恰巧,白名单黑名单对比的话题上来了很多,当我说给客户。这些问题似乎总是围绕着保护这两种方法之间的利弊。遗憾的是,由于某种原因,似乎有在周围实施关系到白名单应用程序/代码如何在系统上执行的恐惧。话虽这么说,我认为这可能是一个很好的讨论......
根据定义,白名单是在环境中被授予一组特权(访问、服务、有效性等)的实体的列表。相反,黑名单也是实体的列表。但是,在这种情况下,它们被拒绝了一组特权。更好地定义与如何实现这些概念来控制应用程序和代码的执行有关的概念。白名单仅用于定义允许执行的内容。然而,任何不在白名单上的内容都不能执行。另一方面,黑名单仅用于定义不能执行的内容。因此,只要没有被“列入黑名单”,任何事情都可以执行。
在阅读了前一段之后,您一定已经发现了两个引人注目的问题,它们是讨论的主题。首先,大多数组织都担心使用白名单,因为它可能会对用户产生影响,并且会增加管理该列表的it资源。另一方面,大多数组织也认为通过黑名单来明确否认一些事情既不是最有效也不是最积极的保护环境的方法。所以问题总是归结为:该做什么,为什么?
与往常一样,我的回答这样的问题,最好的办法依赖于正在使用,以防止应用程序和代码执行的解决方案。例如,如果解决方案包含一个非常基本的执法方法实现规则作为文字是或否基于可执行文件名或哈希语句,那么最好的选择可能是单独使用黑名单。毕竟,使用白名单与这种强制方法可以是一个噩梦来管理,同时也极大地影响最终用户的工作效率。
然而,我也可能会说,使用这样一个功能有限的解决方案集是一堆废话。虽然这是一个强有力的声明,但考虑到现在是2009年,而不是2000年,我不得不这样说。因此,随着2010年的临近,需要注意的是,市场上出现了过多的端点保护解决方案/技术。幸运的是,这些解决方案/技术的工程师都是非常聪明的人,他们也提供了实现执行规则的方法,这样就可以很容易地采用白名单方法。
微软的AppLocker就是一个很好的例子。有了这个解决方案,定义规则的方法就足够灵活,可以有效地平衡强制、管理和生产力。现在,我不会说AppLocker是端点保护的最终游戏。但作为一个内置的针对Windows的解决方案,它有能力完成这项工作。为了扩展这个概念,让我们假设我要定义一组AppLocker规则,以便执行以下命令:
- 管理员可以执行并安装所有应用程序。
- 高级用户可以执行所有应用程序。
- 用户只能执行所允许的应用程序。
- 所有与Windows相关的二进制文件。
- Microsoft Office 2007或更高版本。
- Internet Explorer IE8或更高版本。
- 针对第三方应用程序的显式二进制文件。
嗯...这一切是可能的,而且很容易实现。例如,使用下面的步骤,让所有的Windows相关的二进制文件的执行:
- 使用AppLocker接口,创建一个新规则。
- 设置允许-每个人的权限。
- 选择条件为出版商。
- 接下来,查找与Windows相关的可执行文件。我的建议是使用explorer.exe。
- 选择参考可执行文件后,使执法是按照商品名称(Microsoft®Windows®操作系统)确定更改规则的属性。
- 单击Create。
- 做……
看,制定规则并不是那么难。而且,鉴于您可以基于用户的权利内置一定程度的灵活性,我认为没有理由不将最终用户限制为只允许执行的应用程序。只是我的拙见……
如果你喜欢这个,看看泰森一些其他职位:
- 计算机科学学位什么时候重要,什么时候不重要
- 从什么时候起计算成为云/需要的宣言?
- 为什么要使用证书颁发机构(CA)作为诱饵?
- 我会信任你,如果每个人都信任你?
- 这是一个很好的问题:是脚本编程还是仅仅是系统管理?
- PowerShell的男孩和失踪的cmdlet的情况下!
- 有趣的PowerShell 2.0事件!
- 创建ASP.NET Web应用程序自定义404页,手柄链接重定向
如果你愿意,你也可以看看泰森的最新出版物:
- Windows PowerShell释放(2nd版)
- Windows Server 2008发布(是的,我确实帮助了这本书)