иметь в виду, что если какие-то процессы запускаются не от имени пользователя, входящего в эту группу, то соответствующий профиль к этому процессу применяться не будет. И до логина, получается, применять этот профиль будет вообще не к чему.

2. Если пользователь входит в несколько групп, а только одной группе назначен профиль "Контроля приложений"?

Не важно, профили собираются со всех групп в одну кучу.

По видимому, назначать профили "Контроля приложений" на группы пользователей не очень хорошая идея, по крайней мере в моем случае, когда операционных систем и программ большой зоопарк.

Так не важно же, на группу или не на группу назначен профиль с зоопарком.

С учетом, что средний размер хешей файлов 800 кБ, хешей сертификатов 2 кБ, очень возможно, что "Контроль приложений" сильно замедлится. У меня условно средняя конфигурация рабочей станции Win8.1, i5-4440, 4 Gb память, обычный HDD.

Тут могу сказать только то, что практика – критерий истины.


Семь раз отрежь – один раз проверь

#32 Afalin

Afalin

    Guru

  • Dr.Web Staff
  • 5 835 Сообщений:

Отправлено 11 Июль 2022 - 10:21

В связи с этим вопрос. Насколько эффективно будут работать несколько профилей, по сравнению с одним, если 90% доверенных приложений будет в основном профиле, а остальные 10% будут содержаться в десятке дополнительных профилей?

Не помню детали реализации, Константин поправит, если нужно будет. Но емнип, из всех профилей всё собирается в одну кучу и одним махом применяется. Т.е. не должно иметь значения, сколько профилей назначено. Разве что может иметь какое-то значение, если какие-то профили назначены на пользователей, какие-то – на группы пользователей, какие-то – на станции и группы станций. У них приоритеты будут разные.


Семь раз отрежь – один раз проверь

#33 Afalin

Afalin

    Guru

  • Dr.Web Staff
  • 5 835 Сообщений:

Отправлено 11 Июль 2022 - 10:22

Небольшая поправочка. Почему то именно с группами рабочих станций антивирусной сети такой профиль у меня не работает, хотя, согласно документации, вроде бы должен. Работает, если добавить станции в профиль не группой, а по отдельности.

Что значит "не группой, а по отдельности"? На станцию? Если так, то это говорит только о том, что у станции уже были на тот момент персональные назначения профилей. Иначе станция унаследует всё целиком от своей первичной группы.


Семь раз отрежь – один раз проверь

#34 Irina Nikolaevna

Irina Nikolaevna

    Newbie

  • Dr.Web Staff
  • 97 Сообщений:

Отправлено 11 Июль 2022 - 11:42

В реальной жизни все несколько сложнее. Нет эталона. Во первых, зоопарк систем, во вторых, еще больший зоопарк приложений. Как понять, что в список не попало что то левое, нежелательное, и как это контролировать, чтобы и впредь не попало если список посмотреть нельзя?

Afalin все верно изложил про эталон, банкоматы и сбор только хешей. Для понимания объемов сбора информации - в зависимости от эталона, группы доверенных приложений могут собираться днями, это трудозатратный процесс. Если при формировании группы доверенных приложений вытягивать еще метаданные - будет все намного дольше.
 

Также плохо что список доверенных нельзя редактировать

На случай, если на станции-эталоне произошли какие-то изменения, можно воспользоваться кнопкой "Перезапустить создание группы доверенных приложений.". Т.е. не нужно удалять группу доверенных приложений, собирать вновь и добавлять в профиль. Достаточно перейти "Администрирование > Доверенные приложения", выбрать группу доверенных приложений и пересобрать (обновленная группа придет на станцию в автоматическом режиме).
 

2. Если пользователь входит в несколько групп, а только одной группе назначен профиль "Контроля приложений"?

Тут еще на всякий случай упомяну про наследование (приоритет применения настроек):
1.При наличии пользовательских настроек они обладают наивысшим приоритетом.
2.При отсутствии пользовательских настроек приоритет отдается настройкам группы пользователей.
3.Если не заданы настройки для пользователей и группы пользователей, наследование осуществляется по приоритету применения настроек для станций.
Но, в том случае, если в профиле отсутствуют группы доверенных приложений или критерии функционального анализа - приоритеты не работают.

 

Небольшая поправочка. Почему то именно с группами рабочих станций антивирусной сети такой профиль у меня не работает, хотя, согласно документации, вроде бы должен. Работает, если добавить станции в профиль не группой, а по отдельности.

Возможно, где-то заданы персональные настройки. Т.е. если сначала назначить профиль А на станцию, затем профиль В на первичную группу этой станции - профиль В не придет на станцию, поскольку у станции персональные настройки. Если не получится решить проблему - сообщите, пожалста, расскажу, какие данные и каким образом нужно собрать (для меня) для анализа.
 

>> В связи с этим вопрос. Насколько эффективно будут работать несколько профилей, по сравнению с одним, если 90% доверенных приложений будет в основном профиле, а остальные 10% будут содержаться в десятке дополнительных профилей?
> Не помню детали реализации, Константин поправит, если нужно будет. Но емнип, из всех профилей всё собирается в одну кучу и одним махом применяется. Т.е. не должно иметь значения, сколько профилей назначено. Разве что может иметь какое-то значение, если какие-то профили назначены на пользователей, какие-то – на группы пользователей, какие-то – на станции и группы станций. У них приоритеты будут разные.

Не важно, сколько профилей назначено на объект, все суммируется и применяется. Тут главное не промахнуться с приоритетами (о которых я писала выше), при назначении больше одного профиля на объекты. С моей точки зрения, если задача по контролю приложений объемная - стоит попробовать разделить ее на несколько профилей, чтобы структура контроля приложений в Вашей организации была гибкой.


Сообщение было изменено Irina Nikolaevna: 11 Июль 2022 - 11:44


#35 Dimasin

Dimasin

    Member

  • Posters
  • 117 Сообщений:

Отправлено 11 Июль 2022 - 15:28

Благодарю всех откликнувшихся за ответы! Очень надеюсь разработчики и дальше будут развивать это направление.



#36 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 19 552 Сообщений:

Отправлено 11 Июль 2022 - 22:20

С удовольствием будем, особенно если будет реальный фидбек и реальные потребности что то улучшить во благо защиты пользователей. Это чертовски стимулирует.
With best regards, Konstantin Yudin
Doctor Web, Ltd.



Also tagged with one or more of these keywords: whitelisting, Контроль приложений

Читают тему: 1

0 пользователей, 1 гостей, 0 скрытых