和Device Control同屬Endpoint Security系列的Application Control(AC),兩者的系統整體架構、安裝與部署方式完全一樣,但AC所針對的防護對象是一般Windows執行檔,以及VBScript、微軟Office VBA 、JavaScript等Script和巨集,而且會搭配一份集中儲存在資料庫的清單,記錄已授權的應用程式與使用者資訊,確保應用程式相關檔案都是經過管理者合法授權的。

換句話說,任何未經系統管理者許可的程式,都不能在使用者電腦上執行。因此,這樣的系統可以用來防護惡意程式與間諜軟體。

清點欲控管電腦的應用程式授權後,再予以控管

建置上,先安裝Lumension Endpoint Security平臺(依資料庫、應用伺服器與管理主控臺等順序安裝),接著是透過專屬的工具將個人端程式遠端部署到欲控管的員工電腦上。之後的設定方式則和Device Control有很大的差異。例如,要先執行Authorization Wizard模組,來盤點應用程式軟體資產,它會掃描電腦上既有的檔案和資料夾、收集電腦上的可執行檔,並計算出SHA-1 Hash特徵值、將可辨識的檔案歸到指定的檔案群組(File Group),進而建立清單。AC檔案群組的管理上,目前也支援階層化的結構,因此可以搭配好幾層的檔案群組。

Authorization Wizard搜尋的目標,包含微軟作業系統相關的應用程式,以及壓縮檔,像是自動解壓縮的ZIP檔、RAR、MSI、微軟CAB檔。不過根據原廠的文件來看,這套工具目前無法掃描指令碼或巨集,也不支援Setup.exe(它是自動解壓縮檔,但AC會誤判為一般執行檔)。

接下來要設定檔案群組的管理,依企業環境的需要來建立不同檔案群組,然後將執行檔的所屬群組指定到類別,例如我們可以將regedit.exe,設定到自行新增的「System tools」檔案群組。

若要將執行檔配置到不同檔案群組,在管理主控臺上有幾個AC模組都可以操控,但假如要對檔案群組的項目進行新增、刪除與更名,就要先執行Database Explorer、Exe Explorer或Scan Explorer等模組,接著在主控臺視窗上的Explorer項目下,從Manage File Groups的選項操作。

處理好檔案群組後,接著是要將這些設定對應到網域的身分,將它們根據不同的使用者、部門群組來套用。這樣一來,受控管的個人端電腦所執行的檔案和能執行的使用者,也都確定是經由IT人員所合法授權。例如,我們可以設定「Everyone」能執行開機或共通的系統檔案,而「系統管理者」可以進一步執行控管IT環境所需的工具程式。

當設定完成之後,管理者可以將Execution Blocking模式改成強制阻擋,讓所有未經AC授權程序的檔案都無法執行,而且留下記錄。Lumension Endpoint Security的個人端程式會從作業系統的層級(核心驅動程式)監控,在使用者打算執行檔案時執行合法性的比對程序。運作上,每當檔案載入到電腦的記憶體時,系統將會暫停執行並計算二進位檔的SHA-1 Hash,當數值產生後,會在個人端電腦上,與已批准的檔案授權清單相比對。

清單的比對,AC同樣分成兩階段來執行:先比對存放在Lumension Endpoint Security資料庫的集中式檔案特徵清單,再比對存放在本機的清單。假如都不符合,在預設的Local Authorization選項是啟用的狀況下,使用者可決定是否授權給這支系統無法確認合法性的程式,使它能夠執行。

可針對Script加以控管,但DLL檔須手動設定所屬的檔案群組

除了Windows執行檔,AC可以控管多種Script的執行,不過限制是指定的副檔名必須要是VBS(VBScript)、JS(JavaScript)。至於Office VBA,因為是嵌在Office檔案內,而且是在Office應用程式內部執行而非以獨立檔案存在,因此AC的做法是透過Hash運算來針對整個Office文件檔案,而不是從巨集的內容去處理。關於這類執行檔的防護和事件記錄,AC預設是停用的,若要啟用,要到預設選項中修改設定。

除了上述的應用程式類型,一般Windows執行檔在運作時,通常也需要搭配動態連結函式庫的檔案,像是DLL檔、OCX檔(包含ActiveX控制項的函式庫)、DRV檔(早期版本的Windows驅動程式),不過AC目前只能呈現這些檔案,並用手動辨識和授權,無法透過Scan Explorer和Authorization Wizard的批次掃描,來自動化配置所屬的檔案群組。

另一種情況也要考量,那就是應用程式在部署到個人端電腦後,有些需要經常更新,像是防毒軟體,而AC透過對檔案Hash運算比對的基本做法,就可能會無法適用。但這套系統有其他做法來補救:路徑規則。管理者可以從AC主控臺工具選單中的Path Rules,設定多組路徑規則,來針對執行檔所在的不同資料夾,搭配執行身分(擁有權)來管理檔案授權的更新。

如果只是偶而更新或突然要安裝新的軟體,從AC主控臺上最簡單的做法,是透過Authorization Wizard去掃描磁碟或資料夾;也可以須執行Scan Explorer建立該套軟體的範本,以便授權;或是從Log Explorer來辨識軟體所屬的檔案群組,然後再授權給使用者。

另一個控管上的難題,是Windows作業系統每個月都會發布安全修補程式,或是Service Pack等重大更新。而AC的對應做法是用獨立的工具,來搭配微軟的SUS(Software Update Services)或WSUS(Windows Server Update Services)的更新伺服器,換句話說,如果想將Windows系統所更新的應用程式納入AC控管,企業必須先架設SUS或WSUS。

實作上整合微軟更新的統一控管,管理者須加裝AC安裝資料夾下的Authorization Service工具,以便監控SUS、WSUS的更新,並且同步相關執行檔案的授權政策變更,以便自動修改AC的集中授權清單。

 

應用程式控管的功能涵蓋與Office巨集程式與Script,預設值為停用,若需用到該類防護,須至預設選項啟用。此外,若已完成相關的控管設定,打算全面落實,也要到預設選項中啟用「阻擋模式」。

 

對於Windows作業系統檔案,系統準備了標準定義檔(Standard File Definitions,SFD)供匯入,這些是已完成分類的預設應用程式檔案白名單,可協助快速辨識與套用所屬的檔案群組。原廠提供的SFD檔,目前能支援英法德西義等語言的Windows 2000∼Vista。

 

Exe Explorer預設針對的執行檔類型,包括EXE、DLL、OCX、COM、SYS、DRV、CPL等,若要在管理介面呈現磁碟中的其他檔案,可指定副檔名。

 


產品資訊
建議售價●每人2,400元(249人內)ˉ原廠●Lumensionˉ網址●www.lumension.com    經銷●中華數位ˉ電話●(02)8758-2804ˉ應用程式伺服器硬體需求●512 MB、Pentium Dual-Core等級處理器、3 GB以上硬碟空間ˉ作業系統需求●Windows Server 2003 SP2(32位元)/Server 2008/2008 R2ˉ資料庫需求●SQL Server 2005 SP2/2008
 

【註:規格與價格由廠商提供,因時有異動,正確資訊請洽廠商。】


Advertisement

更多 iThome相關內容