En introduksjon til AppLocker (del 5)

Innledning
I del 4 av denne serien, jeg viste deg AppLocker regler som er generert som standard, og snakket om hva hver av disse reglene gjør. I denne artikkelen, jeg ønsker å avslutte serien ved å vise deg hvordan du endrer standardregler og hvordan du kan lage dine egne AppLocker regler.
Anatomy på en regel
nøkkelen til å skape en ny AppLocker regel eller endre en eksisterende regel er å forstå hva de viktigste komponentene er som utgjør en regel, og hvordan disse komponentene fungerer sammen. Etter det, kan du endre en eksisterende regel ved å høyreklikke på regelen og velge Egenskaper kommando fra den resulterende hurtigmenyen. Derfra kan du gjøre de ønskede endringer og klikk på OK. På samme måte kan du lage en ny AppLocker regel ved å høyreklikke på en regel kategori og velge Opprett Ny regel kommandoen fra hurtigmenyen.
Når du oppretter en ny regel, lanserer Windows en veiviser som leder deg gjennom prosessen. I kontrast, endre en eksisterende regel innebærer manuelt redigere innholdet i de ulike feltene på et eiendommer ark. I begge tilfeller skjønt, er du arbeider med akkurat det samme settet av alternativer. Det å være tilfelle, vil jeg snakke om de ulike alternativene og hva de gjør.
Hvis du ser på figur A nedenfor, kan du se egenskapene ark som brukes når du endre en eksisterende regel. De to første alternativene på egenskaper arket kategorien Generelt kan du tilordne et navn til den regelen, og for å legge inn en valgfri beskrivelse av regelen. Selv om du skriver inn en beskrivelse er valgfritt, anbefaler jeg å være så beskrivende som mulig, fordi når du begynner å akkumulere AppLocker regler, kan det være vanskelig å huske hva hver regel gjør
Figur A:.
Hver AppLocker regel må tilordnes et unikt navn
neste settet med alternativer finnes i kategorien Generelt kan du kontrollere hvem regelen vil gjelde for, og hvorvidt den brukeren eller gruppen skal få lov til å kjøre de angitte anvendelser. For eksempel regelen vist i figuren ovenfor tillater medlemmer av den innebygde administratorgruppen for å kjøre enkelte programmer. For å se hvilke programmer denne gruppen gjør det mulig å kjøre, må vi bytte til kategorien Path, som vist i figur B.
Figur B:
Sti kategorien viser banen som regelen gjelder
egenskaper ark vist i figuren ovenfor bare inkluderer en bane kategorien fordi det gjelder en bane regelen. Hadde dette vært en utgiver regel eller en fil hash regel, ville navnet på fanen være annerledes. I alle fall skjønt, setter denne kategorien opp betingelsene for regelen. For eksempel, i figuren over banen er beskrevet som *. *, Som betyr en hvilken som helst bane. Derfor tilstanden som aktiverer denne regelen er egentlig "enhver sti". Som du kan se i figuren selv, kunne vi like gjerne spesifisert en mer bestemt bane, eller til og med en egen fil.
Siste kategorien på egenskaper arket er kategorien Unntak. Som navnet tilsier, unntak -kategorien, som er vist i figur C, lar deg gjøre unntak fra regelen. Et unntak kan bestå av et forlag, File Hash, eller en bane regelen. For eksempel er AppLocker regel at jeg har vært å vise deg utformet slik at administratorer til å kjøre noen Windows installasjonsfilen, uansett plassering. Hvis vi ønsket å lage et unntak fra regelen, kunne vi sette regelen opp slik at administrator er i stand til å kjøre noen Windows Installer-fil med mindre det ligger i C: \\ Programfiler \\ Games-mappen. En annen variant kan være et unntak basert på filen hash av installasjonspakken for Grand Theft Auto. På den måten kan en administrator installere stort sett alt som de må, men de kan ikke installere Grand Theft Auto
Figur C:.
Unntak fanen lar deg gjøre unntak en herske
Mens jeg er på temaet regel unntak, jeg ønsker å påpeke at noen ganger unntak jobbe bakover fra det jeg nettopp har beskrevet. Som du vil huske, kan du sette opp en regel å enten tillate eller nekte tillatelse til å kjøre et program. Da jeg viste deg benekte alternativet, har du kanskje tenkt at det var litt rart å ha en fornektelse alternativ når AppLocker standard oppførsel er å nekte tilgang til noe som du ikke uttrykkelig har gitt brukere tillatelse til å bruke. Grunnen til at Deny alternativet eksisterer er fordi du faktisk kan gi tillatelser ved å opprette et unntak til en regel for avvisning.
Jeg vet at dette høres forvirrende, så la meg gi deg et eksempel. Anta at for noen grunn du ønsket å blokkere tilgang til hele programfiler (ikke egentlig blokkere denne mappen, dette er bare et eksempel), men du trenger for at brukere skal kunne kjøre programmer som ligger i \\ Program Files \\ Microsoft. Du kan oppnå dine mål ved å lage en regel som nekter tilgang til mappen \\ Program Files, men som lister \\ Program Files \\ Microsoft som et unntak fra regelen.
Automatisk generering AppLocker regler
Som du kan se, AppLocker Reglene er ikke veldig komplisert. Likevel, når du begynner å lage AppLocker regler, må du autorisere enhver applikasjon som du vil at brukerne skal få lov til å kjøre. Hvis du unnlater å godkjenne en søknad, vil brukerne ikke kunne kjøre den. Mitt poeng er at selv om Microsoft gjør det enkelt å lage en AppLocker regel skape et omfattende sett av AppLocker regler kan være mye arbeid. Heldigvis finnes det hjelp.
AppLocker inneholder en mekanisme for automatisk generering av nødvendige regler. For å få tilgang til denne funksjonen, bare høyreklikk på en av reglene containere, og velger automatisk generere Regler kommandoen fra hurtigmenyen. Når du gjør det, vil Windows starte en veiviser som spør etter navnet på en filbane til å analysere, til en sikkerhetsgruppe som de nyopprettede reglene skal gjelde for, og et navn tildele til regelverket. Du kan se hva denne veiviseren ser ut som i figur D.
Figur D:
Windows kan automatisk generere AppLocker regler
Når du velger Neste, spør Windows deg noen spørsmål om hvordan reglene skal opprettes. Som standard oppretter Windows utgiver regler for noen signerte programmer, og filen hash regler for alle andre programmer. Dette er bare standard virke skjønt. Du har muligheten til å lage andre typer regler.
Når du har bestemt hvilke typer regler du ønsker å opprette, klikker du Neste og reglene vil bli generert. Når prosessen er ferdig, vil du se et skjermbilde som ligner på det som er vist i figur E. Som du kan se, dette skjermbildet forteller deg hvor mange regler av hver type ble opprettet. Du har også muligheten til å gjennomgå filene som ble analysert eller av å se de reglene som ble automatisk opprettet
Figur E:.
AppLocker kan automatisk lage store tall eller regler
Konklusjon
Selv AppLocker er en stor forbedring over programvarebegrensningspolicyer, er det langt fra å være en erstatning for tredjepartsprogram management software. Selv så AppLocker regler gjør en rimelig god jobb slik at du kan låse ned stasjonære slik at brukerne er kun tillatt å kjøre autoriserte applikasjoner.