AppLocker

Mis see on?

AppLocker on uus funktsioon Windows 7's ja Windows Server 2008 R2's, mis võimaldab teil määrata, millised kasutajad või rühmad võivad käivitada konkreetseid faile teie organisatsioonis tuginedes failide unikaalsetele omadustele. Kasutades AppLocerit, saate luua reegleid lubamaks või keelamaks rakenduse kasutamist. AppLockerit võib võrrelda ka varasematel Windowsi versioonidel olevate Software Restriction Policie’ tega, kuid selle konfigureerimine on märkimisväärselt ajasäästlikum ning loodud reeglitest on tunduvalt raskem “mööda hiilida”.

Mida sellega teha saab?

Tänapäevased oranisatsioonid seisavad silmitsi mitmete väljakutsetega, kuidas kontrollida rakenduste käivitamist, sealhulgas:

Milliseid rakendusi peaks kasutajal olema õigus käivitada?

Millised kasutajad tohiks installida uut tarkvara?

Millised rakenduste versioonid peaks olema lubatud?

Kuidas kontrollitakse litsentsiga rakendusi?

Nende katsumuste jaoks pakub AppLocker administraatoritele võimalust määrata millised kasutajad võivad käivitada kindlat rakendust. Applocker võimaldab administraatoritel kontrollida järgnevat tüüpi rakendusi: käivitatavad failid (.exe ja .com), skriptid(.js, .ps1, .vbs, .cmd ja .bat), Windows Installer'i faile(.msi ja .msp) ja DLL faile(.dll ja .ocx). See aitab organisatsioonil vähendada kulutusi arvutite haldamisele vähendades kõnede arvu help deski'i, kasutajate poolt, kes kasutavad sobimatuid rakendusi.

Milliseid reegleid saab luua ja mida need endast kujutavad?

AppLocker toetab kolme tüüpi reegleid: Path Rules, File Hash Rules ja Publisher Rules.

Path Rulesi abil on võimalik piirata programmide täidesaatmist kindlal kataloogi rajal. Näiteks on võimalik lõppkasutajal lubada rakendusi avada ainult Windows Program Files’ i folderist.

Mida vaja on?

AppLocker on saadaval kõigis variantides Windows Server R2's, Windows 7 Ulitmate's ja Windows 7 Enterprise's. AppLockeri kasutamiseks vajad:

AppLockeri reeglite loomiseks on vaja arvutit, mis töötab Windows Server 2008 R2, Windows7 Ultimate, Windows 7 Enterprise või Widows 7 Professional operatsioonisüsteemi peal. Professionali saab kasutada reeglite loomiseks, aga Windows 7 Professionali peal töötav arvuti ei saa reegleid kehtestada. Arvuti võib olla domeenikontroller.

Group Policy kasutuselevõtuks, vähemalt ühte arvutit, kus Group Policy Management Console (GPMC) või Remote Server Administration Tools (RSAT) on paigaldatud, AppLockeri eeskirjade hostimiseks.

Loodud AppLocker reeglite jõustamiseks on vaja arvutit, mis jookseb Windows Server 2008 R2, Windows 7 Ultimate või Windows 7 Enterprise operatsioonisüsteemil.

Reeglite loomine

Appication Identy käivitamine

Enne AppLocer reeglistiku jõustamist tueb käivitada Appication Identity teenus kasutades Service snap-in konsooli. Selle protseduuri sooritamiseks peate te kuuluma vähemalt lokaalsesse administraatorite gruppi.

1. Kliki Start, vali Administrative Tools ja sealt Services.
2. Services snap-in konsoolis tee topeltklõps Application Identity peal.
3. Application Identity Properties kastis, vali "Automatic" Startup type nimekirjast,
vajuta Start ja siis kliki OK.

Uue reegli loomine

1. Vajuta Start, kirjuta secpol.msc otsingukasti ja vajuta ENTER. Võid ka kasutada:
Start -> Control Panel -> Click System and Security -> Administrative Tools -> 
Local Security  Policy

2. Kui User Account Control dialoogi aken avaneb, kinnita, et tegevus, mida see näitab, 
on see, mida sa tahad ja vajuta Yes.

3. Konsooli "puul" tee topeltklikk Application Control Policies peal ja siis klõpsa kaks
korda ka AppLocker'i peal.

4. Parem klik soovitud reegli tüübil ja siis vali Create New Rule.

5. Before You Begin lehel, vajuta Next.

6. Vali Allow või Deny lubamaks või keelamaks reeglis sisalduvaid faile.

7. Kliki Select. Select User or Group kasti kirjuta sobiv turvalisus grupp või kasutajad
ja kliki OK (antud näites valime kasutaja Jack' i). 

8. Vajuta Next.

9. Kliki sobival reegli tingimusel, mis sobib selle reegli jaoks. 
Sa saad valida: Publisher, Path või File hash ja siis kliki Next.

10. Olenevalt reegli tingimusest, mis sa valisid küsitakse sult erinevaid kriteeriume.

11. (Valikuline) Erandite lehel, täpsusta väljaandja või asukoht, 
mida soovid reeglist eemaldada ja vajuta Next.
                 Erandit ei saa luua hash reegli kohta. 

12. Nime kasti kirjuta nimi, millega tahad reeglit identifitseerida. 
Kirjelduse kasti kirjuta seletus, mis põhjendab reeglit. Vajuta Create.

13. Peale reegli loomist tee kindlaks, et Application Identification on peal (start)
ning et see töötaks automaatselt(automatic), vastasel juhul reeglid ei tööta.

Kui kõik see on tehtud nind kasutaja logib oma kontoga sisse ning üritab pääseda ligi
keelustatud failidele, manatakse ekraanile järgnev sõnum:

Tudvustav video

Lühitudvustus (inglise keeles)

Reegli loomine

Autor

Olle Tuur A22