AppLocker: Difference between revisions

Mis see on?

AppLocker(Application Locker) on uus funktsioon Windows 7's ja Windows Server 2008 R2's, mis võimaldab teil määrata, millised kasutajad või rühmad võivad käivitada konkreetseid faile teie organisatsioonis tuginedes failide unikaalsetele omadustele. Kasutades AppLocerit, saate luua reegleid lubamaks või keelamaks rakenduse kasutamist. AppLockerit võib võrrelda ka varasematel Windowsi versioonidel olevate Software Restriction Policie’ tega.

Miks on see kasulik?

Softweare Restriction Policied ei olnud administraaatorite seas populaarsed, kuna nende konfigureerimine võttis kaua aega ja oli ebamugav. AppLocker on tunduvalt ajasäästlikum ning võimsam. Sellega loodud reeglitest on tunduvalt raskem “mööda hiilida”, kui oli seda vanasti. AppLockeriga rakenduste üle kontrolli omamine on kasutajale lihtne ning selle kasutamine paindlik. AppLocker pakub reeglitele baseeruvat struktuuri, täpsustamaks, millised rakendused võivad töödata ja milliseid rakendusi kasutaja saab kasutada.

Mida sellega teha saab?

Tänapäevased oranisatsioonid seisavad silmitsi mitmete väljakutsetega, kuidas kontrollida rakenduste käivitamist, sealhulgas:

Milliseid rakendusi peaks kasutajal olema õigus käivitada?

Millised kasutajad tohiks installida uut tarkvara?

Millised rakenduste versioonid peaks olema lubatud?

Kuidas kontrollitakse litsentsiga rakendusi?

Nende katsumuste jaoks pakub AppLocker administraatoritele võimalust määrata millised kasutajad võivad käivitada kindlat rakendust. Applocker võimaldab administraatoritel kontrollida järgnevat tüüpi rakendusi: käivitatavad failid (.exe ja .com), skriptid(.js, .ps1, .vbs, .cmd ja .bat), Windows Installer'i faile(.msi ja .msp) ja DLL faile(.dll ja .ocx). See aitab organisatsioonil vähendada kulutusi arvutite haldamisele vähendades kõnede arvu help deski'i, kasutajate poolt, kes kasutavad sobimatuid rakendusi.

Milliseid reegleid saab luua ja mida need endast kujutavad?

AppLocker toetab kolme tüüpi reegleid: Path Rules, File Hash Rules ja Publisher Rules.

Path Rulesi abil on võimalik piirata programmide täidesaatmist kindlal kataloogi rajal. Näiteks on võimalik lõppkasutajal lubada rakendusi avada ainult Windows Program Files’ i folderist. Selle reeglitüübi probleemiks tõsiasi, et kasutajatel on sageli vaja rakendusi käivitada teistest asukohtadest, näteks failiserverist.

Hash Rules kasutab täidetava programmi krüptograafilist hash' i, selleks, et kindlaks teha, kas tegu on õigusjärgse programmiga. Selle reeglitüübi miinuseks on tema modifitseerimine, mida tuleb teha igakord, kui programmi on uuendatud.

Publisher Rules tuvastab, kas rakendus baseerub rakenduse digitaalsel signatuuril, mis oli kirjastaja poolt levitatud. Neid võib võrrelda Software Restriction Policies Certificates Rules idega, kuid Publisher Rulesid on keerukamad. Enamikel uutel rakendustel on allkiri(signature), mida saab kasutada Publisher Rulesidele. Windows Vistas ja Windows 7- s on võimalik seda allkirja näha läbi täidesaatva programmi file properties' te.

Mida vaja on?

AppLocker on saadaval kõigis variantides Windows Server R2's, Windows 7 Ulitmate's ja Windows 7 Enterprise's. AppLockeri kasutamiseks vajad:

AppLockeri reeglite loomiseks on vaja arvutit, mis töötab Windows Server 2008 R2, Windows7 Ultimate, Windows 7 Enterprise või Widows 7 Professional operatsioonisüsteemi peal. Professionali saab kasutada reeglite loomiseks, aga Windows 7 Professionali peal töötav arvuti ei saa reegleid kehtestada. Arvuti võib olla domeenikontroller.

Group Policy kasutuselevõtuks, vähemalt ühte arvutit, kus Group Policy Management Console (GPMC) või Remote Server Administration Tools (RSAT) on paigaldatud, AppLockeri eeskirjade hostimiseks.

Loodud AppLocker reeglite jõustamiseks on vaja arvutit, mis jookseb Windows Server 2008 R2, Windows 7 Ultimate või Windows 7 Enterprise operatsioonisüsteemil.

Reeglite loomine

Appication Identy käivitamine

Enne AppLocer reeglistiku jõustamist tueb käivitada Appication Identity teenus kasutades Service snap-in konsooli. Selle protseduuri sooritamiseks peate te kuuluma vähemalt lokaalsesse administraatorite gruppi.

1. Kliki Start, vali Administrative Tools ja sealt Services.
2. Services snap-in konsoolis tee topeltklõps Application Identity peal.
3. Application Identity Properties kastis, vali "Automatic" Startup type nimekirjast,
vajuta Start ja siis kliki OK.

Uue reegli loomine

1. Vajuta Start, kirjuta secpol.msc otsingukasti ja vajuta ENTER. Võid ka kasutada:
Start -> Control Panel -> Click System and Security -> Administrative Tools -> 
Local Security  Policy

2. Kui User Account Control dialoogi aken avaneb, kinnita, et tegevus, mida see näitab, 
on see, mida sa tahad ja vajuta Yes.

3. Konsooli "puul" tee topeltklikk Application Control Policies peal ja siis klõpsa kaks
korda ka AppLocker'i peal.

4. Parem klik soovitud reegli tüübil ja siis vali Create New Rule.

5. Before You Begin lehel, vajuta Next.

6. Vali Allow või Deny lubamaks või keelamaks reeglis sisalduvaid faile.

7. Kliki Select. Select User or Group kasti kirjuta sobiv turvalisus grupp või kasutajad
ja kliki OK (antud näites valime kasutaja Jack' i). 

8. Vajuta Next.

9. Kliki sobival reegli tingimusel, mis sobib selle reegli jaoks. 
Sa saad valida: Publisher, Path või File hash ja siis kliki Next.

10. Olenevalt reegli tingimusest, mis sa valisid küsitakse sult erinevaid kriteeriume.

11. (Valikuline) Erandite lehel, täpsusta väljaandja või asukoht, 
mida soovid reeglist eemaldada ja vajuta Next. Erandit ei saa luua hash reegli kohta. 

12. Nime kasti kirjuta nimi, millega tahad reeglit identifitseerida. 
Kirjelduse kasti kirjuta seletus, mis põhjendab reeglit. Vajuta Create.

13. Peale reegli loomist tee kindlaks, et Application Identification on peal (start)
ning et see töötaks automaatselt(automatic), vastasel juhul reeglid ei tööta.

Kui kõik see on tehtud nind kasutaja logib oma kontoga sisse ning üritab pääseda ligi
keelustatud failidele, manatakse ekraanile järgnev sõnum:

Tudvustav video

Lühitudvustus (inglise keeles)

Reegli loomine

Autor

Olle Tuur A22