AppLocker'i seadistamine ja kasutamine: Difference between revisions
No edit summary |
No edit summary |
||
Line 47: | Line 47: | ||
versio.ni järel valikuks Exactly. | versio.ni järel valikuks Exactly. | ||
(Pilt) | (Pilt) | ||
Kasutades liugurit | Kasutades liugurit saad sa ka muuta spetsiifilisemalt kehtivusala publishing reeglil, et see rakenduks kindlale faili nimele või rakendusele mis on signeeritud avaldaja poolt. Või siis igale rakendusele mis on signeeritud avaldaja poolt või igale rakendusele mis on signeeritud suvalise avaldaja poolt. Viimane variant ei rakendu igale rakendusele vaid neile mis on avaldaja poolt signeeritud. Kui sa lisad lubava reegli nii, et liugur on seatud Any Publisher peale, siis kõiki rakendusi mis on signeeritud avaldajate poolt saab käivitada ja mitte signeerituid ei saa käivitada. | ||
== Hash Rules == | |||
Revision as of 16:21, 13 April 2011
Nagu näha, tööd sellega veel on
Applocker Policies
Applocker policies on sarnane Software Restriction Policies´le, aga Applocker sisaldab erinevaid eeliseid, nagu kasutaja või grupi kontode põhilist tööd ning võimalust rakendade seda rakenduste kõigile uutele versioonidel. Software Restriction Policies kasutamisel tuli igal rakenduse uuendamisel hash rule uuesti luua, kuna see oli versiooni põhiline. Applockeri loodud reeglid rakenduvad vaid kui Application Indetify Service on aktiivne. Selleks tuleb Services alt Application Indentity service Startup type seada Automatic kui soovitakse, et alati see arvuti käivitumisel rakendataks. Ühekordseks katsetamiseks võib ajutiselt selle käivitada vajutades Start nuppu. Hiljem saab seda ka seal peatada või tehes arvutile restardi. (Pilt)
Applocker Rules
Default Rules
Need on erinevad valmis loodud reeglid mida saab automaatsel luua ja mis võimaldavad ligipääsu Windowsile ja vaikimise kaasas olevatele rakendustele. Default rule´d on vajalikud, sest Applocker vaikimis blokeerib (fallback block) need rakendused mis pole määratud Allow reegliga. Juhul kui sa aktiveerid Applockeri, siis sa ei saa käivitada ühtegi rakendust, scriti või installerit mis ei ole defineeritud Allow reegliga. Iga erineva reegli tüübi kohta on erinevad vaikimisi loodud reeglid. Näiteks vaikimisi on executable rule - path rule. Neid vaikimisi olevaid reegleid on võimalik kohandada vastavalt vajadustele. Default reegli saab luua parem klikkides Executable Rules, Windows Installer rules või Script rules peale ning siis valides Create Default Rules. (Pilt)
Rules That Block
Sa saad seade Applockeri kas lubama või blokeerime rakendusi. Keelav reegel kirjutab üle kõik lubavad reeglid, olenemata kuidas reegel on loodud. See on ka üks erinevus Software Restriction Policiest, kus ühte reeglit sai teisega üle kirjutada. Fallback Block ei kirjuta üle ühtegi reeglit. Fallback block rakendub nendele rakendustele mis ei ole spetsiaalselt lubatud. Sa pead lisama keelava reegli kui teine Applockeri reegel lubab selle käivitamist. Näiteks sa tahad, et kõik saaksid mingit kindlat programmi käivitada välja arvatud üks grupp. Sel juhul sa pead looma kaks reeglit. Esimene mis lubab selle kasutamise kõigile ja teise mis keelab selle kasutamise teatud grupil. Applockeri reeglid võimaldavad lisada ka erandeid, aga need ei võimalda seda grupi põhiliselt. Sa saad määrata täpseid Block reegleid, mis on lubatud läbi deafault reeglite. Näiteks default reeglid lubavad kasutada Solitare, sa saad selle keelata määratas Block reegli vaid Solitarele. Samuti on võimalik seda teha, default reeglitesse luues erandit.
Executable Rules
Need reeglid rakenduvad failidele, mis on .exe või .com laiendiga. Vaikimisi on executable reegel path rule mis lubab kõigil käivitada rakendusi Program Files ja Windowsi kaustas. Applocker polices on primaarsed käivitavatele rakendustele, seepärast lubatakse organisatsioonides executable reegleid. Vaikimisi reeglid lubavad ka admistraatorite grupi liikmetel käivitada rakendusi olenemata asukohast. Vajalik on kasutada vaikimisi executable reeglit või reegleid mis kattuvad nende funktsionaalsusega, sest windows ei tööta korralikult kuni teatud rakendused pole kaetud nende vaikimis reeglitega, mis lubavad neid käivitada. Kui sa tahad luua reeglit, siis on scope seatud Everyone peale, isegi kui sellist lokaalset gruppi ei eksisteeri. Kui sa valid muuda reeglit (modify rule) saad sa valida vajaliku grupi või kasutaja konto.
Windows Installer Rules
Windows installer rules hõlmab .msi ja .msp laienditega faile. Sa saad kasutada windows installer reeglit kas blokeerida või lubada tarkvara instaleerimist arvutisse. Vaikimisi Windows installer rule lubab Everyone grupil käivitada digitaalselt allkirjastatud windowsi installimis faile, %Systemdrive%\Windows\Installer kaustas asuvaid faile ja lubab lokaalse administraatori grupi liikmetel käivitada .msi või .msp laiendiga faile. Vaikimisi reeglid lubavad ka instaleerida tarkvara ja uuendusi läbi Group Policy. Tuleb ka meeles pidada et isegi kui Applocker reegel lubab kõigil instaleerida teatuid install faile, vajavad nad siiski administraatori õigusi selleks et tarkvara arvutisse paigaldada. Installer reeglid on kõige kasulikumad kui on kasutuses kaasaskantavad seadmed (süle-, tahvel- pihuarvutid, telefonid jne), mis jooksutavad windows 7, mis nõuab kasutajatelt kohaliku administraatori ligipääsu taset. Pärast seda kui sa eemaldad vaikimisi reegli mis lubab kohalikul adnministratoril kasutada kõiki installereid, saad sa keelata mis install failidele kohalik administraator kasutada saab. Sellisel juhul pead sa ka keelama ligipääse Local Group Policy Editorile, muidu saavad kohaliku administraatori õigusega kasutajad muuta policy sätteid.
Script Rules
Script rules töötab failide puhul mis on laiendiga .ps1, .bat, .cmd, .vbs ja .js. Scriptide puhul on võimalik kasutada ka publisheri reeglit, aga enamus scripte on loodud kohaliku võrgus toimima süsteemi administraatorite poolt ja on harva digitaalselt signeeritud. Sa saad ka kasutada hash reeglit scriptidega mida harva muudad ja path reeglit faili kaustade puhul mis sisaldavad scripte mida regulaarselt uuendatakse. Kui sa kasutad path reeglit pead sa kindlustama, et kaustad mis sisaldavad scripte on seatud nii nn "pahad" scriptid ei satuks sinna kausta. Vaikimisi scripti reegel lubab käivitada scripte mis asuvad Program Files ja Windows nimelistes kaustades. Vaikimis scripti reegel lubab ka sisse ehitatud administraatori gupi kasutajatel käivitada scripte olenemat asukohast.
DLL Rules
DLL rule töötab failidega mis on tuntud kui librarys ja omavad .dll või .ocx laiendit. Libarys aitavad rakendusi töös hoida. DLL reeglid ei ole vaikimis lubatud kui sa lülitad sisse Applockeri. DLL reeglid pakuvad maksimaalset turvalisuse taset, aga omavad ka sujuvas töös tagasilööke. Sa pead igale DLL failile looma DLL reegli, mida kasutab rakendus töötamiseks Windows 7 all. Kuigi reeglite tegemine on tehtud lihtsamaks reeglite automatselt loomise läbi, siis kasutaja sujuv töötamine omab tagasilööke sel ajal kui Applocker kontrollib igakord igat DLL faili mida rakendus vajab tööks. DLL reeglite lubamiseks tuleb parem klikk teha Computer Configuration sealt edasi Windows Settings/Security Settings/Application Control Policies/Applocker valik Group Policy, valida Advanced sakk ja siis märkida linnuke Enable The DLL rules Collection ette. (Pilt)
Publisher Rules
Publisher rules töötavad Applockeris fail koodis sisse kirjutatud sertifikaatide baasil.Erinevalt Software Restricton Policy setrifikaadi reeglist, ei ole vajalik hankida sertifikaati publisher reegli kasutamiseks,sest digitaalse signatuuri detailid hangitakse otse rakenduse failist. Kui failil ei ole digitaalselt signatuuri, sa ei sa keelata või lubata selle kasutamist Applocker publisher reegliga. Publisher reeglid on rohkem paindlikumad kui hash reeglid, sest sa ei saa vaid määrata kindlat versiooni failist, aga isegi ka kõiki tulevasi versioone antud failist. See tähendab, et sa ei pea looma publisher reeglit igakord kui sa uuendad tarkvara, sest olemas olev reegel jääb püsima. Sa saad ka määrata kindla versiooni failist muutes File V versio.ni järel valikuks Exactly. (Pilt) Kasutades liugurit saad sa ka muuta spetsiifilisemalt kehtivusala publishing reeglil, et see rakenduks kindlale faili nimele või rakendusele mis on signeeritud avaldaja poolt. Või siis igale rakendusele mis on signeeritud avaldaja poolt või igale rakendusele mis on signeeritud suvalise avaldaja poolt. Viimane variant ei rakendu igale rakendusele vaid neile mis on avaldaja poolt signeeritud. Kui sa lisad lubava reegli nii, et liugur on seatud Any Publisher peale, siis kõiki rakendusi mis on signeeritud avaldajate poolt saab käivitada ja mitte signeerituid ei saa käivitada.
Hash Rules
Viited
Autor
Rasmus Linnamäe Ak22