AppLocker

From EIK wiki

Mis see on?


AppLocker(Application Locker) on uus funktsioon Windows 7's ja Windows Server 2008 R2's, mis võimaldab teil määrata, millised kasutajad või rühmad võivad käivitada konkreetseid faile teie organisatsioonis tuginedes failide unikaalsetele omadustele. Kasutades AppLocerit, saate luua reegleid lubamaks või keelamaks rakenduse kasutamist. AppLockerit võib võrrelda ka varasematel Windowsi versioonidel olevate Software Restriction Policies’ dega.

Miks on see kasulik?


Softweare Restriction Policied ei olnud administraaatorite seas populaarsed, kuna nende konfigureerimine võttis kaua aega ja oli ebamugav. AppLocker on tunduvalt ajasäästlikum ning võimsam. Sellega loodud reeglitest on tunduvalt raskem “mööda hiilida”, kui oli seda vanasti. AppLockeriga rakenduste üle kontrolli omamine on kasutajale lihtne ning selle kasutamine paindlik. AppLocker pakub reeglitele baseeruvat struktuuri, täpsustamaks, millised rakendused võivad töötada ja milliseid rakendusi kasutaja saab kasutada.

Mida sellega teha saab?


Tänapäevased organisatsioonid seisavad silmitsi mitmete väljakutsetega, millele AppLocker aitab luua lahendusi:

Milliseid rakendusi on kasutajal õigus käivitada ning millist tarkvara installeerida.

Rakenduste eriversioonide lubamine ja keelamine

Litsentsiga rakenduste kontrollimine

Litsenseerimata tarkvara kasutamise keelustamine.

Kahjustava, autoriseerimata tarkvara vältimine.

Takistada kasutajaid jooksutamast rakendusi, mis ilma vajaduseta tarbivad võrku või muul viisil ettevõtte töökeskkonda koormavad.

Pakub rohkem võimalusi effektiivsemaks arvuti konfiguratsiooni haldamiseks.

Aitab tagada, et arvuti keskkond oleks koostöös korporatsiooni poliiside ning tööstuse regulatsioonidega.


Applocker pakub IT administraatoritele jõulist kogemust läbi uute reegliloomise tööriistade ning viisardite. Näiteks saab IT administraator automaatselt genereerida reegli, kasutades testimisarvutit ning importides reeglid toote keskkonda. Administraatorid saavad kontrollida järgnevat tüüpi rakendusi: käivitatavad failid (.exe ja .com), skriptid(.js, .ps1, .vbs, .cmd ja .bat), Windows Installer'i faile(.msi ja .msp) ja DLL faile(.dll ja .ocx). See aitab organisatsioonil vähendada kulutusi arvutite haldamisele vähendades kõnede arvu help deski'i, kasutajate poolt, kes kasutavad sobimatuid rakendusi.

Milliseid reegleid saab luua ja mida need endast kujutavad?


AppLocker toetab viit tüüpi reegleid: Path Rules, File Hash Rules, Publisher Rules, Internet Zone Rules, Network Zone Rules.


Path Rulesi abil on võimalik piirata programmide täidesaatmist kindlal kataloogi rajal. Näiteks on võimalik lõppkasutajal lubada rakendusi avada ainult Windows Program Files’ i folderist. Selle reeglitüübi probleemiks on tõsiasi, et kasutajatel on sageli vaja rakendusi käivitada teistest asukohtadest, näiteks failiserverist.

Hash Rules kasutab täidetava programmi krüptograafilist hash' i, selleks, et kindlaks teha, kas tegu on õigusjärgse programmiga. Selle reeglitüübi miinuseks on tema modifitseerimine, mida tuleb teha igakord, kui programmi on uuendatud.

Publisher Rules tuvastab, kas rakendus baseerub rakenduse digitaalsel signatuuril, mis oli kirjastaja poolt levitatud. Neid võib võrrelda Software Restriction Policies Certificates Rules' idega, kuid Publisher Rulesid on keerukamad. Enamikel uutel rakendustel on allkiri(signature), mida saab kasutada Publisher Rulesidele. Windows Vistas ja Windows 7- s on võimalik seda allkirja näha läbi täidesaatva programmi file properties' de. (Publisher rulesi kutsutakse ka Certificate rules' ideks.)

Internet Zone Rules on klassikalised näited heast ideest, mis oli halvasti teostatud. Selle reegliliigi põhiidee on takistada kasutajatel Internetist rakenduste allalaadimist ning installeerimist. Internet zone rulesil on ka pahupooli, nimelt rakenduvad nad ainult MSI failidele (Windows installer packages) ning ainult sellel ajal, kui faili alla laetakse. See tähendab seda, et kui kasutaja laeb alla Zip faili, mis sisaldab rakendust, ei suuda Internet zone rule seda rakendust installeerimast keelata.

Network Zone Rules on sarnane Internet zone rulesile, kuid ta pigem uurib Interneti tsooni, kust faili alla laetakse. Nad uurivad võrgu asukohta, kus fail hetkel eksisteerib. Näiteks, on võimalik luua policy, mis lubab kasutajal jooksutada vaid rakendusi, mis on installeeritud local computerisse. Selle reeglitüübi suureks probleemiks tõsiasi, et reegli kehtestamisel peab rakendus olema juba kasutaja(reegli kehtestaja) võrgu piirkonnas.

AppLockeri põhilised strateegiad


Selleks, et ohutult AppLockerit kasutada, on vaja aru saada Microsofti põhilisest filosoofiast, mis puudutab AppLockeri reegleid. See filosoofia pöörleb ümber idee, et on olemas kindlad rakendused, mida organisatsioonides kasutatakse ja millega töötatakse. Kontrastiks võib tuua fakti, et on olemas lõpmatult rakendusi, mida organisatsiooni töös ei ole vaja kasutada. Näiteks mõned rakendused, mis ei ole mõeldud kasutamiseks või pole heaks kiidetud tööjuures, võivad sisaldada või kaasata vanemaid versioone rakendustest, mida hetkel kasutatakse, olgu nendeks video mängud, paha tarkvara, võrgu tarkvara vms.

Igatahes on selge see, et on palju rohkem tarkvara, mida kasutajad ei peaks kasutama, kui tarkvara, mida kasutajad peaksid kasutama, eriti rääkides organisatsiooni tööst ning sealsetest arvutikasutajatest. Sellisel juhul on tunduvalt lihtsam täiendada Windowsi whitelistiga lubatud tarkvaraga, kui blokeerida igat üksikut programmi, mida kasutaja ei peaks kasutama. See ongi Microsofti AppLockeri reeglite taga olev filosoofia.

AppLockeri reeglid on organiseeritud kollektsioonidesse. Kuigi on võimalik luua konkreetset keelamist, AppLockeri reeglid peaksid olema mõeldud kui mehhanism, mis lubab ligipääsu millelegi. Jällegi meeldetuletuseks, on lihtsam mõnel rakendusel lubada töötada kui keelata kogu tarkvara, mis ei ole mõeldud kasutamiseks. Kui luua vähemalt üks reegel reeglikollektsiooni, eeldab Windows automaatselt, et tahetakse vältida kõige muu töötamist.

See on äärmiselt oluline kontseptsioon, millest aru saada, sest kui administraator soovib, et kasutajad omaksid ligipääsi näiteks Microsoft Office' ile või Internet Explorerile, siis ta loob reegli, mis annab kasutajatele ligipääsu nendele konkreetsetele rakendustele. Kui administraator loob sellise reegli, siis automaatselt on see keelustanud kõige muu kasutamise, kaasaarvatud Windows operatsioonisüsteemi. Valesti Applockeri reeglit luues on lihtne juhuslikult kasutaja jätta Windowsile ligipääsuta.

Reegleid luues on võimalik administratiivsete lubadega kasutajaid hoida eemale administratiivsetest tööriistadest ning saab luua erandi helpdeski koosseisule. Siiski ei ole võimalik lihtsalt panna keeldu peale administrative toolsile. Selle asemel tuleb anda kõigile ligipääs Windows system failidele ning sealt on võimalik keelata administratiivsetele tööriistadele juurdepääsu teatud grupile kasutajatest(väljaarvatud helpdesk töötajatele). Selleks et säilitada helpdeski meeskonna juurdepääs ei pea aga midagi eraldi tegema, sest kõigil on juurdepääs Windows system failidele ning vaid kindlal grupil inimestest puudub juurdepääs administrative tools' idele.

Mida vaja on?


AppLocker on saadaval kõigis variantides Windows Server R2's (Windows Server 2008 R2 Standard, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Datacenter, Windows Server 2008 R2- Itanium-Based Systems), Windows 7 Ulitmate's ja Windows 7 Enterprise's.

AppLockeri reeglite loomiseks on vaja arvutit, mis töötab Windows Server 2008 R2, Windows7 Ultimate, Windows 7 Enterprise või Widows 7 Professional operatsioonisüsteemi peal. Professionali saab kasutada reeglite loomiseks, aga Windows 7 Professionali peal töötav arvuti ei saa reegleid kehtestada. Arvuti võib olla domeenikontroller.

Group Policy kasutuselevõtuks, vähemalt ühte arvutit, kus Group Policy Management Console (GPMC) või Remote Server Administration Tools (RSAT) on paigaldatud, AppLockeri eeskirjade hostimiseks.

Loodud AppLocker reeglite jõustamiseks on vaja arvutit, mis jookseb Windows Server 2008 R2, Windows 7 Ultimate või Windows 7 Enterprise operatsioonisüsteemil.

Reeglite loomine

Appication Identy käivitamine

Enne AppLocer reeglistiku jõustamist tueb käivitada Appication Identity teenus kasutades Service snap-in konsooli. Selle protseduuri sooritamiseks peate te kuuluma vähemalt lokaalsesse administraatorite gruppi.

1. Kliki Start, vali Administrative Tools ja sealt Services.
2. Services snap-in konsoolis tee topeltklõps Application Identity peal.
3. Application Identity Properties kastis, vali "Automatic" Startup type nimekirjast,
vajuta Start ja siis kliki OK.

Uue reegli loomine

1. Vajuta Start, kirjuta secpol.msc otsingukasti ja vajuta ENTER. Võid ka kasutada:
Start -> Control Panel -> Click System and Security -> Administrative Tools -> 
Local Security  Policy
2. Kui User Account Control dialoogi aken avaneb, kinnita, et tegevus, mida see näitab, 
on see, mida sa tahad ja vajuta Yes.
3. Konsooli "puul" tee topeltklikk Application Control Policies peal ja siis klõpsa kaks
korda ka AppLocker'i peal.
4. Parem klik soovitud reegli tüübil ja siis vali Create New Rule.
Uusreegel.png
5. Before You Begin lehel, vajuta Next.
Before.png
6. Vali Allow või Deny lubamaks või keelamaks reeglis sisalduvaid faile.
Allowdeny.png
7. Kliki Select. Select User or Group kasti kirjuta sobiv turvalisus grupp või kasutajad
ja kliki OK (antud näites valime kasutaja Jack' i). 
User.png
8. Vajuta Next.
Next.png
9. Kliki sobival reegli tingimusel, mis sobib selle reegli jaoks. 
Sa saad valida: Publisher, Path või File hash ja siis kliki Next.
Pbf.png
10. Olenevalt reegli tingimusest, mis sa valisid küsitakse sult erinevaid kriteeriume.
Krit.png
11. (Valikuline) Erandite lehel, täpsusta väljaandja või asukoht, 
mida soovid reeglist eemaldada ja vajuta Next. Erandit ei saa luua hash reegli kohta. 
Erandid.png
12. Nime kasti kirjuta nimi, millega tahad reeglit identifitseerida. 
Kirjelduse kasti kirjuta seletus, mis põhjendab reeglit. Vajuta Create.
Nimi.png
13. Peale reegli loomist tee kindlaks, et Application Identification on peal (start)
ning et see töötaks automaatselt(automatic), vastasel juhul reeglid ei tööta.
18.png
Kui kõik see on tehtud nind kasutaja logib oma kontoga sisse ning üritab pääseda ligi
keelustatud failidele, manatakse ekraanile järgnev sõnum:
19.png

Tudvustav video

Lühitudvustus (inglise keeles)

Reegli loomine

Kasutatud Kirjandus

http://technet.microsoft.com/en-us/library/dd548340%28WS.10%29.aspx

pildid:http://www.howtogeek.com/howto/6317/block-users-from-using-certain-applications-with-applocker/

http://www.microsoft.com/windows/enterprise/products/windows-7/features.aspx

http://4sysops.com/archives/review-windows-7-applocker-part-1-overview/

http://www.windowsnetworking.com/articles_tutorials/introduction-applocker-part1.html

Autor

Andre- Marcel Peri