Windows juhend: Kuidas kasutada AppLockerit

From ICO wiki
Jump to navigationJump to search

Mis on AppLocker

AppLocker on töövahend, millega on võimalik hallata kasutajapoolset ligipääsu erinevatele programmidele. AppLockeri abil saavad administraatorid kontrollida, milliseid rakendusi ja faile kasutajad käivitada tohivad. AppLocker on kättesaadav järgmistel Windows operatsioonisüsteemidel: Windows 7 Pro, Windows 7 Ultimate, Windows 7 Enterprise, Windows 8 Pro, Windows 8 Enterprise, Windows Server 2008 R2, Windows Server 2012. Windows 7 Pro ja Windows 8 Pro puhul saab kasutada AppLockerit reeglite loomiseks ja neid näiteks serverisse importida, kuid reeglid ise eelmainitud operatsioonisüsteemi kasutatavatel arvutitel ei jõustu. AppLockeriga on võimalik kirjeldada reegleid, mis baseeruvad faili attribuutidel, kuid mis programmi uuenduste käigus ei muutu, näiteks väljaandja nimi või programmi nimi. Piiranguid on võimalik määrata ka faili asukoha järgi, määrata reegel kindlale kasutajagrupile või individuaalsele kasutajale. Luua reegleid ja kontrollida neid testserveril, enne nende töökeskkonda viimist. AppLocker lihtsustab administraatorite tööd ning aitab vähendada ettevõttesiseselt helpdeski helistavate inimeste arvu, mis on põhjustatud programmide käivitamisega, mis pole ettevõttepoolset heakskiitu saanud.[1]

Milliseid failitüüpe on AppLockeriga võimalik hallata

Windows Server 2008 R2 ja Windows 7 puhul on võimalik hallata 4 tüüpi faile:

  • käivitatavaid (.exe, .com)
  • skript (.bat, .cmd, .js, .ps1, .vbs)
  • DLL (.dll, .ocx)
  • Windows Installer (.msi, .msp)

Lisaks nendele lisandus Windows Server 2012's ja Windows 8's .mst ja .appx formaadid. Igat failitüüpi hallatakse oma enda reeglite kogumikus.[2]

Reeglite tingimused [3][4]

AppLockeri reeglitel on kolm tingimust, mille alusel neid määrata saab. Primaarsed tingimused on vajalikud selleks, et luua AppLockeri reegleid. Need kolm primaarset tingimust on publisher rule condition, path rule condition ning file hash rule condition.

1. Publisher rule condition Seda tingimust on võimalik ainult digitaalset signatuuri omavate failide puhul rakendada. Digitaalne signatuur sisaldab informatsiooni rakenduse loonud ettevõtte kohta. Selle tingimuse suureks plussiks on see, et rakenduse uuendamisel puudub vajadus luua uus reegel. Just sellel põhjusel on neid ka lihtsam hallata kui reegleid, mis on määratud faili räsi järgi(file hash).

2. File hash rule condition Seda tingimust kasutatakse eelkõige siis, kui failil puudub digitaalne signatuur. File hash reeglid kasutavad süsteemi poolt välja arvutatud krüptograafilist räsiväärtust identifitseerimaks rakendust. Olgugi et iga kord, kui faili uuendatakse, muutub ka tema räsiväärtus, ning file hash reeglit tuleb käsitsi uuendada.

3. Path rule condition See tingimus identifitseerib rakenduse tema asukoha järgi arvuti failisüsteemis või võrgus. Tegemist on pigem nõrgemat tüüpi reegliga võrreldes kahe eelnevaga ning seda mitte põhjuseta, sest kasutaja, kellel on piisavad õigused rakenduse installeerimiseks on ka õigus teisaldada fail asukohta, mida reegel ei hõlma.

AppLockeri kasutamine[5][6]

1. Avage AppLocker. Selleks vajutage klaviatuuril "Windows" nuppu, ning otsinguribasse kirjutage "gpedit.msc" ja klikkige saadud vastele.


2. Avanenud peaks olema Local Group Policy Editor. Tehke topeltklõps kaustale "Windows Settings". Järgmisena tuleb avada "Security Settings" seejärel "Application Control Policies". Nüüd avada topeltklõpsuga "AppLocker".


3. Tee parem klõps "Executable Rules" ning vali "Create Default Rules". See on vajalik selleks, et tagada ligipääs Windows ja Program Files kausta. Vastasel juhul puudub teil ligipääs nendele kaustadele.


4. Käivitatava faili puhul reegli loomiseks parem klõps "Executable Rules" ja sealt valida "Create New Rule..."


5. Avanenud aknas vajutage esimese sammuna "Next".


6. Järgmisena tuleb valida, kas "Allow" või "Deny". "Allow" lubab mõjutatud faile käivitada. "Deny" puhul ei ole võimalik mõjutatud faile käivitada. Et muuta kasutajat või gruppi, kellele vastav reegel kehtib tuleb vajutada "Select".


7. Edasi tuleb klikkata nupule "Advanced".


8. Uues avanenud aknas klikka nuppule "Find Now" ning märgi ära, mis kasutajagrupile vastav piirang rakendub. Valiku kinnitamiseks vajutage "OK".


9. Vajutage uuesti "OK".


10. Järgnevas aknas vajutage "Next".


11. Valige sobiv variant, kas "Publisher", "Path", "File hash" ning seejärel vajutage "Next".


12. Vajutage "Browse" ja otsige fail, mille kohta reegel luuakse. Liugurit üles-alla liigutades on võimalik määrata, kui üksikasjalikult on reegel määratud. Kui need sammud on täidetud, siis vajutage "Next".


13. Järgnevalt on võimalik lisada erandeid. Erandite puhul välistatakse failid, mis muidu on reeglisse lisatud. Erandi lisamiseks tuleb vajutada "Add", seejärel "Browse", valida millised failid jätta reeglist välja, ning kinnitada see käsuga "OK". Meie oma näites erandeid ei lisa, seega vajutame koheselt "Next"


14. Siin on võimalus muuta reegli nime või lisada kirjeldus(pole kohustuslik). "Create" nupule vajutusega luuakse reegel.


15. Kui on vajadus kustutada mõni reegel, siis tuleb sellel teha parem klõps, ning valige "Delete" ja "Yes".


16. Seadistada tuleks ka seda, kuidas reeglid jõustuvad. Tehke parem klõps "AppLocker-il" ja valige "Properties".


17. Edasi tuleb märgistada, millised reeglid sunnitakse jõustuma - "Enforce rules" ning millised töötavad testrežiimis - "Audit only". "Audit only" režiimis reeglid ei jõustu konkreetselt kasutajatele, kuid Event Viewerist on võimalik jälgida, millised kasutajad on avanud faile, mis on reeglite kohaselt blokeeritud. Seejärel vajutada "OK".


18. "Advanced" menüü alt on võimalik lubada DLL failide reeglite kollektsiooni, mis on vajalik .dll failide reeglite loomiseks. Vaikimisi on need keelatud.


19. Selleks, et AppLockeri reeglid töötaks on vajalik ka Application Identity töötamine. Et seda teha vajuta "Windows" nuppu ning kirjuta otsinguribasse "View Local Services" ning ava see.


20. Otsi üles "Application Identity" ja tee sellel parem klõps, ning vali "Properties".


21. Muuda "Startup type" valides rippmenüüst "Automatic". Juhul kui "Service status" on "Stopped", siis vajuta "Start" ning "Service status" peaks muutuma ning kuvama "Running". Seejärel võib vajutada "OK".


Kasutatud Kirjandus

http://technet.microsoft.com/en-us/library/ee619725(v=ws.10).aspx#BKMK_WhatisAppLocker
http://technet.microsoft.com/en-us/library/hh831440.aspx
http://windowsteamblog.com/windows/b/springboard/archive/2009/08/18/understanding-windows-7-applocker.aspx
http://www.windowsnetworking.com/articles_tutorials/Introduction-AppLocker-Part1.html
http://technet.microsoft.com/en-us/library/dd759068.aspx
http://www.windowsitpro.com/article/systems-administrator/security-steps-use-applocker-policies-to-block-solitaire-103353