অ্যাপ্লোকার বনাম সফ্টওয়্যার বিধিনিষেধ নীতি

লক্ষ্যটি হ'ল ব্যবহারকারীদের একটি টার্মিনাল সার্ভারে অযাচিত প্রোগ্রামগুলি চালানো থেকে বিরত রাখা।

আমি মাইক্রোসফ্ট এবং অন্যদের কাছ থেকে অনেক নিবন্ধ পড়েছি বলেছি যে নতুন অ্যাপ্লোকার বৈশিষ্ট্যটি পুরানো সফ্টওয়্যার বিধিনিষেধ নীতিমালার চেয়ে 100% ভাল এবং পরবর্তীগুলির প্রতিস্থাপন হিসাবে প্রস্তাবিত।

আমি কার্নেল মোডের প্রয়োগ ছাড়াও অ্যাপলকারের আসল সুবিধাগুলি বোঝার বিষয়ে নিশ্চিত নই। এর বেশিরভাগ কার্যকারিতা সফ্টওয়্যার বিধিনিষেধ নীতি দিয়ে পুনরুত্পাদন করা যেতে পারে।

একই সাথে এর একটি বড় অসুবিধা রয়েছে যা এটিকে একেবারে অকেজো করে তোলে: এটি এক্সটেনসেবল নয় এবং আপনি কাস্টম ফাইল এক্সটেনশনগুলি যোগ করতে পারবেন না যা আপনি সীমাবদ্ধ রাখতে চান।

এসআরপি-র মাধ্যমে অ্যাপলকারের সুবিধা কী কী এবং আপনি সফ্টওয়্যার নিয়ন্ত্রণের জন্য কী প্রস্তাব করবেন?

উইন্ডোজ Enterprise এন্টারপ্রাইজ / আলটিমেট অ্যাপলকারকে প্রবর্তন করার কারণে মাইক্রোসফ্ট সফ্টওয়্যার বিধিনিষেধ নীতিটি মাইক্রোসফ্ট দ্বারা অবহিত করা হয়েছে ( কার্যকরভাবে এসআরপি দাবি করা টেকনেট সমর্থিত নয় ) Windows

অনুশীলনে এসআরপি-র মধ্যে কিছু নির্দিষ্ট সমস্যা রয়েছে, মিথ্যা নেতিবাচক এবং মিথ্যা ধনাত্মক উভয়ের জন্য। এটি এখনও সক্রিয়ভাবে রক্ষণাবেক্ষণ এবং সমর্থিত হওয়ায় অ্যাপলকারের সুবিধা রয়েছে। যদি AppLocker একটি বিকল্প হয় তবে আপনার সময় এবং নেওয়া ঝুঁকির জন্য অ্যাকাউন্টিংয়ের পরে - এটি সস্তার একটি হতে পারে। এটি একটি তৃতীয় পক্ষের উপযুক্ত বিকল্পের সাথেও সম্ভব (তবে এই প্রশ্নটিতে এই বিকল্পটি অন্তর্ভুক্ত হয়নি :)।

আশা করি আপনি এসআরপি-র ক্ষতিগুলির কোনওটি পড়ার আগে আপনি তার সঠিক ধারণা অর্জন করতে পারতেন </sarcasm>। এর মধ্যে কয়েকটি ভাদিমস পোডেন্সের একটি সুরক্ষিত নিবন্ধে বর্ণনা করা হয়েছে ।

জ্ঞাত ক্ষতি

1. ডিফল্টরূপে, \Windowsফোল্ডার থেকে কার্যকর করার অনুমতি দেওয়া হয়। কিছু উপ-ফোল্ডার ব্যবহারকারীদের দ্বারা লিখিত হতে পারে। অ্যাপ্লোকার একই, তবে কমপক্ষে সরকারী নথিতে এই সীমাবদ্ধতার উল্লেখ রয়েছে ।

   সম্পাদনা: " ব্যবহারকারীদের সাথে সমস্ত ফোল্ডার গণনার জন্য আপনি অ্যাক্সেস রাইটিং অ্যাক্সেস ব্যবহার করতে পারেন, উদাহরণস্বরূপ, সিসিনটার্নালস প্যাক থেকে অ্যাক্সেসএনম ইউটিলিটি" " (বা অ্যাক্সেসচেক )।

   প্রযুক্তিগতভাবে ডকুমেন্টেশন আপনাকে ডিফল্ট নিয়মগুলিকে ওভাররাইড করার বিরুদ্ধেও সতর্ক করে । সম্পাদনা: একটি এনএসএ ডকুমেন্ট এসআরপি সহ ফোল্ডারগুলির 16 টি উদাহরণ দেয় , যদিও রেজিস্ট্রি পাথের নিয়মগুলি ব্যাকস্ল্যাশগুলি ভুলভাবে ব্যবহার করে তাই সংশোধন করতে হবে (নীচে রেজিস্ট্রি পাথগুলিতে পয়েন্ট দেখুন) এবং একটি সাধারণ ওভার-ব্রড ব্ল্যাকলিস্ট এন্ট্রি সম্পর্কে সতর্ক করে।

   সুস্পষ্ট প্রশ্ন হ'ল কেন আমরা সাবধানতার সাথে \Windowsতার পরিবর্তে পৃথক পাথগুলি হোয়াইটলিস্ট করছি না । ( \Windows\*.exeউত্তরাধিকার System32\*.exeইত্যাদি সহ ) আমি কোথাও এর কোনও উত্তর লক্ষ্য করিনি :(।

2. এনভায়রনমেন্ট ভেরিয়েবল যেমন %systemroot%, এসআরপি ব্যবহার করে পরিবেশের পরিবর্তনশীল সাফ করে ব্যবহারকারীরা বাইপাস করতে পারবেন। সম্পাদনা: প্রস্তাবিত ডিফল্টগুলিতে এগুলি ব্যবহৃত হয় না। তবে তারা ব্যবহার করতে লোভনীয় হতে পারে। এই ফুটগানটি অ্যাপলকারে স্থির করা হয়েছে, কারণ এটি কখনই পরিবেশের ভেরিয়েবলগুলির দিকে নজর দেয় না।

3. \Program Filesআধুনিক 64৪-বিট ইনস্টলগুলিতে ব্যবহৃত দুটি পৃথককে মঞ্জুরি দেওয়ার জন্য প্রস্তাবিত ডিফল্টরা অবহেলা করে । আরও সুরক্ষিত "রেজিস্ট্রি পাথ" ব্যবহার করে এটি সমাধান করার সময়, এলোমেলো পরিস্থিতিতে মিথ্যা অস্বীকারের খবর পাওয়া যায়, যা পরীক্ষায় সহজেই বাদ যায়। উদাহরণস্বরূপ স্পাই ওয়ার্কস এসআরপি- তে মন্তব্য দেখুন । সম্পাদনা: নিবন্ধের ডাব্লুডাব্লু 6432 নোড থেকে প্রাসঙ্গিক পাথগুলি পড়ার 32-বিট অ্যাপ্লিকেশনগুলির সাথে এটি করা: রেজোলিউশনটি এসআরপিতে এই দুটি পাথ যুক্ত করে সমস্ত প্রোগ্রামকে 32-বিট এবং 64-বিট মেশিনে কাজ করার অনুমতি দেয় না বাধা হিসাবে rest একটি x64 বা x86 হোস্ট প্রক্রিয়া:%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir (x86)% %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramW6432Dir%
4. উইন্ডোজ দ্বারা সমর্থিত পাওয়ারশেল স্ক্রিপ্টগুলি (* .PS1) নিষিদ্ধ করতে ডিফল্ট এক্সটেনশনগুলি অবহেলা করে । ( ভিডিও দেখুন ) এবং অ্যাপেক্সও ... মাইক্রোসফ্টের তুলনা সারণী অনুসারে, এসআরপি উইন্ডোজ 8 এ "প্যাকেজড অ্যাপস" পরিচালনা করতে পারে না, এর অর্থ কী তা আমার কোনও ধারণা নেই।
5. রেজিস্ট্রি পাথ নিয়ম (অন্তর্ভুক্ত হচ্ছে সত্ত্বেও মাইক্রোসফট নিজস্ব বিল্ট ইন এক্সপি / সার্ভার 2003 নিয়ম) অবিলম্বে গত শতাংশ চিহ্ন পর স্ল্যাশ আছে না এবং কোন ব্যাকস্ল্যাশ কাজ (থেকে শাসন অনুক্রমে forwardslashes দিয়ে প্রতিস্থাপিত করা আবশ্যক 1 / 2 / 3 )।
6. এসআরপি-র জন্য আমি যে উত্সগুলি পেয়েছি তার মধ্যে কোনওটিই আপনার জন্য উপরের পুরো তালিকাটি রাখেনি। এবং আমি দুর্ঘটনাক্রমে কেবল ভাদিমস পোডেন্সের নিবন্ধটি আবিষ্কার করেছি। সেখানে আর কি লুকিয়ে আছে?
7. অনেক উত্স কেবল তালিকা থেকে এলএনকে ফাইলগুলি সরিয়ে ফেলার পরামর্শ দেয়। (এবং পছন্দগুলি ভঙ্গ করতে এড়াতে ওয়েব শর্টকাটগুলি ?!)। উদ্বেগজনকভাবে, কোনও উত্সই LNK দুর্বলতাগুলি নিয়ে আলোচনা করে ... বা অপ্রত্যাশিত এক্সটেনশান সহ ফাইলগুলি চালনার জন্য স্ক্রিপ্ট দোভাষী পেয়েছে যেমনwscript /e ... বা সম্ভবত কোনও ইনলাইন স্ক্রিপ্ট প্যারামিটারে পর্যাপ্ত শেলকোড স্টাফ করা ... ইত্যাদি
8. আপনি যদি ডেস্কটপে এলএনকে ফাইলগুলি মঞ্জুরি দিয়ে আপস করার চেষ্টা করেন এবং আপনি ব্যবহারকারীদের ডেস্কটপে লেখার অ্যাক্সেস দিয়ে রেখে দেন তবে তারা এখন আপনার নীতি পুরোপুরি বাইপাস করতে পারে। আবার ভাদিমস পোডেন্সের কাছ থেকে সুন্দর টিপ। নোট করুন যে ব্যাখ্যাটি কোনও বিধিবিধানের কোনও এক্সটেনশন ব্যবহারের ক্ষেত্রে প্রযোজ্য। মাইক্রোসফ্ট *.Extensionকোনও ধরণের সতর্কতা সহ এর একাধিক উদাহরণ উপস্থাপন করে । সুতরাং আপনি অফিসিয়াল ডকুমেন্টেশনে বিশ্বাস করতে পারবেন না এবং এটি এখনই ঠিক হয়ে যাওয়ার সম্ভাবনা কম বলে মনে হচ্ছে।
9. [সম্ভাব্য অ্যাপলকারের অসুবিধা]। ভাদিমস পোডেন্স রিপোর্ট করেছেন যে ম্যাপযুক্ত ড্রাইভগুলি ব্যবহার করে এসআরপি এন্ট্রিগুলি কাজ করে না। পরিবর্তে ইউএনসি পথ ব্যবহার করা উচিত। সম্ভবত তারা তখন ম্যাপড ড্রাইভের মাধ্যমে অ্যাক্সেসের জন্য আবেদন করতে পারে? এটি 100% পরিষ্কার নয়। স্পষ্টতই অ্যাপলকারটি আলাদা ছিল: এটি কোনওটির সাথেই কাজ করেনি :( "অজানা কারণে, ইউএনসি পাথগুলি অ্যাপলকারে কাজ করে না! এর অর্থ এটি যদি আপনার অ্যাপ্লিকেশনটি নেটওয়ার্কে ইনস্টল করা থাকে তবে আপনাকে হ্যাশ বা প্রকাশক বিধি তৈরি করতে হবে । "

ব্যবহারিক পদ্ধতির

সফ্টওয়্যার শ্বেত তালিকাটি সম্ভাব্য একটি খুব শক্তিশালী প্রতিরক্ষা। আমরা যদি কৌতুকপূর্ণ হয়ে উঠি: ঠিক এই কারণেই মাইক্রোসফ্ট নিম্ন-মূল্যের সংস্করণগুলিকে হ্রাস করে এবং আরও জটিলগুলি আবিষ্কার করে।

হতে পারে অন্য কোনও বিকল্প উপলব্ধ নেই (তৃতীয় পক্ষের সমাধানগুলি অন্তর্ভুক্ত করুন)। তারপরে একটি ব্যবহারিক পদ্ধতির মাধ্যমে এসআরপিটিকে যথাসম্ভব কনফিগার করার চেষ্টা করা হবে। এটি পরিচিত গর্ত সহ প্রতিরক্ষা একটি অতিরিক্ত স্তর হিসাবে আচরণ করুন। উপরের অসুবিধাগুলি মেলে:

1. ডিফল্ট বিধিগুলি থেকে শুরু করুন (উইন-প্রাকের পূর্ব থেকে :))।
2. এনভায়রনমেন্ট ভেরিয়েবল ব্যবহার না করা পছন্দ করুন, যেমন %systemroot%।
3. উভয় \Program Files\ডিরেক্টরিই আধুনিক -৪-বিট মেশিনে অনুমোদিত কিনা তা নিশ্চিত করতে নিয়ম যুক্ত করুন । অতিরিক্ত "রেজিস্ট্রি পাথস" এর জন্য আপনাকে \Program Files\64-বিট কম্পিউটারে যুক্ত করতে হবে %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir (x86)%এবং তা %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramW6432Dir%।
4. রেজিস্ট্রি পাথের বিধিগুলিতে যুক্ত করার সময় শতাংশ চিহ্নের সাথে সাথে কোনও ব্যাকস্ল্যাশ ছেড়ে যান এবং \ফরোয়ার্ডস্ল্যাশ /(উদাঃ %HKEY_LOCAL_MACHINE\Software\CompanyName\CustomApps%App/Bin/start.exe) সহ আরও কোনও ব্যাকস্ল্যাশ প্রতিস্থাপন করুন
5. নিয়ন্ত্রিত এক্সটেনশনের তালিকায় PS1 যুক্ত করুন।
6. বুঝে নিন যে একটি পরিচালনাযোগ্য এসআরপি কনফিগারেশন কোনও ব্যবহারকারীকে পরাভূত করার জন্য এটির বিরুদ্ধে সুরক্ষিত নয়। লক্ষ্যটি হ'ল ব্যবহারকারীদের নীতিমালার মধ্যে কাজ করতে সহায়তা করা / উত্সাহ দেওয়া, "ড্রাইভ বাই ডাউনলোডগুলি" এর মতো আক্রমণ থেকে তাদের রক্ষা করা।
7. এলএনকে ফাইলগুলিকে অনুমতি দিন। (অগ্রাধিকার হিসাবে এটি কোনও পথের নিয়মের মাধ্যমে নয়, এক্সটেনশন তালিকা থেকে সরিয়ে দিয়ে)।
8. উপরে দেখুন :).
9. আপনার লগন স্ক্রিপ্ট ফোল্ডারটি অনুমোদিত কিনা তা নিশ্চিত করুন। এনএসএ নথি যোগ করার পরামর্শ দেয় \\%USERDNSDOMAIN%\Sysvol\। (পয়েন্ট # 2 দেখুন, দীর্ঘশ্বাস দিন, তারপর পয়েন্ট # 6 দেখুন)।

আমি সম্মত হই যে এসআরপিতে এমন কিছু অতিরিক্ত বৈশিষ্ট্য রয়েছে যা অ্যাপলক দ্বারা সত্যই উপকার করতে পারে।

বলা হচ্ছে, আমি অ্যাপলকারের বড় সুবিধা ( এই তুলনা দ্বারা নথিভুক্ত ) হিসাবে দেখছি :

• অ্যাপলকার বিধিগুলি নির্দিষ্ট ব্যবহারকারী বা ব্যবহারকারীদের একটি গোষ্ঠীকে লক্ষ্য করা যেতে পারে, যেখানে এসআরপি পুরো কম্পিউটারে প্রয়োগ করা হয়।
• AppLocker নিরীক্ষণ মোডকে সমর্থন করে যাতে প্রয়োগের আগে নিয়মগুলি পরীক্ষায় নেওয়া যেতে পারে। এসআরপি-তে কোনও সমতুল্য লগ-মোড নেই।

আমার পক্ষে সবচেয়ে বড় সুবিধা হ'ল প্রকাশকের দ্বারা স্বাক্ষরিত এক্সিকিউটেবলকে শ্বেত তালিকাভুক্ত করার ক্ষমতা। এই দেখুন http://technet.microsoft.com/en-us/library/ee460943(v=ws.10).aspx

অ্যাপলকারের কোনও সুবিধা নেই, মাইক্রোসফ্ট প্রকাশিত অসত্য মিথ্যা: 1. নিরাপদ নিয়ম সহ জিপিও ব্যবহারকারী এবং ব্যবহারকারী গোষ্ঠীর সাথে সংযুক্ত থাকতে পারে; ২. উইন্ডোজ ভিস্তা একাধিক স্থানীয় জিপিও চালু করেছে যা ডোমেন নিয়ামক ছাড়াই একই ফলাফল অর্জন করে; ৩. নিরীক্ষণ মোড কোনও প্রয়োগের সাথে বর্ধিত লগিং বৈশিষ্ট্যের মাধ্যমে উপলব্ধ।

আমি আমার সংস্থার মধ্যে অ্যাপলকার ব্যবহার করি। আমরা যে কৌশলটি ব্যবহার করি তা হ'ল: বেসলাইন হিসাবে সমস্ত কিছু অস্বীকার করুন (বাস্তবে: অ্যাপলোকার ডিফল্ট) এবং তারপরে যা প্রস্তাবিত হয়েছিল তা করুন: একটি নিয়ম তৈরি করুন যা কেবলমাত্র স্বাক্ষরিত অ্যাপ্লিকেশনগুলির জন্য অনুমতি দেয় (অফিস, অ্যাডোব, উইনটোলস, কুড়াল ইত্যাদি)। বেশিরভাগ, সম্ভবত সমস্ত ম্যালওয়্যার স্বাক্ষরিত সফ্টওয়্যার নয় তাই কার্যকর হবে না। এটি কোনও রক্ষণাবেক্ষণ খুব কমই হয়। আমাকে কেবলমাত্র 3 টি অতিরিক্ত লিগ্যাসি অ্যাপ্লিকেশানের জন্য অনুমতি দিতে হয়েছিল।

আরও আমি নিশ্চিত করতে পারি না যে কেউ ইউএনসি-পাথ ব্যবহার করতে পারে না। কিছু অতিরিক্ত সুরক্ষায় অস্বীকার-বিধিগুলিতে আমি ইউএনসি-পথের সাফল্যের সাথে ব্যবহার করি। সমস্যাটি পরিবেশগত পরিবর্তনগুলি ব্যবহার করার ক্ষেত্রে রয়েছে: তারা অ্যাপলোকারের পক্ষে কাজ করে না। * ওয়াইল্ডকার্ড ব্যবহার করুন। আমি এটি উইন্ডোজ 2008 আর 2 এবং উইন্ডোজ 2012 আর 2 এ ব্যবহার করি।

আমি এটি অনেক পছন্দ করি: খুব কমই কোনও পারফরম্যান্স-পতন হয়। ডকুমেন্টেশন যেমন বলে: অ্যাপলকার আবেদনকারী পরিচয় পরিষেবাটিতে নির্ভর করে (এটি স্বয়ংক্রিয়ভাবে শুরু হয় তা নিশ্চিত করুন) make