☰

Vīrusu infekciju novēršana ar Applocker

Microsoft Windows 7 Enterprise un Ultimate versiju lietotājiem ir pieejama Microsoft Applocker tehnoloģija - Microsoft SRP (Software Restriction Policies) jaunākā un uzlabotā versija. Applocker vai SRP izmantošana ļauj uzlabot datora aizsardzību pret jauniem un nezināmiem vīrusiem – lieta, kas nav pa spēkam antivīrusiem, kas pārtver tikai datu bāzē iekļautos vīrusus.

Diemžēl pat modernākie antivīrusi nespēj laicīgi reaģēt uz pieaugošo vīrusu daudzumu – pēc AVIRA kompānijas datiem ik dienu tiek konstatētas ~40’000 jaunas vīrusu modifikācijas, kas rada nopietnas grūtības izstrādāt un uzturēt aktuālās antivīrusu definīciju bāzes.

Applocker un SRP ļauj risināt šo problēmu pašos pamatos – ieslēdzot tos Whitelist („baltā saraksta”) darba režīmā.

Microsoft rekomendē šādus vispārīgus drošības pamatus:

  1. Ikdienas darbiem neizmantot lietotāju kontu ar administratora tiesībām,
  2. Savlaicīgi uzstādīt programmu drošības atjauninājumus,
  3. Ieviest drošu GroupPolicy (ierobežojot lietotāja tiesības instalēt programmas un veikt izmaiņas sistēmā līdz minimālajām nepieciešamajām),
  4. Izmantot „balto sarakstu”, atļaujot izpildīt tikai tajā iekļautās programmas (sarakstu var veidot pēc vairākiem nosacījumiem: faila atrašanās vietas, programmas ražotāja digitālā paraksta, faila kontrolsummas, programmas versijas; šos nosacījumus iespējams kombinēt, lai iegūtu nepieciešamo konfigurāciju) 

Whitelist pamatprincipi:

  1. izveidot un uzturēt atļauto programmu sarakstu,
  2. lietotājs atbilstoši savām tiesībām var palaist tikai atļautās programmas,
  3. visas pārējās programmas palaist ir aizliegts.

Microsoft domēnā SRP un Applocker ir vienkārši vadāms, izmantojot domēna GroupPolicy. Ja dators nav iekļauts domēnā, tad izmantojot Local Security Policy. SRP un Applocker izmanto servisu „Application Identity”, kam jābūt palaistam, lai varētu uzstādīt un konfigurēt SRP vai Applocker.

Kā nokonfigurēt Applocker?

Konfigurējot SRP lokāli, palaižam Start –> Run… –> secpol.msc. un izvēlamies sadaļu Software Restriction Policies (izmantojot SRP) vai Application Restriction Policies (Applocker):

Šādi nosacījumi tiek izveidoti Executabla Rules sadaļā pēc noklusējuma:

  1. Allow Everyone all files in Windows directory;
  2. Allow Everyone all files in ProgramFiles directory;
  3. Allow BUILTIN\Administrator all files.

Tieši tas, kas būtu nepieciešams, lai nepieļautu kaitīgu skriptu izpildi no interneta pārlūka TEMP failiem un pārnēsājamiem USB diskiem, kas ir biežākais datorvīrusu izplatīšanās veids.

Vairāk par Applocker un SRP tehnoloģijām lasiet:

http://technet.microsoft.com/en-us/library/dd723678%28WS.10%29.aspx

http://technet.microsoft.com/en-us/library/bb457006.aspx