Windows 7 / Server 2008 R2: Jak funguje AppLocker a BranchCache?

12. 1. 2010

Sdílet

AppLocker a BranchCache jsou dvě nové funkce systémů Windows 7 a Windows Server 2008 R2. Přibližme si jejich možnosti.

Zatímco prvně jmenovaná výrazně mění možnosti administrátora řídit spouštění aplikací ve firemním prostředí, technologie BranchCache optimalizuje proces výměny dat mezi centrálou a oddělenými lokalitami s připojením kvalitativně nižších parametrů.

AppLocker
Základním mechanizmem, jak v prostředí Windows ovlivnit chování uživatele a jeho pravomoci, je samozřejmě účet uživatele a nastavení objektů skupinových politik (GPO). Ve standardním prostředí Windows tak uživatel pracující na úrovni "user" nemůže samozřejmě provádět změny v nastavení systému, na které nemá právo, ani instalovat aplikace.

Problémem je, když chce použít nějakou aplikaci, která se do systému instalovat nemusí. Stačí pouze aplikaci nahrát do umístění, kam má právo zápisu, a spustit ji. Uživatel tak může učinit, aniž by se o tom administrátor dozvěděl a tím vzniká bezpečností riziko, které je potřeba pokrýt.

Většinou se jedná o jednodušší aplikace, například stažené z internetu, které mohou obsahovat malware, ale nutno podotknout, že dnes již existuje celá řada velkých aplikací, které jsou tzv. "portované", tedy upravené tak, aby šly spustit bez nutné instalace, i když jejich originály od výrobce se standardně instalují. To kromě rizika možného poškození dat či operačního systému počítače přináší do organizace i riziko porušení licenčních podmínek výrobce dané aplikace.

Je možné namítnout, že tyto situace je již dlouho možné ve Windows prostředí řešit pomocí pravidel SRP (Software Restriction Policy) obsažených ve skupinových politikách. To je sice pravda, ale nové systémy tuto možnost zásadně mění a přinášejí různé úrovně možného zabezpečení a nové cesty, jak aplikace povolovat. I v původní SRP bylo možné nastavit například to, aby bylo zakázáno spouštět cokoliv mimo tzv. "well known repository" (tedy mimo adresáře %systemroot%, %programfiles% apod.), ale mnohem složitější situace byla ohledně povolování jednotlivých aplikací nebo když přišly nějaké opravy nebo aktualizace.

AppLocker přistupuje k pravidlům povolování aplikací z několika směrů a umožňuje různé úrovně nastavení pro různé typy aplikací – od konkrétní verze .exe souboru (hash) až po možnost povolit vše od určitého výrobce apod.

Tím vzniká nepřeberné množství variant, jak prostředí nastavit, a zároveň se zjednodušuje správa aplikací, které jsou často aktualizovány (u pravidla týkajícího se verze lze poměrně lehce nastavit, zda bude povolena jen definovaná verze, nebo verze definovaná a novější). Pokud se uživatel rozhodne AppLocker testovat, případně používat, a bude konfigurovat pravidla, měl by ale dát pozor, aby si omylem nezakázal spouštění Windows jako takových. Díky této možnosti je totiž také standardně zastavena služba AppId Service, která umožňuje, aby pravidla definovaná AppLockerem fungovala. Musí se tedy spustit ručně (a následně nastavit její automatické spouštění), ale až ve chvíli, kdy uživatel ví, že má alespoň základní pravidla nastavena správně.

BranchCache

I když internetové spoje a páteřní sítě neustále zrychlují, stále existují u mnoha organizací pobočky, které se nacházejí v hůře dostupných lokalitách a využívají pomalé a málo stabilní formy připojení k centrále, kde se ve většině případů nacházejí datová úložiště, která potřebuje příslušné vzdálené pracoviště používat. Standardní model, ve kterém má uživatel přístupné nějaké datové úložiště využívající File services, funguje jednoduše – jakmile klient vyžádá ze strany serveru patřičný datový soubor, je mu odeslán. Vyžádá-li si tedy 50 klientů stejný datový soubor, je jim 50x odeslán.

Na gigabitové síti se rozdíl většinou nepozná, ale zkuste si představit pětimegabajtovou prezentaci nebo například fotografie (pojišťovny, reality, reklama...) a podobné soubory, které jsou opakovaně posílány přes pomalou synchronní linku nebo přes nízkorychlostní bezdrátové připojení – najednou nemůže pracovat nikdo a všichni čekají na uvolnění datového pásma.

Technologie BranchCache se snaží slabým datovým linkám odlehčit pomocí prostého mechanismu – ukládá soubory, které byly již jednou z centrálního úložiště na pobočku staženy, do lokální cache a následně, v případě požadavku klienta ze stejné pobočky na stejný soubor, mu jej již poskytne lokálně. Celý mechanizmus funguje velmi podobně jako například u cache internetového prohlížeče, kdy jsou webové stránky ukládány po určitou dobu lokálně v počítači, a pokud dojde k opakovanému požadavku na stejnou stránku, načte se z vyrovnávací paměti.

Distribuované řešení je vhodné pro pobočky bez jakékoliv serverové infrastruktury, ale může záviset na možnosti odpojovat jednotlivé prvky (třeba notebooky), čímž může být účinnost cache výrazně snížena. Zprovoznění celé služby je poměrně jednoduché – stačí instalovat roli serveru, zapnout službu, zajistit certifikát pro bezpečnou šifrovanou komunikaci a nastavit velikost prostoru na discích, kterou může služba využívat.

Autor je technologický specialista divize Windows Client ve firmě Microsoft.