Microsoft AppLocker, lietojumprogrammu vadības funkcija, kas iekļauta operētājsistēmās Windows 7 un Windows Server 2008 R2, ir uzlabojums programmatūras ierobežojumu politikā (SRP), kas ieviesta kopā ar Windows XP Professional. AppLocker ļauj definēt lietojumprogrammu izpildes kārtību un izņēmumus, pamatojoties uz faila atribūtiem, piemēram, ceļš, izdevējs, produkta nosaukums, faila nosaukums, faila versija un tā tālāk. Pēc tam politikas var piešķirt datoriem, lietotājiem, drošības grupām un organizatoriskajām vienībām, izmantojot Active Directory.
Pārskatu sniegšana ir ierobežota ar to, ko var izvilkt no žurnālfailiem, un var būt grūti izveidot kārtulas failu tipiem, kas nav definēti AppLocker. Bet AppLocker lielākais trūkums ir tas, ka tas attiecas tikai uz Windows 7 Enterprise, Windows 7 Ultimate un Windows Server 2008 R2 klientiem. Windows 7 Professional var izmantot politikas izveidošanai, taču tas nevar izmantot AppLocker, lai ieviestu noteikumus par sevi. AppLocker nevar izmantot, lai pārvaldītu vecākas Windows versijas, lai gan gan Windows XP Pro SRP, gan AppLocker var līdzīgi konfigurēt, lai ietekmētu uzņēmuma mēroga politiku.
[Izlasiet Test Center pārskatu par Bit9, CoreTrace, Lumension, McAfee, SignaCert un Microsoft lietojumprogrammu iekļaušanu baltajā sarakstā. Salīdziniet šos lietojumprogrammu baltā saraksta risinājumus pēc funkcijām. ]
AppLocker var konfigurēt lokāli, izmantojot lokālās datora politikas objektu (gpedit.msc) vai izmantojot Active Directory un grupas politikas objektus (GPO). Tāpat kā daudzām Microsoft jaunākajām ar Active Directory iespējotajām tehnoloģijām, arī administratoriem AppLocker definēšanai un administrēšanai būs nepieciešams vismaz viens ar domēnu pievienots Windows Server 2008 R2 vai Windows 7 dators. Windows 7 datoriem būs nepieciešama grupas politikas pārvaldības konsoles funkcija, kas instalēta Windows 7 attālās servera administrēšanas rīku (RSAT) ietvaros (bezmaksas lejupielāde). AppLocker paļaujas uz iebūvēto lietojumprogrammas identifikācijas pakalpojumu, kas pēc noklusējuma parasti tiek iestatīts uz manuālo startēšanas veidu. Administratoriem jākonfigurē pakalpojums, lai tas sāktu automātiski.
Vietējā vai grupas politikas objektā AppLocker ir iespējots un konfigurēts konteinerā \ Computer Configuration \ Windows Settings \ Security Settings \ Application Control Policies [ekrāna attēls].
Pēc noklusējuma, kad tas ir iespējots, AppLocker kārtulas neļauj lietotājiem atvērt vai palaist failus, kas nav īpaši atļauti. Pirmo reizi izmēģinātāji gūs labumu, ļaujot AppLocker izveidot noklusējuma "drošu kārtulu" kopu, izmantojot opciju Izveidot noklusējuma kārtulas. Noklusējuma kārtulas ļauj darboties visiem Windows un Program Files failiem, vienlaikus ļaujot administratoru grupas dalībniekiem palaist jebko.
Viens no ievērojamākajiem uzlabojumiem, salīdzinot ar SRP, ir iespēja palaist AppLocker pret jebkuru iesaistīto datoru, izmantojot opciju Automātiski ģenerēt kārtulas [ekrāna attēls], lai ātri ģenerētu bāzes kārtulu kopu. Dažu minūšu laikā pret zināmu tīru attēlu var izveidot desmitiem līdz simtiem noteikumu, tādējādi saglabājot AppLocker administratorus no stundām līdz darba dienām.
AppLocker atbalsta četru veidu kārtulu kolekcijas: izpildāmo, DLL, Windows Installer un skriptu. SRP administratori pamanīs, ka Microsoft vairs nav reģistra noteikumu vai interneta zonu opciju. Katra kārtulu kolekcija aptver ierobežotu failu tipu kopu. Piemēram, izpildāmie noteikumi attiecas uz 32 bitu un 64 bitu .EXE un .COM; visas 16 bitu lietojumprogrammas var bloķēt, novēršot ntdvm.exe procesa izpildi. Skriptu kārtulas attiecas uz .VBS, .JS, .PS1, .CMD un .BAT failu tipiem. DLL kārtulu kolekcijā ietilpst .DLL (ieskaitot statiski saistītās bibliotēkas) un OCX (objektu saistīšanas un iegulšanas vadības paplašinājumus, jeb ActiveX vadīklas).
Ja konkrētai kārtulu kolekcijai nav AppLocker kārtulu, drīkst palaist visus failus ar šo faila formātu. Tomēr, izveidojot AppLocker kārtulu noteiktai kārtulu kolekcijai, drīkst palaist tikai faili, kas skaidri atļauti likumā. Piemēram, ja izveidojat izpildāmu kārtulu, kas atļauj .exe failus % SystemDrive% \ FilePath lai palaistu, ir atļauts palaist tikai izpildāmos failus, kas atrodas šajā ceļā.
AppLocker atbalsta trīs kārtulu nosacījumu veidus katrai kārtulu kolekcijai: Ceļa kārtulas, Failu jaukšanas kārtulas un Izdevēja kārtulas. Jebkuru kārtulas nosacījumu var izmantot, lai atļautu vai noraidītu izpildi, un to var definēt konkrētam lietotājam vai grupai. Ceļa un faila jaukšanas noteikumi ir pašsaprotami; abi pieņem aizstājējzīmju simbolus. Izdevēja noteikumi ir diezgan elastīgi, un tie ļauj jebkura digitāli parakstīta faila vairākus laukus saskaņot ar noteiktām vērtībām vai aizstājējzīmēm. Izmantojot ērtu slīdjoslu AppLocker GUI [ekrāna attēls], jūs varat ātri aizstāt konkrētās vērtības ar aizstājējzīmēm. Katrs jauns noteikums ērti ļauj izdarīt vienu vai vairākus izņēmumus. Pēc noklusējuma Publisher kārtulas atjauninātās failu versijas apstrādās tāpat kā oriģinālus, vai arī jūs varat ieviest precīzu atbilstību.
Svarīga atšķirība starp AppLocker un tā sauktajiem konkurentiem ir tā, ka AppLocker patiešām ir pakalpojums, API un lietotāja definētu politiku kopums, ar kuru var saskarties citas programmas. Microsoft kodēja Windows un tās iebūvētos skriptu tulkus, lai tie saskartos ar AppLocker, lai šīs programmas (Explorer.exe, JScript.dll, VBScript.dll un tā tālāk) varētu izpildīt AppLocker politikas definētos noteikumus. Tas nozīmē, ka AppLocker patiešām ir operētājsistēmas sastāvdaļa un to nav viegli apiet, kad noteikumi ir pareizi definēti.
Tomēr, ja jāizveido kārtula faila tipam, kas nav definēts AppLocker politikas tabulā, vēlamā efekta iegūšanai var būt nepieciešams kāds radošums. Piemēram, lai novērstu Perl skriptu failu ar paplašinājumu .PL izpildi, jums ir jāizveido izpildāmā kārtula, kas tā vietā bloķēja skriptu tulku Perl.exe. Tas bloķētu vai atļautu visus Perla skriptus un prasītu zināmu atjautību, lai iegūtu precīzāku kontroli. Tas nav unikāls jautājums, jo lielākajai daļai šī pārskata produktu ir tāda paša veida ierobežojumi.
AppLocker konfigurāciju un kārtulas var viegli importēt un eksportēt kā lasāmus XML failus, ārkārtas situācijā noteikumus var ātri notīrīt un visus var pārvaldīt, izmantojot Windows PowerShell. Ziņošana un brīdināšana aprobežojas ar to, ko var iegūt no parastajiem notikumu žurnāliem. Bet pat ar AppLocker ierobežojumiem Microsoft cenu zīme bez maksas, ja jūs izmantojat Windows 7 un Windows Server 2008 R2, var būt spēcīga pievilcība jaunākajiem Microsoft veikaliem.
Šis stāsts "Lietotņu iekļaušana baltajā sarakstā Windows 7 un Windows Server 2008 R2" un pārskati par pieciem uzņēmumu tīklu balto sarakstu risinājumiem sākotnēji tika publicēti vietnē .com. Sekojiet jaunākajiem notikumiem informācijas drošības, Windows un galapunkta drošības jomā vietnē .com.