1. Strona główna
  2. Wiadomości

Białe listy: kontrola środowiska aplikacyjnego

  • Józef Muszyński,

Poziom odniesienia. Przy instalowaniu białych list cenna jest możliwość audytu komputerów, w wyniku którego tworzy się startowe listy odniesienia. Administratorzy ustawiają na komputerze dopuszczenie całego zainstalowanego na nim oprogramowania i następnie uruchamiają proces audytu, którego wyniki posłużą do utworzenia białej listy. Administrator może przeglądać tak utworzoną listę i wprowadzać do niej zmiany przed implementacją. Można utworzyć wzorcowy komputer zawierający całe programowanie pracujące w danym środowisku, albo wiele obrazów poziomu odniesienia, z których każdy najlepiej reprezentuje specyficzny segment lub jednostkę biznesu. Często te obrazy są maszynami wirtualnymi, startowanymi i ponownie poddawanymi procesowi audytu, kiedy konieczne jest dodanie nowego lub usunięcie starego oprogramowania.

Użytkownik i grupy kontrolne. Większość programów białej listy dopuszcza definiowanie uprawnień użytkownika i grup użytkowników. Tym sposobem można pozwolić uprzywilejowanym użytkownikom na wykonywanie pewnych zadań (administratorzy np. mogą mieć uprawnienia uruchamiania pewnych zadań administracyjnych lub programów). W tej funkcjonalności najważniejsza jest szczegółowość. Jeżeli używa się Microsoft Active Directory, należy się upewnić, czy produkt integruje się z AD tak, aby uzyskać z usług katalogowych listy użytkowników i grup. Możliwość definiowania na poziomie jednostek organizacyjnych jest olbrzymią zaletą w większości środowisk AD.

Zaufane instalowanie. Jednym z największych problemów jest to, jak radzić sobie z uaktualnianiem i instalowaniem aplikacji. Pierwsza generacja białych list nie oferowała zbyt wiele w tym zakresie: jeżeli instalowało się przeglądarkę i otrzymywała ona uaktualnienia lub łatki, to za każdym razem konieczne było poddanie nowego oprogramowania całemu procesowi zatwierdzania białej listy. Ponieważ wiele programów uaktualnianych jest co miesiąc, a czasami nawet codziennie, prowadzi to do dużego obciążenia administracyjnego, które szybko niweluje korzyści ze stosowania białych list.

Obecne rozwiązania zawierają mechanizm "zaufanego uaktualniania". W niektórych przypadkach to administrator definiuje, które programy są "zaufanymi instalatorami" (SMS, SCCM, PathLink) i wszystko co instalują automatycznie jest dopuszczane. Inne pozwalają na definiowanie zaufanych ścieżek, np. do plików współdzielonych w sieci. Każda aplikacja lub oprogramowanie uruchamiane z takiej zaufanej ścieżki są automatycznie dopuszczane.

Lumension Application Control może tworzyć reguły białych list dla wszystkich typów plików, aczkolwiek domyślnie tylko dla wykonywalnych. Mechanizm Exe Explorer pozwala na ujawnianie indywidualnych plików i ich atrybutów w procesie skanowania lub w oparciu o zawartość własnej bazy danych. Pliki są i

Kontrola konfiguracji. Wiele programów zawierających białe listy wychodzi poza proste kontrolowanie plików i programów. Pozwala na definiowanie zadań administracyjnych (defragmentacja, zmiana haseł, ustawianie rozdzielczości ekranu i wygaszacza ekranu) i umożliwia administratorowi kontrolowanie, które z nich zwykły użytkownik może sam wykonywać, a które nie. Jest to mechanizm bardzo wygodny. Warto zapoznać się, które zadania administracyjne są predefiniowane w aplikacji białej listy. Zazwyczaj takie listy nie mogą być poszerzane czy modyfikowane.

Tryb audytu. Większość rozwiązań pozwala na zdefiniowanie oraz zaimplementowanie wszystkich reguł i następnie uruchomienie programu klienckiego w trybie audytu. Oprócz funkcji wspomagającej określanie poziomu odniesienia, audyt jest bardzo dobrym sposobem sprawdzenia poszczególnych konfiguracji białych list w środowisku produkcyjnym bez powodowania problemów operacyjnych.

Komunikacja z użytkownikiem końcowym. Każdy program białej listy ma wbudowaną funkcję komunikacji z użytkownikiem końcowym, który otrzymuje komunikaty o zablokowaniu programu lub procesu. Niektóre komunikaty nie mogą być zmieniane, ale w większości programów można zmieniać treść komunikatu oraz miejsce i czas wyświetlania. Najlepsze programy pozwalają użytkownikowi końcowemu na interakcje: zakwestionowanie blokady, domaganie się podania przyczyny jej zastosowania czy żądanie szybkiej aprobaty obejścia reguły. Niektóre programy, by zrealizować te funkcje mogą się w tym celu integrować z oprogramowaniem help desk.

Inne mechanizmy. Tak jak każde inne oprogramowanie, białe listy uzupełniane są o coraz to nowe mechanizmy. Należy do nich m.in. łagodzenie skutków przepełnienia bufora przez program - nie zapobiegnie to pojawieniu się przepełnienia bufora, ale zapewni, aby program złośliwy - instalowany zazwyczaj w fragmencie przepełniającym bufor - nie został uruchomiony. Inny mechanizm ochroni przed modyfikacją kluczowych plików konfiguracyjnych systemu, wyszukiwaniem plików, wyszukiwaniem poświadczeń uwierzytelniania itp.