AppLocker od spoločnosti Microsoft, funkcia ovládania aplikácií zahrnutá v systémoch Windows 7 a Windows Server 2008 R2, je vylepšením zásad Software Restriction Policies (SRP) zavedených v systéme Windows XP Professional. AppLocker umožňuje definovať pravidlá vykonávania aplikácií a výnimky z nich na základe atribútov súboru, ako je cesta, vydavateľ, názov produktu, názov súboru, verzia súboru atď. Politiky je potom možné priradiť počítačom, používateľom, skupinám zabezpečenia a organizačným jednotkám prostredníctvom služby Active Directory.
Vytváranie prehľadov je obmedzené na to, čo je možné získať zo súborov denníka, a vytváranie pravidiel pre typy súborov, ktoré nie sú definované v aplikácii AppLocker, môže byť zložité. Najväčšou nevýhodou aplikácie AppLocker je však to, že je obmedzená na klientov Windows 7 Enterprise, Windows 7 Ultimate a Windows Server 2008 R2. Windows 7 Professional možno použiť na vytvorenie politiky, ale nemôže použiť AppLocker na vynútenie dodržiavania pravidiel sám o sebe. Aplikáciu AppLocker nie je možné použiť na správu starších verzií systému Windows, aj keď je možné SRP aj AppLocker systému Windows XP Pro nakonfigurovať podobne tak, aby ovplyvňovali politiku celého podniku.
[Prečítajte si recenziu Test Center o riešeniach pridávania aplikácií na zoznamy spoločností Bit9, CoreTrace, Lumension, McAfee, SignaCert a Microsoft. Porovnajte tieto riešenia pridávania aplikácií na bielu listinu podľa funkcií. ]
AppLocker je možné nakonfigurovať lokálne pomocou objektu Policy Local Local (gpedit.msc) alebo pomocou Active Directory a Group Policy Objects (GPO). Rovnako ako mnoho najnovších technológií spoločnosti Microsoft s povolenou službou Active Directory, aj správcovia budú na definovanie a správu aplikácie AppLocker potrebovať minimálne jeden počítač so systémom Windows Server 2008 R2 alebo Windows 7 pripojeným k doméne. Počítače so systémom Windows 7 budú potrebovať funkciu konzoly Správa zásad skupiny nainštalovanú ako súčasť nástrojov na vzdialenú správu servera (RSAT) pre systém Windows 7 (bezplatné stiahnutie). AppLocker sa spolieha na zabudovanú službu Application Identity, ktorá je štandardne predvolene nastavená na typ manuálneho spustenia. Správcovia by mali nakonfigurovať automatické spustenie služby.
V rámci lokálneho alebo skupinového objektu politiky je AppLocker povolený a konfigurovaný v kontajneri \ Computer Configuration \ Windows Settings \ Security Settings \ Application Control Policies [obrázok obrazovky].
Predvolene, ak je povolené, pravidlá AppLocker neumožňujú používateľom otvárať alebo spúšťať súbory, ktoré nie sú konkrétne povolené. Pre prvých testerov bude prínosom to, že umožnia aplikácii AppLocker vytvoriť predvolenú skupinu „bezpečných pravidiel“ pomocou možnosti Vytvoriť predvolené pravidlá. Predvolené pravidlá umožňujú spustenie všetkých súborov v systéme Windows a programových súboroch spolu s umožnením členom skupiny Administrators spustiť čokoľvek.
Jedným z najvýznamnejších vylepšení oproti SRP je schopnosť spustiť program AppLocker proti ľubovoľnému zúčastnenému počítaču pomocou možnosti Automaticky generovať pravidlá [obrázok na obrazovke] na rýchle vygenerovanie základnej sady pravidiel. Za pár minút môžu byť vytvorené desiatky až stovky pravidiel oproti známemu čistému obrazu, čo administrátorom AppLocker ušetrí kdekoľvek od hodín po dni práce.
AppLocker podporuje štyri typy kolekcií pravidiel: spustiteľný súbor, DLL, inštalátor systému Windows a skript. Správcovia SRP si všimnú, že spoločnosť Microsoft už nemá pravidlá registra ani možnosti internetových zón. Každá kolekcia pravidiel pokrýva obmedzenú skupinu typov súborov. Napríklad spustiteľné pravidlá zahŕňajú 32-bitové a 64-bitové súbory .EXE a .COM; všetky 16-bitové aplikácie môžu byť blokované tým, že bránia spusteniu procesu ntdvm.exe. Pravidlá skriptov zahŕňajú typy súborov .VBS, .JS, .PS1, .CMD a .BAT. Zbierka pravidiel DLL pokrýva súbory .DLL (vrátane staticky prepojených knižníc) a OCX (rozšírenia ovládacích prvkov prepojenia a vkladania objektov, alias ovládacie prvky ActiveX).
Ak pre konkrétnu kolekciu pravidiel neexistujú žiadne pravidlá AppLocker, môžu sa spustiť všetky súbory v tomto formáte. Keď sa však vytvorí pravidlo AppLocker pre konkrétnu kolekciu pravidiel, môžu sa spúšťať iba súbory výslovne povolené v pravidle. Napríklad ak vytvoríte spustiteľné pravidlo, ktoré umožňuje súbory .exe v % SystemDrive% \ FilePath spustiť sa môžu iba spustiteľné súbory umiestnené na tejto ceste.
AppLocker podporuje tri typy podmienok pravidiel pre každú zbierku pravidiel: Pravidlá cesty, Pravidlá hash súboru a Pravidlá vydavateľa. Na povolenie alebo odmietnutie vykonania je možné použiť ktorúkoľvek podmienku pravidla, ktorú je možné definovať pre konkrétneho používateľa alebo skupinu. Pravidlá hash cesty a súboru sú samozrejmé; obaja akceptujú symboly zástupných znakov. Pravidlá vydavateľa sú pomerne flexibilné a umožňujú priraďovanie viacerých polí ľubovoľného digitálne podpísaného súboru k špecifickým hodnotám alebo zástupným znakom. Pomocou pohodlného posúvača v grafickom používateľskom rozhraní AppLocker [obrázok na obrazovke] môžete konkrétne hodnoty rýchlo nahradiť zástupnými znakmi. Každé nové pravidlo pohodlne umožňuje urobiť jednu alebo viac výnimiek. Pravidlá vydavateľa predvolene zaobchádzajú s aktualizovanými verziami súborov rovnako ako originály, alebo môžete vynútiť presnú zhodu.
Dôležitým rozdielom medzi AppLockerom a takzvanými konkurentmi je, že AppLocker je skutočne služba, sada API a používateľom definované politiky, s ktorými môžu komunikovať iné programy. Microsoft kódoval Windows a svojich vstavaných tlmočníkov skriptov tak, aby spolupracovali s AppLockerom, aby tieto programy (Explorer.exe, JScript.dll, VBScript.dll atď.) Mohli vynucovať pravidlá, ktoré definovali zásady AppLocker. To znamená, že AppLocker je skutočne súčasťou operačného systému a nedá sa ľahko obísť, keď sú pravidlá správne definované.
Ak však potrebujete vytvoriť pravidlo pre typ súboru, ktorý nie je definovaný v tabuľke politík AppLockeru, požadovaný efekt môže vyžadovať určitú tvorivosť. Napríklad, aby ste zabránili vykonaniu súborov skriptu Perl s príponou .PL, budete musieť vytvoriť spustiteľné pravidlo, ktoré namiesto toho zablokuje tlmočníka skriptov Perl.exe. To by zablokovalo alebo umožnilo všetky skripty Perl a vyžadovalo by to trochu vynaliezavosti, aby ste získali jemnejšiu kontrolu. Nejde o ojedinelý problém, pretože väčšina výrobkov v tejto recenzii má rovnaké obmedzenia.
Konfiguráciu a pravidlá aplikácie AppLocker je možné ľahko importovať a exportovať ako čitateľné súbory XML, pravidlá je možné rýchlo vyčistiť v prípade núdze a všetky spravovať pomocou prostredia Windows PowerShell. Hlásenie a výstrahy sú obmedzené na to, čo je možné získať z denníkov bežných udalostí. Ale aj s obmedzeniami aplikácie AppLocker môže byť cenovka spoločnosti Microsoft - zadarmo, ak máte Windows 7 a Windows Server 2008 R2 - silným lákadlom pre moderné obchody spoločnosti Microsoft.
Tento príbeh „Zoznam povolených aplikácií vo Windows 7 a Windows Server 2008 R2“ a recenzie piatich riešení pridávania povolených pre podnikové siete bol pôvodne publikovaný na .com. Sledujte najnovší vývoj v oblasti informačnej bezpečnosti, Windows a zabezpečenia koncových bodov na .com.
