Ограничение установки программного обеспечения

Запрещайте пользователям или группам устанавливать несанкционированное или неодобренное программное обеспечение для снижения риска внедрения вредоносных или уязвимых приложений. Это достигается с помощью разрешённых списков, политик ограничения программ, инструментов управления конечными точками и принципа наименьших привилегий. Данная мера может быть реализована следующими способами: Разрешённые списки приложений - Внедряйте Microsoft AppLocker или Windows Defender Application Control (WDAC) для создания и применения разрешённых списков одобренного программного обеспечения. - Включайте приложения в разрешённые списки на основе хэша файла, пути или цифровой подписи. Ограничение прав пользователей - Лишайте локальных прав администратора всех пользователей, не являющихся ИТ-специалистами. - Используйте RBAC для ограничения прав установки только привилегированными учётными записями. Политики ограничения программ (SRP) - Применяйте GPO для настройки SRP с запретом выполнения двоичных файлов из таких каталогов, как `%AppData%`, `%Temp%` и внешних носителей. - Ограничивайте конкретные типы файлов (`.exe`, `.bat`, `.msi`, `.js`, `.vbs`) только доверенными каталогами. Решения управления конечными точками - Развёртывайте инструменты Microsoft Intune, SCCM или Jamf для централизованного управления программным обеспечением. - Ведите перечень одобренного программного обеспечения, версий и обновлений в масштабах предприятия. Мониторинг событий установки программного обеспечения - Включайте регистрацию событий установки программного обеспечения и отслеживайте идентификаторы событий Windows Event ID 4688 и Event ID 11707 для установок программ. - Используйте инструменты SIEM или EDR для оповещения о попытках установки неодобренного программного обеспечения. Управление инвентаризацией программного обеспечения - Используйте инструменты OSQuery или Wazuh для сканирования неавторизованного программного обеспечения на конечных точках и серверах. - Проводите регулярные проверки для обнаружения и удаления неодобренного программного обеспечения. *Инструменты реализации* Разрешённые списки приложений: - Microsoft AppLocker - Windows Defender Application Control (WDAC) Управление конечными точками: - Microsoft Intune - SCCM (System Center Configuration Manager) - Jamf Pro (macOS) - Puppet или Ansible для автоматизации Политики ограничения программ: - Объект групповой политики (GPO) - Microsoft Software Restriction Policies (SRP) Мониторинг и ведение журналов: - Splunk - OSQuery - Wazuh (открытая платформа SIEM и XDR) - Средства EDR Управление инвентаризацией и аудит: - OSQuery - Wazuh