AppLocker společnosti Microsoft, funkce ovládání aplikací obsažená ve Windows 7 a Windows Server 2008 R2, je vylepšení v zásadách omezení softwaru (SRP) zavedených v systému Windows XP Professional. AppLocker umožňuje definovat pravidla provádění aplikací a výjimky z nich na základě atributů souboru, jako je cesta, vydavatel, název produktu, název souboru, verze souboru atd. Zásady lze poté přiřadit počítačům, uživatelům, skupinám zabezpečení a organizačním jednotkám prostřednictvím služby Active Directory.
Hlášení je omezeno na to, co lze stáhnout ze souborů protokolu, a vytváření pravidel pro typy souborů, které nejsou definovány v AppLockeru, může být obtížné. Největší nevýhodou aplikace AppLocker je však to, že je omezena na klienty Windows 7 Enterprise, Windows 7 Ultimate a Windows Server 2008 R2. Windows 7 Professional lze použít k vytvoření zásad, ale nemůže použít AppLocker k vynucení pravidel sama o sobě. AppLocker nelze použít ke správě dřívějších verzí systému Windows, ačkoli SRP i AppLocker systému Windows XP Pro lze podobně nakonfigurovat tak, aby ovlivňovaly celopodnikové zásady.
[Přečtěte si recenzi Test Center na seznamy aplikací povolených od společností Bit9, CoreTrace, Lumension, McAfee, SignaCert a Microsoft. Porovnejte tato řešení pro přidávání povolených aplikací podle funkcí. ]
AppLocker lze konfigurovat místně pomocí objektu Zásady místního počítače (gpedit.msc) nebo pomocí objektů Active Directory a Zásady skupiny (GPO). Stejně jako mnoho nejnovějších technologií podporovaných službou Active Directory od společnosti Microsoft budou i správci potřebovat k definování a správě aplikace AppLocker alespoň jeden počítač se systémem Windows Server 2008 R2 nebo Windows 7 připojený k doméně. Počítače se systémem Windows 7 budou potřebovat funkci konzoly Správa zásad skupiny nainstalovanou jako součást Nástrojů pro vzdálenou správu serveru (RSAT) pro Windows 7 (bezplatné stažení). AppLocker spoléhá na integrovanou službu Application Identity, která je standardně ve výchozím nastavení nastavena na ruční spuštění. Správci by měli nakonfigurovat službu tak, aby se spouštěla automaticky.
V rámci místního nebo skupinového objektu zásad je AppLocker povolen a konfigurován v kontejneru \ Computer Configuration \ Windows Settings \ Security Settings \ Application Control Policies [obrázek obrazovky].
Ve výchozím nastavení, pokud je povoleno, pravidla AppLocker neumožňují uživatelům otevírat nebo spouštět žádné soubory, které nejsou konkrétně povoleny. Pro první testery bude přínosem to, že umožní AppLockeru vytvořit výchozí sadu „bezpečných pravidel“ pomocí možnosti Vytvořit výchozí pravidla. Výchozí pravidla umožňují spuštění všech souborů v systému Windows a programových souborech a umožňují členům skupiny Administrators spouštět cokoli.
Jedním z nejpozoruhodnějších vylepšení oproti SRP je schopnost spustit AppLocker proti jakémukoli zúčastněnému počítači pomocí možnosti Automaticky generovat pravidla [obrázek na obrazovce] pro rychlé vygenerování základní sady pravidel. Proti známému čistému obrazu lze za několik minut vytvořit desítky až stovky pravidel, což ušetří administrátory AppLocker kdekoli od hodin po dny práce.
AppLocker podporuje čtyři typy kolekcí pravidel: spustitelný soubor, DLL, instalační program systému Windows a skript. Správci SRP si všimnou, že společnost Microsoft již nemá pravidla registru ani možnosti internetových zón. Každá kolekce pravidel pokrývá omezenou sadu typů souborů. Například spustitelná pravidla zahrnují 32bitové a 64bitové soubory .EXE a .COM; všechny 16bitové aplikace mohou být blokovány tím, že zabrání spuštění procesu ntdvm.exe. Pravidla skriptů zahrnují typy souborů .VBS, .JS, .PS1, .CMD a .BAT. Kolekce pravidel DLL pokrývá soubory DLL (včetně staticky propojených knihoven) a OCX (Object Linking and Embedding Control Extensions, aka ActiveX controls).
Pokud pro konkrétní kolekci pravidel neexistují žádná pravidla AppLocker, je možné spustit všechny soubory v tomto formátu. Když je však vytvořeno pravidlo AppLocker pro konkrétní kolekci pravidel, lze spustit pouze soubory výslovně povolené v pravidle. Například pokud vytvoříte spustitelné pravidlo, které umožňuje soubory .exe v % SystemDrive% \ FilePath ke spuštění jsou povoleny pouze spustitelné soubory umístěné v této cestě.
AppLocker podporuje tři typy podmínek pravidel pro každou kolekci pravidel: Pravidla cesty, Pravidla hash souboru a Pravidla vydavatele. Lze použít libovolnou podmínku pravidla pro povolení nebo odmítnutí spuštění a lze ji definovat pro konkrétního uživatele nebo skupinu. Pravidla hash cesty a souboru jsou samozřejmá; oba přijímají symboly zástupných znaků. Pravidla vydavatele jsou poměrně flexibilní a umožňují, aby několik polí libovolného digitálně podepsaného souboru bylo spojeno se specifickými hodnotami nebo zástupnými kartami. Pomocí pohodlného posuvníku v grafickém uživatelském rozhraní AppLocker [obrázek na obrazovce] můžete rychle nahradit konkrétní hodnoty zástupnými znaky. Každé nové pravidlo pohodlně umožňuje vytvoření jedné nebo více výjimek. Ve výchozím nastavení budou pravidla vydavatele považovat aktualizované verze souborů za stejné jako originály, nebo můžete vynutit přesnou shodu.
Důležitým rozdílem mezi AppLockerem a takzvanými konkurenty je, že AppLocker je ve skutečnosti služba, sada API a uživatelsky definované zásady, s nimiž mohou komunikovat jiné programy. Microsoft kódoval Windows a jeho integrované tlumočníky skriptů do rozhraní s AppLocker, aby tyto programy (Explorer.exe, JScript.dll, VBScript.dll atd.) Mohly vynutit pravidla, která definovaly zásady AppLocker. To znamená, že AppLocker je skutečně součástí operačního systému a nelze jej snadno obejít, když jsou pravidla správně definována.
Pokud však potřebujete vytvořit pravidlo pro typ souboru, který není definován v tabulce zásad AppLockeru, může to vyžadovat určitou kreativitu, abyste dosáhli požadovaného efektu. Chcete-li například zabránit provádění souborů skriptu Perl s příponou .PL, budete muset vytvořit spustitelné pravidlo, které místo toho zablokovalo interpreta skriptu Perl.exe. To by zablokovalo nebo povolilo všechny skripty Perlu a vyžadovalo by to určitou vynalézavost, abyste získali jemnější kontrolu. Nejedná se o ojedinělý problém, protože většina produktů v této recenzi má stejný druh omezení.
Konfiguraci a pravidla AppLockeru lze snadno importovat a exportovat jako čitelné soubory XML, pravidla lze v případě nouze rychle vymazat a vše lze spravovat pomocí prostředí Windows PowerShell. Hlášení a výstrahy jsou omezeny na to, co lze stáhnout z protokolů běžných událostí. Ale i s omezeními AppLockeru může být cenovka Microsoftu - zdarma, pokud používáte Windows 7 a Windows Server 2008 R2 - silným lákadlem pro moderní obchody Microsoftu.
Tento příběh, „Seznam povolených aplikací ve Windows 7 a Windows Server 2008 R2“, a recenze pěti řešení povolených pro podnikové sítě, byl původně publikován na .com. Sledujte nejnovější vývoj v oblasti zabezpečení informací, Windows a zabezpečení koncových bodů na .com.
