การอนุญาตเฉพาะแอปพลิเคชัน (Whitelisting) ด้วย Software Restriction Policies
Software Restriction Policies (SRPs) เป็นฟีเจอร์ที่ใช้ Group Policy ใน Active Directory (AD) ซึ่งมีหน้าที่ในการตรวจสอบและควบคุมการทำงานของโปรแกรมต่าง ๆ บนคอมพิวเตอร์ที่อยู่ในโดเมน AD โดยผู้ดูแลระบบสามารถตั้งนโยบายเพื่อจำกัดการรันสคริปต์หรือแอปพลิเคชันที่ไม่น่าเชื่อถือได้ การใช้ SRP เพื่อทำ application whitelisting จะช่วยเพิ่มความมั่นคงปลอดภัยของโดเมนโดยป้องกันไม่ให้โปรแกรมอันตรายรันขึ้นมาได้
การตั้งค่า SRP เพื่อใช้ในการ Whitelisting แอปพลิเคชัน
ลองนึกถึงสถานการณ์ที่ผู้ใช้ติดตั้งโปรแกรมโดยไม่แจ้งผู้ดูแลระบบ โปรแกรมนั้นอาจไม่ได้รับการอัปเดตหลังจากมีช่องโหว่สำคัญถูกเปิดเผย ซึ่งเสี่ยงต่อการถูกมัลแวร์โจมตี ดังนั้น แอปที่ยังไม่ได้อัปเดตความปลอดภัยไม่ควรถูกรันจนกว่าจะมีการแก้ไข โดยการใช้ application whitelisting ผู้ดูแลระบบจะสามารถอนุญาตให้เฉพาะโปรแกรมที่ได้รับอนุมัติสามารถทำงานได้ ส่วนโปรแกรมอื่น ๆ จะถูกบล็อกโดยอัตโนมัติ
หากต้องการตั้งค่า SRP ในโหมด path-based whitelisting ด้วยการตั้งค่าที่ปลอดภัยที่สุด ให้ทำตามขั้นตอนต่อไปนี้:
เปิด Group Policy Management
คลิกขวาที่ domain หรือ subfolder ที่ต้องการสร้าง GPO ใหม่ หรือเลือก GPO ที่มีอยู่แล้ว จากนั้นคลิกขวาแล้วเลือก Edit เพื่อเปิด Group Policy Management Editor
ไปที่ User Configuration > Policies > Windows Settings > Security Settings > Software Restriction Policies
คลิกขวาที่โฟลเดอร์ Software Restriction Policies แล้วเลือก New Software Restriction Policies
ดับเบิลคลิกที่ Enforcement เลือก All software files และ All users แล้วคลิก OK ตามที่แสดงในภาพ Figure 1
รูปที่ 1: การตั้งค่า Enforcement (การบังคับใช้นโยบาย)
ดับเบิลคลิกที่ Security Levels > Disallowed จากนั้นคลิกปุ่ม Set as default และคลิก Yes เมื่อมีหน้าต่างเด้งขึ้นมาตามตัวอย่างในรูปที่ 2 แล้วคลิก OK
รูปที่ 2: การตั้งค่า Disallowed เป็นระดับความปลอดภัยหลัก
คลิก Additional Rules เพื่อดูเส้นทางของไฟล์เริ่มต้น (default paths) ที่อนุญาตให้รันโปรแกรมได้ ซึ่งมักเป็นไฟล์ที่อยู่ภายใต้ SystemRoot และ ProgramFiles โดยดูตัวอย่างได้ในรูปที่ 3
ปที่ 3: กฎเส้นทางเริ่มต้น (Default Path Rules) สำหรับการอนุญาตแอปพลิเคชัน
หากต้องการเพิ่มกฎเส้นทางใหม่ ให้คลิกขวาที่โฟลเดอร์ Additional Rules และเลือก New Path Rule
ในกล่อง New Path Rule ให้ระบุ Path หรือคลิก Browse เพื่อเลือก Path
จากเมนูแบบดรอปดาวน์ Security level ให้เลือก Unrestricted
ใส่คำอธิบาย แล้วคลิก OK
เมื่อเพิ่มกฎนี้แล้ว โปรแกรมทั้งหมดที่อยู่ในเส้นทางที่ระบุจะสามารถทำงานได้ ตราบเท่าที่ไลบรารีของโปรแกรมนั้น ๆ ถูกโหลดมาจากเส้นทาง C:\Windows\ และ C:\Program Files\
Figure 4. Error message for a program loading libraries from a disallowed path.SummaryApplication whitelisting using an SRP defines which applications are allowed and prevents unauthorized programs from running, which in turn protects your Windows environment. Whitelisting keeps your enterprise protected from emerging threats while still allowing users to run the applications they need to perform their duties. Application whitelisting will save you time and money by preventing costly downtime, recovery, and remediation efforts.