Innledning
Selv AppLocker er langt bedre enn programvarebegrensningspolicyer, er det noen store problemer som du må være klar over før du noensinne lage ditt første AppLocker regelen. Denne artikkelen forklarer disse problemene.
I min første artikkel i denne serien, forklarte jeg at Microsoft introduserte programvarebegrensningspolicyer i Windows XP som en måte å la administratorer å ha kontroll over hvilke programmer brukerne har lov til å kjøre. Som historien har vist skjønt, programvarebegrensningspolicyer har noen store svakheter. Med utgivelsen av Windows 7 har Microsoft forsøkt å løse disse svakhetene gjennom en ny funksjon kalt AppLocker.
Kompatibilitet
Selv AppLocker er teknisk sett en ny versjon av programvaren Restriction Policies har, er AppLocker ikke kompatibel med programvarebegrensningspolicyer . Hvis du for øyeblikket har programvarebegrensningspolicyer definert innenfor et gruppepolicyobjekt, vil disse retningslinjene fortsette å jobbe, selv om du oppgraderer organisasjonens PCer til Windows 7. Men hvis du definerer AppLocker politikk innenfor samme gruppepolicyobjekt som allerede inneholder programvare Restriksjons Politikk, deretter datamaskiner som kjører Windows 7 vil ignorere dine programvarebegrensningspolicyer, og bare de AppLocker politikk vil bli brukt.
På baksiden, hvis et gruppepolicyobjekt inneholder både programvarebegrensningspolicyer og AppLocker politikk, deretter datamaskiner som kjører Windows XP og Vista vil ignorere AppLocker politikk og vil bare bruke programvarebegrensningspolicyer. Dette skjer fordi AppLocker funksjonen ikke finnes i eldre operativsystemer
. Begrensninger
Selv AppLocker tilbyr en stor forbedring over programvarebegrensningspolicyer, det har noen begrensninger. Den største begrensningen er at hvis brukerne har administrative rettigheter enn sine egne datamaskiner, så AppLocker lett kan omgås.
Microsoft anbefaler vanligvis at du ikke gir brukerne administrative rettigheter, men i den virkelige verden å gjøre det noen ganger er uunngåelig. Tross alt, er det noen programmer som rett og slett ikke vil fungere riktig med mindre brukeren har full kontroll over systemet.
Hvis du ønsker å bruke AppLocker, men brukerne har administrative rettigheter, så jeg vil anbefale å ta litt tid for å se om det er noen alternativer til å gi brukerne full administrativ kontroll over sine datamaskiner. Kanskje du kan gi brukerne full kontroll over visse mapper uten egentlig å måtte gi dem full blåst administrative rettigheter. Denne tilnærmingen fungerer ikke alltid skjønt, fordi noen programmer krever at brukeren skal kunne endre registret eller andre deler av operativsystemet.
Hvis brukerne krever full blåst administrativ tilgang til systemet, kan du være i stand til å få unna med bare å låse ned de administrative verktøy. For eksempel kan du være i stand til å lage en regel som låser ned ting som Registerredigering eller Windows Powershell. Hvis du prøver å bruke denne tilnærmingen, må du passe på ikke å gjøre regelen global i omfang. Tross alt, vil din help desk staff trolig kreve tilgang til de ulike administrative verktøy slik at de kan løse problemer med brukernes maskiner.
Basic AppLocker strategier
Selv AppLocker støtter noen av de samme grunnleggende typer regler som programvarebegrensningspolicyer bruk, er den grunnleggende måten AppLocker fungerer ganske litt forskjellig fra hva du kan brukes til. Faktisk er det lett å få deg inn i en masse trøbbel hvis du ikke forstår den måten at AppLocker fungerer. Derfor anbefaler jeg at du følger nøye med på hva jeg skal fortelle deg i denne delen.
For å trygt bruke AppLocker, må du forstå Microsofts grunnleggende filosofien bak AppLocker regler. Denne filosofien dreier rundt ideen om at det er spesielle programmer som du bruker i din organisasjon. I kontrast, er det et nesten uendelig antall programmer som organisasjonen ikke bruker. Ikke tenk på disse programmene i tradisjonell forstand, men snarere som kjørbar kode. For eksempel, noen av de typer "programmer" som du kanskje ikke har godkjent for bruk i organisasjonen kan omfatte eldre versjoner av programmene som du bruker, videospill, malware, peer nettverk programvare, og listen fortsetter.
Mitt poeng er at det er langt flere programmer som du ikke ønsker brukere å kjøre enn det er programmer som brukerne er ment å være bruker. Det å være tilfelle, er det langt lettere å gi Windows med en hviteliste over godkjente søknader enn det er å blokkere hvert enkelt program som du ønsker å hindre fra å kjøre. Dette er Microsofts filosofi bak måten AppLocker reglene fungerer
Dette fører meg til den første store konseptet bak AppLocker regler. Selv om du husker ingenting annet fra hele denne serien, husk dette. AppLocker regler er organisert i samlinger (som jeg vil snakke mer om senere i denne serien). Selv om det er mulig å lage en eksplisitt fornektelse, bør AppLocker regler vanligvis betraktes som en mekanisme for å gi tillatelse til noe (husk, det er lettere å godkjenne programvaren som du vil tillate enn å forby programvare som du ønsker å begrense ). Nå kommer her veldig viktig del. Hvis du lager så mye som en eneste regel i en regel samling, deretter Windows antar automatisk at du vil forhindre at alt annet i å kjøre.
Dette er et svært viktig begrep å forstå fordi la oss anta for et øyeblikk at du ønsket ditt brukere skal kunne kjøre Microsoft Office og Internet Explorer, slik at du oppretter en regel som tillater dem å gjøre det. Ved å gjøre det, har du nektet brukeren rettigheter til å kjøre noe annet, inkludert Windows-operativsystemet. Tro det eller ei, er det lett å tilfeldigvis låse en bruker av Windows ved feil skape AppLocker regler. Dette er noe som jeg kommer til å ta opp mye mer som serien går på.
Siste ting som jeg ønsker å snakke om er fornektelser. Som du kanskje husker, jeg nevnte tidligere at det er mulig å hindre brukere som har administrative rettigheter til systemet fra å kjøre administrative verktøy, men at du kan lage et unntak for helpdesk ansatte. Dette er noe som jeg kommer til å diskutere i mer detalj senere i serien, men for akkurat nå har jeg lyst til å påpeke at etablering av denne typen konfigurasjon krever litt bakover tenkning.
Gitt den måten at AppLocker fungerer, vi kan ikke bare nekte alle tilgang til de administrative verktøy. I stedet vil vi måtte gi alle tilgang til Windows-systemfilene. Derfra kunne vi legge til en fornektelse for de administrative verktøy som gjelder for en bestemt gruppe brukere (alle, men helpdesk ansatte). Du trenger ikke å gjøre noe for helpdesk ansatte fordi de har tilgang til de administrative verktøy fordi du har gitt alle tilgang til Windows-systemfilene.
Konklusjon
I denne artikkelen har jeg forklart at det er lett å tilfeldigvis låse deg ut av Windows ved å skape en utilbørlig sett AppLocker regler. Det å være tilfelle, vil jeg anbefale å eksperimentere med AppLocker på ett eller flere lab PC før du noen gang prøver å bruke AppLocker i et produksjonsmiljø. I del 3 av denne serien, jeg kommer til å begynne å vise deg hvordan du faktisk lage AppLocker regler.