Artikel top billede

Den ultimative sikkerhedsguide til Windows 7: Del 6

Læs hvordan du får mest ud af de største sikkerhedsforbedringer i Windows 7. Konfiguration af AppLocker. Og husk nu at spille efter reglerne.

Computerworld News Service: Konfiguration af AppLocker.

AppLocker er afhængig af den indbyggede tjeneste Program-id, som normalt er indstillet til manuel opstart. Administratorer bør konfigurere denne tjeneste til at starte automatisk.

Du kan konfigurere AppLocker lokalt ved hjælp af Lokal editor til gruppepolitikobjekter (gpedit.msc) eller via Active Directory og Gruppepolitikobjekter (GPO'er).

Inden for det lokale eller gruppepolitikobjektet slås AppLocker til og konfigureres under \Computerkonfiguration\Windows-indstillinger\Sikkerhedsindstillinger\Politikker for programkontrol.

Som standard tillader regler for AppLocker ikke brugerne at åbne eller køre filer, der ikke specifikt er godkendte på forhånd.

Når man i første omgang tester funktionen, er det en god idé at lade AppLocker oprette et standardsæt af "sikre regler" ved hjælp af valgmuligheden Opret standardregler.

Standardreglerne autoriserer alle filer i Windows og Programfiler og lader medlemmer af administratorgruppen køre hvad som helst.

Kan køre mod enhver computer

En af de mest iøjnefaldende forbedringer i forhold til SRP er muligheden for at køre App­Locker mod enhver computer ved hjælp af valgmuligheden Automatisk oprettelse af regler, der hurtigt kan skabe et grundlæggende sæt regler.

På få minutter kan der produceres hundredvis af regler mod et kendt og sikkert image, hvilket sparer administratorer for timevis eller dagevis af arbejde.

Spil efter reglerne

AppLocker understøtter fire typer af regelsæt: Eksekverbar, DLL, Windows Installer og Script. SRP-administratorer vil straks bide mærke i, at Microsoft ikke længere har registerregler eller valgmuligheder for internetzoner.

Hvert regelsæt dækker et begrænset sæt af filtyper. For eksempel dækker de eksekverbare regler 32- og 64-bit .exe-filer og .com-filer.

Alle 16-bit-applikationer kan blokeres ved at forhindre ntdvm.exe-processen i at køre. Script-regler dækker filtyperne .vbs, .js, .ps1, .cmd samt .bat. DLL-regelsættet dækker .dll-filer (inklusiv statisk forbundne biblioteker) og ocx-filer.

Hvis der ikke eksisterer nogen AppLocker-regler for et specifikt regelsæt, så tillades alle filer, der har det gældende format.

Men når der først er oprettet en regel for et specifikt regelsæt, tillades kun de filer, der specifikt er godkendte.

Hvis du for eksempel opretter en eksekverbar-regel, der tillader .exe-filer i %Systemdrev%\Filsti at køre, så er det kun eksekverbare filer, der ligger i den sti, der har tilladelse til at køre.

AppLocker understøtter tre typer af regel-betingelser for hvert regelsæt: Sti-regler, Fil-hash-regler og udgiver-regler.

Kan defineres for en specifik bruger

Enhver regelbetingelse kan bruges til at tillade eller afvise en fil i at køre, og den kan defineres for en specifik bruger eller gruppe. Sti-regler og Fil-hash-regler forklarer sig selv; de accepterer begge jokertegn.

Udgiver-regler er rimeligt fleksible og gør det muligt at matche adskillige felter fra enhver digitalt signeret fil med specifikke værdier eller jokertegn.

Ved hjælp af en bekvem skyder i AppLockers brugergrænseflade kan du hurtigt erstatte de specifikke værdier med jokertegn.

Hver ny regel tillader oprettelsen af en eller flere undtagelser.

Som standard vil Udgiver-regler behandle opdaterede versioner af filer på samme måde som originalerne, men du kan også gennemtvinge et krav om et helt eksakt match.

Læs også:

Del 1: User Account Control.

Del 2: BitLocker-drevkrypterinng og nem kryptering af sidefilen.

Del 3: Kryptografi og sikrere webbrowsing.

Del 4: Firewall-regler, forbedret gendannelse og nem fjernadgang med DirectAccess.

Del 5: Managed service accounts, virtual service accounts og programkontrol med App Locker.

Her er undtagelserne

Ingen regler uden undtagelser.

Hvis du har brug for at oprette en regel for en filtype, der ikke er defineret i AppLockers politikker, er du nødt til at blive lidt kreativ.

For at forhindre eksempelvis Perl-script-filer med fil-endelsen .pl i at køre, er du nødt til at oprette en eksekverbar-regel, der i stedet blokerer Perl.exe-script-fortolkeren.

Dette vil blokere alle Perl-scripts, og det kræver en del opfindsomhed at opnå en detaljeret kontrol.

Den samme begrænsning gør sig dog gældende for mange andre produkter til programkontrol.

Læsbare XML-filer

AppLockers konfiguration og regler kan let importeres og eksporteres som læsbare XML-filer.

Derudover kan reglerne hurtigt nulstilles i nødstilfælde, og det hele kan styres ved hjælp af Windows PowerShell.

Rapportering og advarsler er begrænset til, hvad der kan trækkes ud fra normale hændelseslog-filer.

Men selv med disse begrænsninger udgør AppLocker en effektiv metode for din it-afdeling til at forhindre brugernes fejltrin i at kompromittere deres maskiner - for ikke at tale om virksomhedens øvrige netværk.

Softwareproducenter ofrer rutinemæssigt sikkerhedselementer for bedre brugervenlighed, og her er Microsoft ingen undtagelse.

Men med Windows 7 leverer Microsoft et produkt, der allerede med standardindstillingerne er væsentligt sikrere, end det var tilfældet med tidligere produkter.

Administratorer er ikke længere nødt til at downloade NSA-sikkerhedsskabeloner eller overhovedet modificere systemet, for at brugerne kan føle sig nogenlunde sikre allerede fra starten.

I de fleste tilfælde behøver man bare som administrator vide, hvilke sikkerhedsfunktioner Microsoft leverer, og hvordan man anvender dem.

Læs også:

Del 1: User Account Control.

Del 2: BitLocker-drevkrypterinng og nem kryptering af sidefilen.

Del 3: Kryptografi og sikrere webbrowsing.

Del 4: Firewall-regler, forbedret gendannelse og nem fjernadgang med DirectAccess.

Del 5: Managed service accounts, virtual service accounts og programkontrol med App Locker.

Oversat af Thomas Bøndergaard.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Konica Minolta Business Solutions Denmark A/S
Salg af kopimaskiner, digitale produktionssystemer og it-services.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
PCI og cloud-sikkerhed: Strategi til beskyttelse af betalingsdata

Er din organisation klar til de nye PCI DSS 4.0-krav? Deltag i vores event og få indsigt i, hvordan du navigerer i compliance-udfordringerne i en cloud-drevet verden.

16. januar 2025 | Læs mere


Strategisk It-sikkerhedsdag 2025, Aarhus: Viden om trusler og tendenser – Beskyt din virksomhed

Gå ikke glip af årets vigtigste begivenhed for it-sikkerhedsprofessionelle! Mød Danmarks førende eksperter, deltag i inspirerende diskussioner og få praktisk erfaring med de nyeste teknologier. Bliv klogere på de seneste trusler og lær, hvordan du bedst beskytter din virksomhed mod cyberangreb. Tilmeld dig nu og vær på forkant med fremtidens cybersikkerhedsudfordringer.

21. januar 2025 | Læs mere


Strategisk It-sikkerhedsdag 2025, København: Viden om trusler og tendenser – Beskyt din virksomhed

Gå ikke glip af årets vigtigste begivenhed for it-sikkerhedsprofessionelle! Mød Danmarks førende eksperter, deltag i inspirerende diskussioner og få praktisk erfaring med de nyeste teknologier. Bliv klogere på de seneste trusler og lær, hvordan du bedst beskytter din virksomhed mod cyberangreb. Tilmeld dig nu og vær på forkant med fremtidens cybersikkerhedsudfordringer.

23. januar 2025 | Læs mere