før jeg begynner
Så langt i denne serien, har jeg snakket om hvordan AppLocker fungerer, og om de ulike typer AppLocker regler som er tilgjengelige for deg. I denne artikkelen ønsker jeg å fortsette serien ved å vise deg hvordan du oppretter en AppLocker regelen.
Før jeg kommer i gang, er det et par viktige punkter som jeg trenger for å understreke. For det første er det ekstremt viktig for deg å huske på at når du begynner å lage regler, er alle programmer som ikke er eksplisitt adressert av disse reglene forbudt fra å kjøre. Hvis du oppretter AppLocker regler på feil måte, kan du faktisk låse deg ut av datamaskinen. Jeg vil derfor sterkt anbefale å gjøre en backup av datamaskinen før du eksperimenterer med AppLocker regler.
Dernest må du huske på at reglene blir håndhevet, selv om de ikke er aktivert. AppLocker støtter tre forskjellige håndhevings moduser; Ikke konfigurert, Håndheve regler, og Audit Only. Hvis regler eksisterer, vil de bli gjeldende dersom håndheving modus er satt til å håndheve reglene eller ikke konfigurert. Jeg anbefaler derfor at du starter ut ved å sette håndheving modus til Sporing Only. Del 3 av denne serien inneholder instruksjoner for hvordan håndhevelse modus.
Standardreglene
Når du er klar til å begynne å lage AppLocker regler, jeg anbefaler at du kommer i gang med å lage et sett med standardregler. Tidligere nevnte jeg at du kan ved et uhell låse deg ut av Windows hvis du søkt AppLocker regler feil. Standardreglene er utformet for å holde det skjer. De skaper et sett med regler som er utformet slik at Windows skal kjøre.
Ironisk nok, standardreglene er ikke skapt som standard. For å opprette standardregler, åpner Group Policy Object Editor og navigere gjennom konsolltreet til Computer Configuration | Windows Innstillinger | Sikkerhetsinnstillinger | Søknad Kontrollregler | AppLocker | Kjør reglene. Nå, høyreklikk på den kjør Regler beholderen og velg Opprett standardreglene kommandoen fra den resulterende hurtigmenyen.
Når standardreglene har blitt opprettet, høyreklikk på Windows Installer-reglene container og velg Opprett standardreglene kommandoen fra snarveien. Endelig, høyreklikk på Script Regler container, og velg Opprett standardreglene kommando. På tidspunktet da denne artikkelen ble skrevet, var det ingen standard skript regler, men som etter hvert kan forandre seg, så det er en god idé å gå videre og i det minste prøve å lage standard script regler
Gjennomgå standardreglene
Selv om standardreglene er utformet for å beskytte Windows, er det en sjanse for at standardreglene kan komme i konflikt med bedriftens sikkerhetspolitikk. Du kan finjustere standardregler for å gjøre dem mer restriktive, men du må være veldig forsiktig i å gjøre det.
Hvis du ser på figur A, kan du se at Windows oppretter tre standardkjør regler. Den første regelen gjør at alle kan kjøre alle filer som ligger i mappen Programfiler. Den andre regelen gjør at alle kan kjøre alle filer som finnes i Windows-mappen. Den tredje regelen gjør at BUILTIN \\ administratorkontoen for å kjøre hvilken som helst fil på systemet.
Figur A:
Det er tre standardKjør regler
La meg starte med å si at du ikke bør forsøke å endre den tredje regelen. Den BUILTIN \\ Administrator konto må full tilgang til systemet. Utover det selv, kan du endre de to første reglene for å gjøre dem mer restriktive. For eksempel kan det være lurt å lage et sett med regler som gjør at enkelte programmer som er plassert i Programfiler-katalogen til å kjøre, heller enn å gi teppe tillatelser til hele mappen.
Som du bestemme hvordan reglene skal brukes, er det viktig å huske på at standardreglene er bare å gi brukere tillatelse til å kjøre programmer. Opprette en AppLocker regel ikke gir brukerne muligheten til å installere nye programmer på disse stedene. Hvis en bruker ønsker å installere et program, må de ha de nødvendige NTFS-tillatelser. . Det er et smutthull som du bør være klar
Som standard of skjønt, brukere har full lese /skrive /lage rettighetene til mappen C: \\ Windows \\ Temp-katalogen. Når standardkjør reglene er opprettet, blir brukeren automatisk innvilget tillatelse til å kjøre programmer som er bosatt i mappen C: \\ Windows \\ Temp-katalogen, fordi det faller under C: \\ Windows-katalogen. Dette betyr at en bruker kan potensielt installere et program i Temp-katalogen og kjøre den.
Før jeg vise deg hvordan du endrer standardreglene, ønsker jeg å ta et øyeblikk og vise deg standard Windows Installer regler. Som tilfellet var med standardkjør regler, Windows opprettet tre standard Windows Installer-regler, som du kan se i figur B.
Figur B:
Det er tre standard Windows Installer-regler
Den første av standard Windows Installer-regler gjør at alle brukere til å kjøre noen Windows Installer-fil, så lenge det er digitalt signert. Det spiller ingen rolle hvem som signerte Windows Installer-fil, eller hvor filen kom fra. Hvis filen har blitt digitalt signert, kan brukere kjøre den.
Andre av standard Windows Installer-regler gjør at alle brukere til å kjøre noen Windows Installer-fil som ligger i mappen% systemdrive% \\ Windows \\ Installer. I så fall trenger Windows Installer-filene ikke engang å bli signert. Så lenge Windows Installer filen er i angitt mappe, blir brukerne lov til å kjøre den.
Siste av Windows Installer-regler gjør at BUILTIN \\ administratorkonto for å kjøre alle Windows Installer-filene. Som var tilfelle før, bør du la denne regelen alene, fordi den innebygde \\ administratorkontoen trenger disse tillatelsene.
Klargjøring å endre standardreglene
jeg innser at det er noen av dere som var helt cringing når du lese noen av de tillatelser som er gitt av standardregler. Vær trygg på at jeg kommer til å vise deg hvordan du kan endre disse tillatelsene. Før jeg kommer inn at i neste artikkel, er det noen flere konsepter som jeg trenger for å løse.
Jeg har forklart at Kjør regler gjelder for kjørbare filer, men tro det eller ei, har AppLocker en veldig spesifikk definisjon av kjørbar filer. AppLocker definerer kjørbare filer som EXE eller COM-filer. Selv om BAT, PIF- og noen få andre formater er teknisk kjørbar, er de ikke omfattes av standardkjørbare filen regler.
Akkurat som AppLocker har en spesifikk definisjon for kjørbare filer, det har også en spesifikk definisjon for Windows installasjonsfilene. Windows Installer-filene er definert som MSI og MSP-filer.
Konklusjon
I denne artikkelen har jeg forklart hvordan du kan lage et sett med standard AppLocker regler. I neste artikkel i serien, vil jeg vise deg hvordan du kan endre standardreglene, og hvordan du kan lage egne regler. Prosessen for å opprette og endre reglene er ganske intuitivt, så hvis du ønsker å hoppe fremover, gjerne. Bare husk at etter hvert som antall AppLocker regler øker, har en tendens til ytelse for å redusere, så det er en god idé å prøve å begrense det totale antallet regler som du oppretter.