AppLocker

From ICO wiki
Jump to navigationJump to search

Mis see on?


AppLocker on uus funktsioon Windows 7's ja Windows Server 2008 R2's, mis võimaldab teil määrata, millised kasutajad või rühmad võivad käivitada konkreetseid faile teie organisatsioonis tuginedes failide unikaalsetele omadustele. Kasutades AppLocerit, saate luua reegleid lubamaks või keelamaks rakenduse kasutamist.

Mida sellega teha saab?


Tänapäevased oranisatsioonid seisavad silmitsi mitmete väljakutsetega, kuidas kontrollida rakenduste käivitamist, sealhulgas:


Milliseid rakendusi peaks kasutajal olema õigus käivitada?

Millised kasutajad tohiks installida uut tarkvara?

Millised rakenduste versioonid peaks olema lubatud?

Kuidas kontrollitakse litsentsiga rakendusi?


Nende katsumuste jaoks pakub AppLocker administraatoritele võimalust määrata millised kasutajad võivad käivitada kindlat rakendust. Applocker võimaldab administraatoritel kontrollida järgnevat tüüpi rakendusi: käivitatavad failid (.exe ja .com), skriptid(.js, .ps1, .vbs, .cmd ja .bat), Windows Installer'i faile(.msi ja .msp) ja DLL faile(.dll ja .ocx). See aitab organisatsioonil vähendada kulutusi arvutite haldamisele vähendades kõnede arvu help deski'i, kasutajate poolt, kes kasutavad sobimatuid rakendusi.

Mida vaja on?


AppLocker on saadaval kõigis variantides Windows Server R2's, Windows 7 Ulitmate's ja Windows 7 Enterprise's. AppLockeri kasutamiseks vajad:

AppLockeri reeglite loomiseks on vaja arvutit, mis töötab Windows Server 2008 R2, Windows7 Ultimate, Windows 7 Enterprise või Widows 7 Professional operatsioonisüsteemi peal. Professionali saab kasutada reeglite loomiseks, aga Windows 7 Professionali peal töötav arvuti ei saa reegleid kehtestada. Arvuti võib olla domeenikontroller.


Group Policy kasutuselevõtuks, vähemalt ühte arvutit, kus Group Policy Management Console (GPMC) või Remote Server Administration Tools (RSAT) on paigaldatud, AppLockeri eeskirjade hostimiseks.

Loodud AppLocker reeglite jõustamiseks on vaja arvutit, mis jookseb Windows Server 2008 R2, Windows 7 Ultimate või Windows 7 Enterprise operatsioonisüsteemil.

Reeglite loomine

Appication Identy käivitamine

Enne AppLocer reeglistiku jõustamist tueb käivitada Appication Identity teenus kasutades Service snap-in konsooli. Selle protseduuri sooritamiseks peate te kuuluma vähemalt lokaalsesse administraatorite gruppi.

1. Kliki Start, vali Administrative Tools ja sealt Services.
2. Services snap-in konsoolis tee topeltklõps Application Identity peal.
3. Application Identity Properties kastis, vali "Automatic" Startup type nimekirjast, vajuta Start ja siis kliki OK.

Uue reegli loomine

1.Vajuta Start, kirjuta secpol.msc otsingukasti ja vajuta ENTER. Võid ka kasutada:
  Start -> Control Panel -> Click System and Security -> Administrative Tools -> Local Security Policy. 
2. Kui User Account Control dialoogi aken avaneb, kinnita, et tegevus, mida see näitab, on see, mida sa tahad ja vajuta Yes.
3. Konsooli "puul" tee topeltklik Application Control Policies pea ja siis klõpsa kaks korda ka AppLocker'i peal.
4. Parem klik soovitud reegli tüübil ja siis vali Create New Rule.

5. Before You Begin lehel, vajuta Next.

6. Vali Allow või Deny lubamaks või keelamaks reeglis sisalduvaid faile.

7. Kliki Select. Select User or Group kasti kirjuta sobiv turvalisus grupp või kasutajad ja kliki OK. 

8. Vajuta Next.

9. Kliki sobival reegli tingimusel, mis sobib selle reegli jaoks. Sa saad valida: Publisher, Path või File hash ja siis kliki Next.

10. Olenevalt reegli tingimusest, mis sa valisid küsitakse sult erinevaid kriteeriume.

11. (Valikuline) Erandite lehel, täpsusta väljaandja või asukoht mida soovid reeglist eemaldada ja vajuta Next.
                 Erandit ei saa luua hash reegli kohta. 

12. Nime kasti kirjuta nimi, millega tahad reeglit identifitseerida. Kirjelduse kasti kirjuta seletus, mis põhjendab reeglit. Vajuta Create.

13. Peale reegli loomist tee kindlaks, et Application Identification on peal (start) ning et see töötaks automaatselt(automatic), vastasel juhul reeglid ei tööta.

Kui kõik see on tehtud nind kasutaja logib oma kontoga sisse ning üritab pääseda ligi keelustatud failidele, manatakse ekraanile järgnev sõnum:

Tudvustav video

Lühitudvustus (inglise keeles)

Reegli loomine

Autor

Olle Tuur A22