组织内的权限通常在企业中的两个基本层次结构之间划分:标准用户和管理员。域管理员通常被赋予最高级别的权限,能够修改和访问所有标准用户机器,而本地管理员可以完全访问他们的特定端点和其中的数据。管理员通常还拥有以提升的特权运行某些应用程序的专有特权。
现在想象一个标准用户需要运行一个只能在管理员模式下工作的应用程序。传统上,企业只会向该用户提供管理员凭据或提升该特定用户的整个组织级权限,但是,这不仅会给他们访问该特定应用程序的权限,而且还可以让他们获得管理员拥有的所有顶级权限.
在一个理想的没有网络犯罪的世界里,这很好。然而,最近的研究表明,在 2018 年发生的所有安全漏洞中,高达 34% 的安全漏洞是由内部攻击造成的,这凸显了向任何标准用户授予管理员凭据的风险。
端点权限管理工具-Application Control Plus
端点权限管理是管理权限的过程,以便管理员权限不会在用户之间过度分配。这可以防止用户利用超出其要求的功能,这是提升整个用户帐户权限的常见风险。由于 80% 的安全漏洞涉及特权凭证,端点特权管理对于有效的安全性至关重要。如果攻击者获得一组特权凭据,他们将能够立即访问您组织中存在的所有端点,从而轻松窃取数据或注入恶意软件。
使用POLP,端点权限管理可用于通过从设备中删除不必要的本地管理员帐户并仅允许所需的用户帐户保留权限来减少攻击面。此功能可确保优先考虑安全性不会影响工作效率,因为它使选定用户能够在需要时自行提升其特定于应用程序的权限。
创建特权应用程序列表
允许对所有列入白名单的应用程序自行提升权限
所有列入白名单的应用程序都将添加到特权应用程序列表中。在规则部署期间与此列表关联的自定义组将被允许自行提升其权限,以访问专门为其列入白名单的所有应用程序。管理员将被允许在构建此列表时排除他们选择的应用程序。
允许对特定应用程序自行提升权限
可根据企业需求,将特定应用添加到特权应用列表中。管理员可以在继续构建此列表之前查看以提升的权限运行的现有应用程序。这确保不会有任何生产力损失。在规则部署期间与特权应用程序列表关联的自定义组将被允许自行提升其特权,仅适用于所选的特定应用程序。
启用特权访问
所有需要特权访问应用程序的最终用户设备都可以集群到一个自定义组中,并在规则部署期间关联到特权应用程序列表。 管理员还可以将具有最高安全性和自定义级别的应用程序列入白名单和黑名单。即时访问功能使管理员可以灵活地创建专门针对临时需求制定的临时规则 。
应用程序白名单
应用程序白名单是创建受信任应用程序列表并仅允许这些应用程序在托管设备上运行的过程。考虑到应用程序往往是网络攻击发生的途径,导致重大经济损失或大量数据泄露,因此不能掉以轻心,不能掉以轻心。
为什么应用程序白名单很重要
应用程序白名单的范围不仅限于恶意软件保护。创建应用程序白名单还可以简化库存管理。企业通常授予所有用户对大多数应用程序的访问权限,即使它们与用户的角色无关。在这种情况下,用户最终会在他们的设备上运行几个未使用的应用程序。这些应用程序不仅消耗存储空间,而且您还浪费时间管理与这些不必要的应用程序相关的许可证和补丁。
应用程序白名单解决了所有这些问题,因为它允许用户根据其角色和工作要求仅使用特定的应用程序。
应用程序白名单最佳实践
- 应用程序白名单的过程早在实际的白名单构建之前就开始了。选择这种应用程序控制方法的企业应该彻底观察和了解每个工作人员的应用程序需求。
- 将相同的应用程序白名单与包含具有相似要求的用户的组相关联可以减少创建的规则量。
- 未正确定义的应用程序白名单通常弊大于利。建议以仅审核模式部署暂定白名单,允许运行除黑名单之外的所有应用程序。每次使用未列入白名单的应用程序时,都应使用日志收集启用此模式。
- 在对这些日志进行适当的审核后,可以将以前从应用程序白名单中省略的基本应用程序包含在其中。
- 为了获得最佳安全性,在最终确定白名单的内容后,可以修改部署的规则以在严格模式下工作,其中只允许运行白名单的应用程序。
通过应用程序白名单防止威胁
持续的技术进步导致用户依赖应用程序来完成即使是最小的任务,在大小供应商的帮助下,每分钟都在创建新的应用程序。由于需求的增加和时间的紧缺,供应商经常依赖开源代码来构建他们的应用程序。攻击者已经开始利用这一趋势,将他们自己的后门插入到开源代码中,这样他们就可以轻松启动恶意软件或窃取数据。
如何将应用程序列入白名单
传统的应用程序白名单伴随着列表管理的麻烦,这就是为什么企业通常会回避它并选择防病毒解决方案来防止恶意软件通过应用程序入侵。Application Control Plus 以其自我更新的应用程序白名单功能打破了所有这些规范。与您的典型防病毒软件不同,我们的应用程序白名单在处理这些漏洞时采用主动方法,为您提供抵御攻击的最佳机会。
以下是 Application Control Plus 如何帮助您创建应用程序白名单:
应用程序发现
任何应用程序控制过程的第一步都是发现网络中安装了哪些应用程序。Application Control Plus 的代理扫描每个端点并提供安装在其中的应用程序列表,以及所有可执行文件的详细信息。
应用分组
Application Control Plus 的应用程序白名单软件会根据发现的应用程序对您选择的规则的遵守情况自动构建和更新白名单。可以配置以下规则:
1、值得信赖的供应商
如果这些供应商使用开源代码,信任没有有效证书的软件供应商可能会导致后门攻击。因此,只会向您显示已安装软件的授权供应商。由此,只有属于您选择的供应商的应用程序才会被添加到白名单中。 2、产品名称
如果您想将来自同一供应商的某些产品列入白名单,可以选择这种类型的规则,而不是受信任的供应商规则。 3、已验证的可执行文件
应用程序由多个可执行文件组成,供应商为每个可执行文件分配一个数字证书以保证其真实性。Application Control Plus 向您显示这些经过验证的可执行文件,您可以从中选择要列入白名单的 EXE 文件。在维护安全网络时,此规则至关重要,因为如果文件的数字证书被篡改,将不允许执行文件。即使以更新的形式添加到应用程序中的 EXE 如果未列入白名单,也将不允许运行。 4、文件哈希
这是最安全的规则,因为它基于可执行文件的哈希值。正在运行的进程的所有可执行文件,包括那些没有有效数字证书的文件,都会显示给您。您可以选择要列入白名单的所有文件;之后,即使是文件的最小更改,例如文件版本的修订,也会更改其哈希值,这意味着文件将立即从应用程序白名单中删除。 5、文件夹路径
此规则使您的应用程序白名单变得非常简单。您可以将所有您信任的应用程序放入一个文件夹中,以便一次性将这些应用程序列入白名单。 6、StoreApps 规则
除了促进旧应用程序的白名单之外,Application Control Plus 还提供对 Windows 10 应用商店应用程序的支持。此规则会发现在托管端点中运行的所有 StoreApp,并允许您立即将您选择的应用程序列入白名单。
7、自定义规则
此规则使您可以自由决定当前未安装在其端点中的进程的可执行文件会发生什么。EXE 可以作为 CSV 文件上传,之后它们将根据此政策立即被列入白名单。
关联应用程序
具有相同角色的用户通常需要类似的应用程序。您可以根据个人用户的要求将应用程序分配给他们,或者创建自定义用户组,并将这些用户组与专门为满足其需求而使用相关规则而构建的应用程序白名单相关联。Application Control Plus 的应用程序白名单功能允许您将多个应用程序白名单与同一个自定义组关联,反之亦然。
应用程序黑名单
应用程序黑名单是一种用于防止某些应用程序或可执行文件在网络中运行的技术。如果应用程序白名单是一种主动威胁防御技术,那么应用程序黑名单更像是损害控制。Application Control Plus 的应用程序黑名单软件通过启用基于规则的列表创建和更新来简化黑名单。
优先考虑安全性和生产力
使用应用程序黑名单,您可以立即阻止可能妨碍企业安全或生产力的应用程序;最常见的违规者包括社交媒体应用程序、游戏和即时通讯应用程序。但是,完全禁止使用此类应用程序是不可取的,因为更高级别的员工可能需要其中一些应用程序来进行与工作相关的通信。为了克服这个问题,Application Control Plus 的应用程序黑名单功能使您能够将应用程序黑名单与不同的自定义组相关联,同时考虑到用户在企业中的角色,让您可以自由选择受黑名单规则影响的人。
高级持续性威胁 (APT)、零日攻击和已知的恶意软件入侵也可以通过使用应用程序黑名单功能得到有效解决。零日漏洞和 APT 通常没有修复程序,因此它们是最危险的。使用应用程序黑名单软件,您将不再需要等待补丁,而漏洞仍在您的网络中肆虐;您可以通过将它们列入黑名单来立即禁止应用程序运行,直到出现修复。
如何将应用程序列入黑名单
Application Control Plus通过添加基于规则的列表生成,对传统的应用程序黑名单进行了非常规的改造,提供全面而精细的控制。可以在 Application Control Plus 中配置以下规则:
应用级黑名单
可以根据软件所有者、供应商、产品名称、网络中安装的已发现应用程序的文件夹路径来构建此规则。您可以在创建黑名单时选择您不信任或认为不必要的所有实体,因此与这些实体关联的所有应用程序将立即被阻止。
1、供应商规则 2、产品名称规则 3、文件夹路径规则 4、StoreApps 规则
此规则有助于发现 Windows 10 系统中所有已安装的商店应用程序,您只需单击几下即可从中选择您选择的应用程序并将其列入黑名单。
可执行级别的黑名单
为了更严格的安全性,您可以启用可执行级别的黑名单。可以单独识别受恶意软件或任何其他威胁破坏的可执行文件并将其列入黑名单,而不会影响应用程序的其他可执行文件。此级别的黑名单基于已验证的可执行文件和文件哈希等规则进行。
1、已验证的可执行规则 2、文件哈希规则
自定义规则
如果当前未安装应用程序或可执行文件,则在代理扫描期间不会发现它。使用自定义策略,可以将要列入黑名单的可执行文件以 CSV 文件的形式上传,并可以立即包含在应用程序黑名单中。
使用 Application Control Plus 的端点权限管理功能,在消除不必要的本地管理员帐户后,组织可以允许所选自定义组的用户在运行特权应用程序列表中的应用程序时自行提升其权限。