AppLocker'i seadistamine ja kasutamine

From ICO wiki
Revision as of 20:21, 10 April 2011 by Ralinnam (talk | contribs)
Jump to navigationJump to search

Nagu näha, tööd sellega veel on


Applocker policies on sarnane Software Restriction Policies´le, aga Applocker sisaldab erinevaid eeliseid, nagu kasutaja või grupi kontode põhilist tööd ning võimalust rakendade seda rakenduste kõigile uutele versioonidel. Software Restriction Policies kasutamisel tuli igal rakenduse uuendamisel hash rule uuesti luua, kuna see oli versiooni põhiline. Applockeri loodud reeglid rakenduvad vaid kui Application Indetify Service on aktiivne.


Default Rules

Need on erinevad valmis loodud reeglid mida saab automaatsel luua ja mis võimaldavad ligipääsu Windowsile ja vaikimise kaasas olevatele rakendustele. Default rule´d on vajalikud, sest Applocker vaikimis blokeerib (fallback block) need rakendused mis pole määratud Allow reegliga. Juhul kui sa aktiveerid Applockeri, siis sa ei saa käivitada ühtegi rakendust, scriti või installerit mis ei ole defineeritud Allow reegliga. Iga erineva reegli tüübi kohta on erinevad vaikimisi loodud reeglid. Näiteks vaikimisi on executable rule - path rule. Neid vaikimisi olevaid reegleid on võimalik kohandada vastavalt vajadustele. Default reegli saab luua parem klikkides Executable Rules, Windows Installer rules või Script rules peale ning siis valides Create Default Rules. (Pilt)


Rules That Block

Sa saad seade Applockeri kas lubama või blokeerime rakendusi. Keelav reegel kirjutab üle kõik lubavad reeglid, olenemata kuidas reegel on loodud. See on ka üks erinevus Software Restriction Policiest, kus ühte reeglit sai teisega üle kirjutada. Fallback Block ei kirjuta üle ühtegi reeglit. Fallback block rakendub nendele rakendustele mis ei ole spetsiaalselt lubatud. Sa pead lisama keelava reegli kui teine Applockeri reegel lubab selle käivitamist. Näiteks sa tahad, et kõik saaksid mingit kindlat programmi käivitada välja arvatud üks grupp. Sel juhul sa pead looma kaks reeglit. Esimene mis lubab selle kasutamise kõigile ja teise mis keelab selle kasutamise teatud grupil. Applockeri reeglid võimaldavad lisada ka erandeid, aga need ei võimalda seda grupi põhiliselt. Sa saad määrata täpseid Block reegleid, mis on lubatud läbi deafault reeglite. Näiteks default reeglid lubavad kasutada Solitare, sa saad selle keelata määratas Block reegli vaid Solitarele. Samuti on võimalik seda teha, default reeglitesse luues erandit.


Executable Rules

Need reeglid rakenduvad failidele, mis on .exe või .com laiendiga. Vaikimisi on executable reegel path rule mis lubab kõigil käivitada rakendusi Program Files ja Windowsi kaustas. Applocker polices on primaarsed käivitavatele rakendustele, seepärast lubatakse organisatsioonides executable reegleid. Vaikimisi reeglid lubavad ka admistraatorite grupi liikmetel käivitada rakendusi olenemata asukohast. Vajalik on kasutada vaikimisi executable reeglit või reegleid mis kattuvad nende funktsionaalsusega, sest windows ei tööta korralikult kuni teatud rakendused pole kaetud nende vaikimis reeglitega, mis lubavad neid käivitada. Kui sa tahad luua reeglit, siis on scope seatud Everyone peale, isegi kui sellist lokaalset gruppi ei eksisteeri. Kui sa valid muuda reeglit (modify rule) saad sa valida vajaliku grupi või kasutaja konto.


Windows Installer Rules

Windows installer rules hõlmab .msi ja .msp laienditega faile. Sa saad kasutada windows installer reeglit kas blokeerida või lubada tarkvara instaleerimist arvutisse. Vaikimisi Windows installer rule lubab Everyone grupil käivitada digitaalselt allkirjastatud windowsi installimis faile, %Systemdrive%\Windows\Installer kaustas asuvaid faile ja lubab lokaalse administraatori grupi liikmetel käivitada .msi või .msp laiendiga faile. Vaikimisi reeglid lubavad ka instaleerida tarkvara ja uuendusi läbi Group Policy. Tuleb ka meeles pidada et isegi kui Applocker reegel lubab kõigil instaleerida teatuid install faile, vajavad nad siiski administraatori õigusi selleks et tarkvara arvutisse paigaldada. Installer reeglid on kõige kasulikumad kui on kasutuses kaasaskantavad seadmed (süle-, tahvel- pihuarvutid, telefonid jne), mis jooksutavad windows 7, mis nõuab kasutajatelt kohaliku administraatori ligipääsu taset. Pärast seda kui sa eemaldad vaikimisi reegli mis lubab kohalikul adnministratoril kasutada kõiki installereid, saad sa keelata mis install failidele kohalik administraator kasutada saab. Sellisel juhul pead sa ka keelama ligipääse Local Group Policy Editorile, muidu saavad kohaliku administraatori õigusega kasutajad muuta policy sätteid.


Script Rules

Rasmus Linnamäe Ak22