Innledning
Denne artikkelen fortsetter diskusjonen om de oppgavene som må fullføres før du lager regler i AppLocker. I denne artikkelen vil du lære hvilket system tjenester må være aktivert, og jeg vil vise deg hvordan du kan unngå uhell låse deg ut av Windows.
I min forrige artikkel i denne serien, forklarte jeg at AppLocker fungerer på prinsippet om at det er lettere å definere hvilke programmer du vil tillate Windows til å kjøre, enn det er å prøve å blokkere alle potensielle uautorisert program. I denne artikkelen vil jeg diskusjonen ved å vise deg hvordan å forberede etableringen av AppLocker regler for å fortsette.
Åpne AppLocker Console
Du kan få tilgang AppLocker via Group Policy Object Editor. Det ligger på: Computer Configuration | Windows Innstillinger | Sikkerhetsinnstillinger | Søknad Kontrollregler | AppLocker. Du kan også komme til AppLocker ved å velge Local Security Policy snarvei fra Administrative Verktøy-menyen. Når du viser lokal sikkerhetspolicy, er AppLocker ligger på: Sikkerhet Innstillinger | Søknad Kontrollregler | AppLocker. Du kan se hvordan AppLocker container ser ut som i figur A.
Figur A:
Dette er hva AppLocker konsollen ser ut
Komme i gang Del
Som du kan se i figuren er konsollen delt i tre seksjoner. Komme i gang delen gir deg en advarsel som indikerer at når du begynner å lage AppLocker regler, vil kun de programmene som er definert av disse reglene få lov til å kjøre. Det er også et par linker som du kan bruke for å lære mer om AppLocker eller for å finne ut hvilke versjoner av Windows AppLocker regler gjelder for.
Konfigurer Rule Enforcement §
Konfigurer Rule Enforcement delen viser en advarsel som indikerer at for at AppLocker regler som skal håndheves, må Application Identity Tjenesten skal kjøre. Hvis du ser på figur B, kan du se at den Application Identity Tjenesten ikke er konfigurert for automatisk oppstart som standard
Figur B:.
Application Identity Tjenesten ikke blir automatisk aktivert som standard
Hvis du bare eksperimentere med AppLocker på en enkelt PC, så er det vanligvis best å bruke tjenesten Control Manager for å angi Application Identity tjenestens Oppstartstype til Automatisk, og deretter starte tjenesten. Hvis du har planer om å bruke AppLocker med alle dine Windows 7 stasjonære, så er det bedre å aktivere Application Identity service på gruppepolicynivå. Systemtjenester er plassert på Computer Configuration | Windows Innstillinger | Sikkerhetsinnstillinger | System Services i gruppen policy treet.
Hvis du ser tilbake på figur A, vil du legge merke til at Konfigurer Rule Enforcement delen av AppLocker konsollen inneholder en Konfigurer regel Enforcement link. Ved å klikke på denne linken tar deg til AppLocker egenskaper ark, vist i figur C.
Figur C:
Du må bestemme hvilke regler å håndheve
Som du kan se i figuren ovenfor, AppLocker regler er ikke konfigurert som standard. Ikke la det lure deg selv. Ifølge Windows 7 dokumentasjon, "Hvis håndheving ikke er konfigurert, men reglene er til stede i den tilsvarende regel samlingen, disse reglene blir håndhevet".
Husk at når du begynner å opprette regler, alle programmer som ikke eksplisitt er definert av disse reglene er ikke lenger lov til å kjøre. Ifølge teksten fra Windows 7-dokumentasjon, er det bare å lage en regel fører til at regelen skal håndheves, selv om du ikke har valgt konfigurert boksen for regelen samlingen.
Å unngå uhell låse deg ut av Windows, anbefaler jeg går videre og velger konfigurert boksen for alle tre regelsamlinger. Når du har gjort det, bør du sette nedtrekkslisten til Sporing Bare for hver av de regel samlinger.
Når en regel samling er satt til Sporing Only modus, er reglene innenfor denne regelen samlingen ikke håndheves. I stedet, helst som en bruker kjører et program som ville ha blitt rammet av en regel i samlingen, er informasjon om regelen og programmet skrevet til AppLocker hendelsesloggen.
Det er to hovedgrunner til at jeg anbefaler at du satt hver regel samling til Sporing Bare før du begynner å lage noen regler. For det første gjør dette er et sikkerhetstiltak. Så lenge AppLocker arbeider i revisjonsmodus, trenger du ikke å bekymre deg for å låse deg ut av systemet. Dernest revisjon dine regler kan du teste for å se hvor godt reglene fungerer. Når du undersøker kontrolloggene, kan du oppleve at du trenger å revidere reglene fordi et program som bør forbys er å få lov til å kjøre. På den annen side, kan du oppdage at reglene er for restriktiv, og at de blir påvirket kritiske applikasjoner. Revisjon gjør at du kan finne ut nøyaktig hvordan reglene skal oppføre seg, men uten potensialet for uønskede bivirkninger.
Avanserte AppLocker Properties
Hvis du ser tilbake på figur C, vil du legge merke til at AppLocker Properties blad inneholder en avansert fanen. Hvis du velger denne kategorien, vil du bli gitt muligheten til å aktivere DLL regelen samlingen, som vist i Figur D.
Figur D:
Avansert fanen gir deg muligheten til å aktivere DLL regler samling
Som du ser på bildet ovenfor, det første du vil sannsynligvis legge merke til er den stor, fet tekst advarer deg om at DLL regler kan påvirke systemets ytelse. La meg bare si at det er en grunn til at Microsoft ikke viser DLL regler amoung de andre regel samlinger på egenskapsarket er Enforcement kategorien.
Hvis du velger å aktivere DLL regelen samlingen, så du må godkjenne hver enkelt DLL som er brukes av autoriserte programmer på systemet ditt. Dette pleier å være en veldig stor jobb, og det er lett å tilfeldigvis gå glipp av en DLL. Hvis du glemmer å godkjenne en DLL-fil, da applikasjoner som er avhengig av at DLL vil ikke fungere.
Selvfølgelig forteller advarselstekst i dialogboksen du som muliggjør DLL-filer kan påvirke systemets ytelse. Grunnen til at dette er tilfelle er fordi de fleste programmer bruker minst et par DLL-filer. Dette betyr at når en bruker laster programmet, sjekke for å være sikker på at søknaden er godkjent for bruk er ikke lenger nok. Windows må også sjekke hver DLL-fil, og som tar litt tid å gjøre.
Avhengig av hvordan programmet er utformet, kan det være behov for å jevne laste DLL-filer. Denne handlingen kan føre til økt system responstid som brukeren arbeider i programmet.
Husk at DLL regler har sin plass. Hvis sikkerhet er av avgjørende interesse for organisasjonen din, kan da slik at DLL regler være en god idé. For alle andre skjønt, vil jeg anbefale at du unngår å aktivere DLL regelen samlingen.
Konklusjon
I denne artikkelen har jeg forklart at hvis du skal bruke AppLocker, så er det en god idé å sette alle regel samlingene til revisjonsmodus før du opprette din første regelen. På den måten kan du bestemme effekten av reglene uten å måtte håndtere eventuelle bivirkninger som kan ha medført. I del 4 av denne serien, vil jeg begynne å vise deg hvordan du faktisk lage de nødvendige AppLocker regler.