Создавать “белые” и “черные” списки несложно. Совсем другое дело — поддерживать и соблюдать соответствующие правила в масштабах целой компании
Технология белых списков — очень модное сейчас средство обеспечения информационной безопасности, позволяющее администраторам явно указывать, какие приложения могут запускаться в корпоративной системе, а какие нет. Когда руководство не вполне доверяет пользователям, жесткое регулирование активности с помощью списков действительно бывает целесообразным в качестве компонента общей политики безопасности применительно к конечным точкам сети. Однако если не обеспечить должной гибкости и эффективности централизованного управления такой политикой, использование решений на базе белых списков может сделать рабочие станции слишком неудобными для прямого использования.
Я испытал на себе преимущества и недостатки данной технологии, тестируя Faronics Anti-Executable Enterprise 3.5 — средство управления белыми списками для приложений, поставляемое в стандартном и корпоративном вариантах. Корпоративный вариант отличается от стандартного главным образом наличием консоли Faronics Core, обеспечивающей централизованное управление. Обобщая свои впечатления, могу сказать, что Anti-Executable — вполне солидный инструмент для жесткого регулирования пользовательской активности при использовании его в качестве самостоятельного продукта, однако его возможности в плане централизованного управления ПО и гибкой настройки меня разочаровали. В частности, продукт существенно затрудняет обновление ПО и даже основное использование рабочих станций.
На период тестирования Anti-Executable у меня пришелся “вторник обновлений” продуктов Microsoft, помимо этого я был вынужден обновлять продукты Adobe и платформу Java. И хотя в моей сети задействовано всего 10 рабочих станций, мне пришлось потратить немалые усилия, чтобы установить обновления, а затем добиться запуска приложений и актуализировать белый список, дабы в дальнейшем приложения могли нормально работать. А если бы в корпоративной среде насчитывалось 5000 и более машин, то все достоинства Anti-Executable и вовсе были бы сведены на нет трудоемкостью управления.
С другой стороны, в условиях, когда конфигурации ПО не нужно обновлять постоянно, а главным приоритетом является безопасность, Anti-Executable может стать очень полезным средством. Именно в таких случаях применение технологии белых списков является по-настоящему целесообразным. Скажем, для среднестатистического корпоративного пользователя нежелательно постороннее вмешательство или прерывание работы, но на общедоступном компьютере это идеальный вариант. Вредоносные программы не запускаются, программные логгеры клавиатуры нельзя инсталлировать, предупреждения не выдаются, если приложения, не включенные в белый список, завершают работу. Аналогичным образом такое средство может быть полезным на рабочей станции в учебном классе, на кассовом терминале — короче говоря, везде, где пользователь должен выполнять ограниченный набор определенных действий, а все остальное подлежит блокировке.
Цена Faronics Anti-Executable Enterprise 3.5 составляет от 40 долл. на одно клиентское место, при оптовых покупках она может снижаться до 9,99 долл.
Тестирование Faronics
Инсталляция управляющего сервера и консоли весьма проста. Мастер в пошаговом режиме помогает проделать все необходимые операции, так что мне оставалось лишь несколько раз нажать кнопку Next, а по окончании — Finish. Однако здесь программа внезапно перестает с вами нянчиться, и больше мастера мне нигде не попадались. Правда, в Faronics Core Console и MMC Snap-in GUI есть справочные разделы, но они крайне скупы и примитивны, а контекстной справки нет. Программа выдает традиционные подсказки типа “Нажмите “да”, чтобы включить эту функцию”, но работа самой функции никак не разъясняется. Несколько более расширенная информация содержится в предлагаемом руководстве в формате PDF.
Интерфейс GUI достаточно прост, так что и без мастеров у меня не возникало серьезных затруднений, хотя несколько минут пришлось потратить на освоение имеющихся функций. Все организовано примерно так же, как и в других интегрированных приложениях: в панели слева имеется дерево для навигации по серверу Faronics Core, рабочим станциям, заданиям и отчетам.
Я прежде всего выбрал сервер Faronics Core и дал команду Create Core Agent Install (создать инсталлируемый модуль агента Core), чтобы сгенерировать маленький файл с пакетом MSI. Этот пакет можно перенести на рабочую станцию любым удобным способом, в том числе вручную. Мне таким же образом пришлось инсталлировать ПО Anti-Executable для рабочих станций для каждого клиента.
Ни один из этих инсталлируемых пакетов не может быть скрытым. В том же меню Manage Users and Roles (управление пользователями и ролями) я создал несколько консольных учетных записей (имеются четыре стандартные роли — “гости”, “пользователи”, “опытные пользователи” и “администраторы”). Они обеспечивают основные возможности, но создать по своему усмотрению группы и наборы привилегий нельзя. Отдельным ролям можно присвоить свои уровни привилегий либо на консоли, либо в Anti-Executable.
После установки клиентских агентов на 10 рабочих станциях они автоматически связались с сервером управления и появились в панели “Управляемые рабочие станции”. Я создал несколько групп рабочих станций с разными конфигурациями (вероятно, в реальной эксплуатации потребуется несколько групп с разными политиками, соответствующими тем или иным конфигурациям или пользовательским задачам). Я мог попросту перетаскивать рабочие станции в созданные мною группы; можно также использовать сервер LDAP (AD или eDirectory).
Несложные настройки
Настройки в Anti-Executable достаточно просты. Защиту можно включать (активный белый список), выключать (полная незащищенность) или переводить в режим поддержки (новые исполнимые файлы автоматически вносятся в белый список, если оказываются включенными). В числе других настроек — включение или отключение отображения значка на системной панели, отключение мыши и клавиатуры, выключение или перезапуск рабочей станции.
Можно контролировать параметры, касающиеся пользователей, — показ начальной заставки, включение всплывающих сообщений о заблокированных приложениях и т. п. Предупреждения можно настраивать различным образом. Можно также включать в них значок с изображением администратора, держащего молот, с пояснением того, что тот или иной пользователь сделал неправильно.
Если значок программы присутствует в системном лотке, вызывать интерфейс можно с помощью клавишных комбинаций (левый shift со щелчком кнопки мыши). После этого администратор может войти в программу, введя пароль. Администраторам и правомочным пользователям необходимо иметь соответствующие системные права. При этом администраторы могут вносить долговременные изменения, а правомочные пользователи — лишь временные. У пользователей, не имеющих системных прав, приложения блокируются.
Средства подготовки отчетов достаточно примитивны. Обычно агент на каждой рабочей станции ведет журнал, записывая основную информацию, и все это объединяется в общий отчет. Там содержатся названия машин, атрибуты пользователей, сведения о времени, названия и описания событий. Конечно, просматривать ежедневно тысячи подобных записей в поисках аномалий неудобно. Но я без труда использовал средства для импортирования и экспортирования журналов, чтобы создавать более удобные отчеты в других приложениях. Значительная доля времени при работе в Anti-Executable у меня приходилась на создание и поддержание белых списков — то же самое происходит и в других продуктах этого класса.
Интеграция системы поддержания белых списков в процесс установки программных заплаток очень важна, поэтому желательно выделять одну из рабочих станций (или виртуальных машин) для опробования заплаток, а затем создавать и тестировать белые списки перед масштабным развертыванием. Мой опыт показал, что лучший путь — активно поддерживать “белый список” на одной машине и затем распространять его на другие через консоль управления. Средств для автоматизации этого процесса я не нашел, пришлось действовать, сохраняя белые списки (в виде файлов AEWL) с первой машины и вручную перенося их на другие компьютеры.
Оказалось что такой метод весьма эффективен для предотвращения установки вредоносных программ. Я специально загружал образцы вредоносных программ, и Anti-Executable блокировал их запуск (таким образом, технология белых списков может стать частью более широкой политики защиты конечных точек сети). Программные конфигурации оказываются фиксированными. Anti-Executable — не самый простой в управлении инструмент, и подозреваю, что в крупных организациях работа с ним будет еще более сложной, но в любом случае клиентские агенты делают ровно то, что от них требуется.