samedi 21 août 2010

Protéger vos applications avec AppLocker

Microsoft AppLocker disponible sous Windows 7 permet de restreindre les applications qui peuvent être exécutées sur un poste. Cette fonctionnalité est très intéressante en entreprise pour éviter qu’un poste soit corrumpu par une application non nécessaire à l'entreprise et infecte ainsi les autres postes du réseau.

AppLocker permet par exemple d’interdire les applications portables (“portable apps”) présentes sur les clefs USB.

Dans cet article nous allons à titre d”exemple interdire l’application “notepad.exe”.

Pour cela nous allons définir un ensemble de règles dans AppLocker pour implémenter notre stratégie.

AppLocker nécessite que le service “Application Identity” soit démarré.

Lancer “secpol.msc” pour pouvoir gérer “Local Security Policy”. La configuration d’AppLocker se trouve sous “Application Control Policies”.

Par défaut il est possible de créer 3 types de règles pour:

  • les exécutables
  • les installeurs Windows
  • les scripts

Si vous sélectionnez “AppLocker/Properties/Advanced” vous pouvez activer un nouvel ensemble de règles pour les “dll”.

Créons une première règle pour interdire l’exécution de “notepad.exe

  • Sélèctionnons “Executables Rules/Create New rule…/Next/Deny” pour interdire un exécutable
  • Choisissons l’utilisateur ou le groupe d’utilisateurs auquel s’applique la règle: ”Everyone
  • Sélectionnons “Next” puis “Path” pour identifier l’exécutable par son chemin d’accès
  • Entrons le chemin de “notepad.exe” qui est “C:\WINDOWS\system32\notepad.exe
  • Sélectionnons “Next” puis “Create

La règle est créée et active. Mais “notepad.exe” se trouve aussi sous “C:\WINDOWS\notepad.exe”, il est donc nécessaire de créer une nouvelle règle pour cet autre chemin. On peut donc en conclure que toute autre copie de “notepad.exe” se trouvant dans un autre répertoire peut être exécutée.

ScreenShot015

Notre approche “black list” peut donc être associée à une approche “white list” donnant le chemin de l’exécutable autorisé.

Note: il est possible de tracer les actions d’AppLocker dans “Event Viewer/Applications and Services Logs/Microsoft/Windows/AppLocker”.

ScreenShot014

Note: En entreprise il est possible de déployer ces règles par GPO (Group Policy Objects).

Source: MISC n° 49 “Jouons avec Applocker” de Sylvain Sarméjeanne

Tags:

BuzzNet Tags: ,
del.icio.us Tags: ,
Technorati Tags: ,

samedi 14 août 2010

Sauvegarder vos données avec Toucan!

Toucan est une application portable, efficace et gratuite permettant de sauvegarder les données de votre clef USB.

La sauvegarde peut être lancée manuellement après une mise à jour de votre clef USB. Mais il est aussi possible d’automatiser la sauvegarde ! Toucan propose des commandes en ligne pour gérer vos sauvegardes mais c’est à vous de lancer ces commandes dans l’outil de votre choix.

Pour réaliser une sauvegarde il est nécessaire de configurer un “Job”. Ce “Job” permet de définir:

  • les paramètres de la synchronisation: nous utilisons l’onglet “Sync” pour sauvegarder nos données
  • l’origine de la sauvegarde (la clef USB peut être identifiée avec son label sans utiliser la lettre du drive: le label est MOBILE_DESK)
  • la destination de la sauvegarde
  • l’ensemble de règles qui doivent filtrer les données à sauvegarder: ici “Rule1
  • la fonction de Toucan qui doit être appelé: la fonction “Copy” est utilisée pour simplement copier les fichiers de l’origine vers la destination (quel que soit leur âge). Avec “Copy” aucun fichier n’est supprimé. Toucan propose de nombreuses autres fonctionnalités. Pour plus d’informations vous pouvez consulter la documentation et les forums.
  • les paramètres optionnels: nous avons sélectionné “Retain timestamps” pour permettre à l’origine et à la source d’avoir la même date et heure.

ScreenShot012

Un seul ensemble de règles de filtrage appelé “Rule1” a été créé. C’est dans l’onglet “'Rules” qu’il est possible d’ajouter de nouveaux ensembles de règles. Ces ensembles de règles permettent d’inclure ou d’exclure certains répertoires ou fichiers lors de la sauvegarde. Dans notre cas les exécutables des applications portables ainsi que les fichiers multimédia ne sont pas sauvegardés.

ScreenShot013

PStart peut être utilisé pour lancer une sauvegarde (cf l’article Transformer votre clef USB en bureau "mobile"!). La ligne de commande permettant de lancer une sauvegarde est formée du nom de l’exécutable “Toucan.exe” avec en paramètre le nom du “Job Name” appelé “Backup” dans notre exemple.

ScreenShot011


Tags:

Technorati Tags: ,
BuzzNet Tags: ,
del.icio.us Tags: ,

Partager avec...