Microsoftin AppLocker, Windows 7: n ja Windows Server 2008 R2: n sisältämä sovelluksen hallintaominaisuus, on parannus Windows XP Professionalin mukana toimitettuihin ohjelmistorajoituskäytäntöihin (SRP). AppLocker sallii sovellusten suoritussääntöjen ja niistä tehtyjen poikkeusten määrittelemisen tiedostomääritteiden, kuten polku, julkaisija, tuotenimi, tiedostonimi, tiedostoversio ja niin edelleen. Käytännöt voidaan sitten määrittää tietokoneille, käyttäjille, suojausryhmille ja organisaatioyksiköille Active Directoryn kautta.
Raportointi on rajoitettu siihen, mitä lokitiedostoista voidaan vetää, ja sääntöjen luominen tiedostotyypeille, joita ei ole määritelty AppLockerissa, voi olla vaikeaa. Mutta AppLockerin suurin haittapuoli on, että se on rajoitettu Windows 7 Enterprise-, Windows 7 Ultimate- ja Windows Server 2008 R2 -asiakkaille. Windows 7 Professionalia voidaan käyttää käytäntöjen luomiseen, mutta se ei voi käyttää AppLocker-ohjelmaa pakottaakseen itselleen sääntöjä. AppLockeria ei voida käyttää aiempien Windows-versioiden hallintaan, vaikka sekä Windows XP Pron SRP että AppLocker voidaan määrittää samalla tavalla vaikuttamaan koko yrityksen käytäntöön.
[Lue testikeskustelu Bit9: n, CoreTrace: n, Lumensionin, McAfeen, SignaCertin ja Microsoftin sallittujen luetteloiden ratkaisuista. Vertaa näitä sovellusten sallittujen luetteloiden ratkaisuja ominaisuuksien mukaan. ]
AppLocker voidaan määrittää paikallisesti käyttämällä Local Computer Policy -objektia (gpedit.msc) tai Active Directory- ja ryhmäkäytäntöobjekteja (GPO). Kuten monet Microsoftin uusimmat Active Directory -yhteensopivat tekniikat, järjestelmänvalvojat tarvitsevat ainakin yhden verkkotunnukseen liitetyn Windows Server 2008 R2- tai Windows 7 -tietokoneen AppLockerin määrittelemiseksi ja hallinnoimiseksi. Windows 7 -tietokoneet tarvitsevat Ryhmäkäytäntöjen hallinta -konsoliominaisuuden asennettuna osana Windows 7: n etäpalvelimen hallintatyökaluja (ilmainen lataus). AppLocker luottaa sisäänrakennettuun sovellustunnuspalveluun, joka on oletusarvoisesti yleensä manuaalinen käynnistystyyppi. Järjestelmänvalvojien tulisi määrittää palvelu käynnistymään automaattisesti.
Paikallisessa tai ryhmäkäytäntöobjektissa AppLocker otetaan käyttöön ja määritetään \ Computer Configuration \ Windows Settings \ Security Settings \ Application Control Policies -säilössä [näyttökuva].
Oletuksena, kun se on käytössä, AppLocker-säännöt eivät salli käyttäjien avata tai suorittaa tiedostoja, joita ei ole erikseen sallittu. Ensimmäisen kerran testaajat hyötyvät siitä, että sallitaan AppLockerin luoda oletusjoukko turvallisia sääntöjä Luo oletussäännöt -vaihtoehdolla. Oletussääntöjen mukaan kaikki Windows- ja Ohjelmatiedostot-tiedostot voidaan suorittaa ja Järjestelmänvalvojat-ryhmän jäsenet voivat suorittaa mitä tahansa.
Yksi merkittävimmistä parannuksista SRP: hen on kyky ajaa AppLocker mihin tahansa osallistuvaan tietokoneeseen käyttämällä Luo säännöt automaattisesti -vaihtoehtoa [näyttökuva], jotta perussääntöjoukot voidaan luoda nopeasti. Muutamassa minuutissa tunnetusta puhtaasta kuvasta voidaan luoda kymmeniä satoja sääntöjä, jotka säästävät AppLocker-järjestelmänvalvojia missä tahansa tunnista työpäivään.
AppLocker tukee neljän tyyppisiä sääntökokoelmia: Suoritettava, DLL, Windows Installer ja komentosarja. SRP-järjestelmänvalvojat huomaavat, että Microsoftilla ei ole enää rekisterisääntöjä tai Internet-vyöhykkeiden asetuksia. Jokainen sääntökokoelma kattaa rajoitetun joukon tiedostotyyppejä. Esimerkiksi suoritettavat säännöt kattavat 32- ja 64-bittiset .EXE: t ja .COM: t; kaikki 16-bittiset sovellukset voidaan estää estämällä ntdvm.exe-prosessin suorittaminen. Komentosarjan säännöt kattavat .VBS-, .JS-, .PS1-, .CMD- ja .BAT-tiedostotyypit. DLL-sääntöjen kokoelma kattaa .DLL: t (mukaan lukien staattisesti linkitetyt kirjastot) ja OCX: t (Object Linking and Embedding Control Extensions, alias ActiveX-komponentit).
Jos tietylle sääntökokoelmalle ei ole olemassa AppLocker-sääntöjä, kaikki tiedostot, joilla on kyseinen tiedostomuoto, sallitaan suorittaa. Kun kuitenkin luodaan AppLocker-sääntö tietylle säännökokoelmalle, vain säännössä nimenomaisesti sallitut tiedostot voidaan suorittaa. Esimerkiksi, jos luot suoritettavan säännön, joka sallii .exe-tiedostot % SystemDrive% \ FilePath Suorittaa vain kyseisellä polulla olevat suoritettavat tiedostot voidaan suorittaa.
AppLocker tukee kolmen tyyppisiä sääntöehtoja kullekin sääntöryhmälle: polkusäännöt, File Hash -säännöt ja Publisher-säännöt. Mitä tahansa säännön ehtoa voidaan käyttää suorittamisen sallimiseksi tai estämiseksi, ja se voidaan määrittää tietylle käyttäjälle tai ryhmälle. Polku- ja tiedostomerkintäsäännöt ovat itsestään selviä; molemmat hyväksyvät jokerimerkit. Publisher-säännöt ovat melko joustavia, ja niiden avulla digitaalisesti allekirjoitetun tiedoston useita kenttiä voidaan sovittaa tiettyihin arvoihin tai jokerikortteihin. Käyttämällä kätevää liukusäädintä AppLocker-käyttöliittymässä [näyttökuva] voit nopeasti korvata tietyt arvot villikorteilla. Jokainen uusi sääntö sallii kätevästi yhden tai useamman poikkeuksen tekemisen. Oletusarvon mukaan julkaisijan säännöt käsittelevät tiedostojen päivitettyjä versioita samoin kuin alkuperäiset, tai voit pakottaa tarkan vastaavuuden.
Tärkeä ero AppLockerin ja niin kutsuttujen kilpailijoiden välillä on, että AppLocker on todella palvelu, joukko sovellusliittymiä ja käyttäjän määrittelemiä käytäntöjä, joihin muut ohjelmat voivat olla yhteydessä. Microsoft koodasi Windowsin ja sen sisäänrakennetut komentotulkit käyttämään AppLockeria, jotta nämä ohjelmat (Explorer.exe, JScript.dll, VBScript.dll ja niin edelleen) voivat pakottaa noudattamaan AppLocker-käytäntöjen määrittelemiä sääntöjä. Tämä tarkoittaa, että AppLocker on todella osa käyttöjärjestelmää eikä sitä ole helppo kiertää, kun säännöt on määritelty oikein.
Jos kuitenkin sinun on tehtävä sääntö tiedostotyypille, jota ei ole määritelty AppLockerin käytäntötaulukossa, halutun vaikutuksen saaminen voi viedä jonkin verran luovuutta. Esimerkiksi, jos haluat estää .PL-laajennuksella varustettujen Perl-komentotiedostojen suorittamisen, sinun on luotava suoritettava sääntö, joka sen sijaan estää Perl.exe-komentotulkin. Tämä estäisi tai sallisi kaikki Perlin komentosarjat ja vaatii jonkin verran kekseliäisyyttä hienomman hallinnan saamiseksi. Tämä ei ole ainutlaatuinen asia, koska useimmilla tämän arvostelun tuotteilla on samanlaiset rajoitukset.
AppLockerin määritykset ja säännöt voidaan helposti tuoda ja viedä luettavina XML-tiedostoina, säännöt voidaan tyhjentää nopeasti hätätilanteessa ja kaikkia voidaan hallita Windows PowerShellin avulla. Raportointi ja hälytys rajoittuvat siihen, mitä voidaan hakea tavallisista tapahtumalokeista. Mutta vaikka AppLockerin rajoitukset olisivatkin, Microsoftin hintalappu - ilmainen, jos käytössäsi on Windows 7 ja Windows Server 2008 R2 - voi olla vahva houkutus ajan tasalla oleville Microsoft-kaupoille.
Tämä tarina "Sovellusten sallittujen luetteloiden lisääminen Windows 7: ssä ja Windows Server 2008 R2: ssa" ja katsaus viiteen yritysverkkojen sallittujen luetteloon sisällytettyyn ratkaisuun julkaistiin alun perin osoitteessa .com. Seuraa tietoturvan, Windowsin ja päätepisteturvallisuuden viimeisintä kehitystä .com-sivustossa
