Windows juhend: Kuidas kasutada AppLockerit
Mina teen: Kaarel Kuurmann, 7.09.2012
Mis on AppLocker
AppLocker on töövahend, millega on võimalik hallata kasutajapoolset ligipääsu erinevatele programmidele. AppLockeri abil saavad administraatorid kontrollida, milliseid rakendusi ja faile kasutajad käivitada tohivad. AppLocker on kättesaadav järgmistel Windows operatsioonisüsteemidel: Windows 7 Pro, Windows 7 Ultimate, Windows 7 Enterprise, Windows 8 Pro, Windows 8 Enterprise, Windows Server 2008 R2, Windows Server 2012. Windows 7 Pro ja Windows 8 Pro puhul saab kasutada AppLockerit reeglite loomiseks ja neid näiteks serverisse importida, kuid reeglid ise eelmainitud operatsioonisüsteemi kasutatavatel arvutitel ei jõustu. AppLockeriga on võimalik kirjeldada reegleid, mis baseeruvad faili attribuutidel, kuid mis programmi uuenduste käigus ei muutu, näiteks väljaandja nimi või programmi nimi. Piiranguid on võimalik määrata ka faili asukoha järgi, määrata reegel kindlale kasutajagrupile või individuaalsele kasutajale. Luua reegleid ja kontrollida neid testserveril, enne nende töökeskkonda viimist. AppLocker lihtsustab administraatorite tööd ning aitab vähendada ettevõttesiseselt helpdeski helistavate inimeste arvu, mis on põhjustatud programmide käivitamisega, mis pole ettevõttepoolset heakskiitu saanud.
Milliseid failitüüpe on AppLockeriga võimalik hallata
Windows Server 2008 R2 ja Windows 7 puhul on võimalik hallata 4 tüüpi faile:
- käivitatavaid (.exe, .com)
- skript (.bat, .cmd, .js, .ps1, .vbs)
- DLL (.dll, .ocx)
- Windows Installer (.msi, .msp)
Lisaks nendele lisandus Windows Server 2012's ja Windows 8's .mst ja .appx formaadid. Igat failitüüpi hallatakse oma enda reeglite kogumikus.
AppLockeri kasutamine
1. Avage AppLocker. Selleks vajutage klaviatuuril "Windows" nuppu, ning otsinguribasse kirjutage "gpedit.msc" ja klikkige saadud vastele.
2. Avanenud peaks olema Local Group Policy Editor. Tehke topeltklõps kaustale "Windows Settings". Järgmisena tuleb avada "Security Settings" seejärel "Application Control Policies". Nüüd avada topeltklõpsuga "AppLocker".
3. Tee parem klõps "Executable Rules" ning vali "Create Default Rules". See on vajalik selleks, et tagada ligipääs Windows ja Program Files kausta. Kui te seda ei tee, siis puudub teil ligipääs nendele kaustadele.
4. Käivitatava faili puhul reegli loomiseks parem klõps "Executable Rules" ja sealt valida "Create New Rule..."
5. Avanenud aknas vajutage esimese sammuna "Next".
6. Järgmisena tuleb valida, kas "Allow" või "Deny". "Allow" lubab mõjutatud faile käivitada. "Deny" puhul ei ole võimalik mõjutatud faile käivitada. Et muuta kasutajat või gruppi, kellele vastav reegel kehtib tuleb vajutada "Select".
7. Edasi tuleb klikkata nupule "Advanced".
8. Uues avanenud aknas klikka nuppule "Find Now" ning märgi ära, mis kasutajagrupile vastav piirang rakendub. Valiku kinnitamiseks vajutage "OK".
9. Vajutage uuesti "OK".
10. Järgnevas aknas vajutage "Next".
11. Valige sobiv variant, kas "Publisher", "Path", "File hash" ning seejärel vajutage "Next".
12. Vajutage "Browse" ja otsige fail, mille kohta reegel luuakse. Liugurit üles-alla liigutades on võimalik määrata, kui
üksikasjalikult on reegel määratud. Kui need sammud on täidetud, siis vajutage "Next".
13. Järgnevalt on võimalik lisada erandeid. Erandite puhul välistatakse failid, mis muidu on reeglisse lisatud. Erandi lisamiseks tuleb vajutada "Add", seejärel "Browse", valida millised failid jätta reeglist välja, ning kinnitada see käsuga "OK". Meie oma näites erandeid ei lisa, seega vajutame koheselt "Next"
14. Siin on võimalus muuta reegli nime või lisada kirjeldus(pole kohustuslik). "Create" nupule vajutusega luuakse reegel.
15. Kui on vajadus kustutada mõni reegel, siis tuleb sellel teha parem klõps, ning valige "Delete" ja "Yes".
16. Seadistada tuleks ka seda, kuidas reeglid jõustuvad. Tehke parem klõps "AppLocker-il" ja valige "Properties".
17. Edasi tuleb märgistada, millised reeglid sunnitakse jõustuma - "Enforce rules" ning millised töötavad testrežiimis - "Audit
only". "Audit only" režiimis reeglid ei jõustu konkreetselt kasutajatele, kuid Event Viewerist on võimalik jälgida, millised kasutajad on avanud faile, mis on reeglite kohaselt blokeeritud. Seejärel vajutada "OK".
18. "Advanced" menüü alt on võimalik lubada DLL failide reeglite kollektsiooni, mis on vajalik .dll failide reeglite loomiseks. Vaikimisi on need keelatud.
19. Selleks, et AppLockeri reeglid töötaks on vajalik ka Application Identity töötamine. Et seda teha vajuta "Windows" nuppu ning kirjuta otsinguribasse "View Local Services" ning ava see.
20. Otsi üles "Application Identity" ja tee sellel parem klõps, ning vali "Properties".
21. Muuda "Startup type" valides rippmenüüst "Automatic". Juhul kui "Service status" on "Stopped", siis vajuta "Start" ning "Service status" peaks muutuma ning kuvama "Running". Seejärel võib vajutada "OK".
Kasutatud Kirjandus
http://technet.microsoft.com/en-us/library/ee619725(v=ws.10).aspx#BKMK_WhatisAppLocker
http://technet.microsoft.com/en-us/library/hh831440.aspx
http://windowsteamblog.com/windows/b/springboard/archive/2009/08/18/understanding-windows-7-applocker.aspx
http://www.scriptlogic.com/smbit/video/how-to-whitelist-apps-with-applocker
http://www.windowsnetworking.com/articles_tutorials/Introduction-AppLocker-Part4.html