Applocker

From EIK wiki

Autor

Applocker tree.png

Tõnis Umbsaar

Rühm A31

2013

Sissejuhatus

AppLocker on funktsioon, mis võeti kasutusele Windows 7 ja Windows Server 2008 R2 versioonides. See võimaldab ära määrata, millised kasutajad või grupid saavad kindlaid programme käivitada. Applockerit kasutades saab paika panna, kes ja mida käivitada saab.

Applocker

Applocker võimaldab süsteemi administraatoril määrata programmide käivitamisreeglid. Selle eelkäija Windows süsteemides oli Software Restriction Policies funktsioon. Võrreldes eelkäijaga muudab see administraatori elu pigem kergemaks, kuna sellel on võimalus auditi-režiimis testida kuidas mingi reegel midagi mõjutab. Lisaks on sellel võimalus luua mitu reeglit korraga, eksportida ja importida neid, või hoopis kasutada Powershelli reeglite loomiseks.

Kasutades Applockerit saab:

1. Luua reeglid pidades silmas faili autorit, nime, versiooni ja digitaalallkirja.

2. Määrata eraldi reegli grupile või kasutajale

3. Luua erandeid reeglitele. Näiteks, kõik Windows protsessid võivad käia, välja arvatud Regedit.exe

4. Auditi režiimil proovida reeglit enne kui selle reegli kasutusele võtad.

5. Importida ja eksportida reegleid. Poliisi eksportides lähevad kaasa kõik reeglid.

6. Lihtsustada reeglite tegemist Powershelli abil.


Reeglite kollektsioonid:

Käivitatavad – .exe ja .com

Skriptid - .ps1; .bat; .cmd; .vbs; .js

Windows Installer - .msi ja .msp

DLL - .dll ja .ocx


NB! Kasutades DLL reegleid, peab iga DLL reegli kohta tegema DLL Allow reegli.

Kuidas luua Applockeri reeglit

1. Startmenüüsse trükkida „secpol.msc“ ja vajutada Enter.

2. Tekkinud akna vasakust menüüst Security Settings – Application Control Policies – Applockeri peal topeltklikk.

3. Paremklikiga soovitud alamgrupi peal saab luua reeglit valides „Create New Rule.“

4. „Before You Begin“ lehelt vajutada Next.

5. Sellel lehel saab Allow või Deny-ga lubada või keelata faile reegli sees.

6. Klikkides Selecti peal saab määrata vastava kasutaja või grupi. Seejärel OK ja Next

7. Järgmisena tuleb valida reegli tingimus: Publisher, Path või File hash ja klikkida Next

8. Sõltuvalt tingimusest, on vaja lisa kriteeriume:

  • Publisher-i reegel: tuleb valida fail, kust võetakse kirjastaja informatsioon.
  • Path-i reegel: tuleb valida fail, kaust või trükkida faili full path
  • File hash-i reegel: tuleb valida fail või kaust.

9. Nime lünka saab määrata reegli nime.

10. Description lünka saab defineerida mida reegel teeb.

11. Klikkida Create nupul.


Applockeri reegli loomine Powershelli kasutades

Esmalt tuleb Powershell käivitada ning importida Applockeri moodul järgneva käsuga:

C:\PS> Import-Module AppLocker

Süntaks on moodulil järgnev:

New-AppLockerPolicy [-FileInformation] <FileInformation[]> [-RuleType <RuleType[]>] [-RuleNamePrefix <String>] [-User <String>] [-Optimize <Boolean>]

[-IgnoreMissingFileInformation <Boolean>] [-XML <Boolean>] [<CommonParameters>]

Näidisreegli loomine. See laseb kõigil kasutajatel käivitada .exe faile kaustast C:\Windows\System32.

C:\PS>Get-ChildItem C:\Windows\System32\*.exe | Get-AppLockerFileInformation | New-AppLockerPolicy -RuleType Publisher, Hash -User Everyone -RuleNamePrefix System32

Kasutatud kirjandus

http://technet.microsoft.com/en-us/library/dd759075.aspx

http://technet.microsoft.com/en-us/library/ee460963.aspx

http://technet.microsoft.com/en-us/library/dd759113.aspx

http://technet.microsoft.com/en-us/library/ee791828(v=ws.10).aspx

http://technet.microsoft.com/en-us/windows/dd320283.aspx

http://technet.microsoft.com/en-us/library/dd759068.aspx