Artikel top billede

Den ultimative sikkerhedsguide til Windows 7: Del 6

Læs hvordan du får mest ud af de største sikkerhedsforbedringer i Windows 7. Konfiguration af AppLocker. Og husk nu at spille efter reglerne.

Computerworld News Service: Konfiguration af AppLocker.

AppLocker er afhængig af den indbyggede tjeneste Program-id, som normalt er indstillet til manuel opstart. Administratorer bør konfigurere denne tjeneste til at starte automatisk.

Du kan konfigurere AppLocker lokalt ved hjælp af Lokal editor til gruppepolitikobjekter (gpedit.msc) eller via Active Directory og Gruppepolitikobjekter (GPO'er).

Inden for det lokale eller gruppepolitikobjektet slås AppLocker til og konfigureres under \Computerkonfiguration\Windows-indstillinger\Sikkerhedsindstillinger\Politikker for programkontrol.

Som standard tillader regler for AppLocker ikke brugerne at åbne eller køre filer, der ikke specifikt er godkendte på forhånd.

Når man i første omgang tester funktionen, er det en god idé at lade AppLocker oprette et standardsæt af "sikre regler" ved hjælp af valgmuligheden Opret standardregler.

Standardreglerne autoriserer alle filer i Windows og Programfiler og lader medlemmer af administratorgruppen køre hvad som helst.

Kan køre mod enhver computer

En af de mest iøjnefaldende forbedringer i forhold til SRP er muligheden for at køre App­Locker mod enhver computer ved hjælp af valgmuligheden Automatisk oprettelse af regler, der hurtigt kan skabe et grundlæggende sæt regler.

På få minutter kan der produceres hundredvis af regler mod et kendt og sikkert image, hvilket sparer administratorer for timevis eller dagevis af arbejde.

Spil efter reglerne

AppLocker understøtter fire typer af regelsæt: Eksekverbar, DLL, Windows Installer og Script. SRP-administratorer vil straks bide mærke i, at Microsoft ikke længere har registerregler eller valgmuligheder for internetzoner.

Hvert regelsæt dækker et begrænset sæt af filtyper. For eksempel dækker de eksekverbare regler 32- og 64-bit .exe-filer og .com-filer.

Alle 16-bit-applikationer kan blokeres ved at forhindre ntdvm.exe-processen i at køre. Script-regler dækker filtyperne .vbs, .js, .ps1, .cmd samt .bat. DLL-regelsættet dækker .dll-filer (inklusiv statisk forbundne biblioteker) og ocx-filer.

Hvis der ikke eksisterer nogen AppLocker-regler for et specifikt regelsæt, så tillades alle filer, der har det gældende format.

Men når der først er oprettet en regel for et specifikt regelsæt, tillades kun de filer, der specifikt er godkendte.

Hvis du for eksempel opretter en eksekverbar-regel, der tillader .exe-filer i %Systemdrev%\Filsti at køre, så er det kun eksekverbare filer, der ligger i den sti, der har tilladelse til at køre.

AppLocker understøtter tre typer af regel-betingelser for hvert regelsæt: Sti-regler, Fil-hash-regler og udgiver-regler.

Kan defineres for en specifik bruger

Enhver regelbetingelse kan bruges til at tillade eller afvise en fil i at køre, og den kan defineres for en specifik bruger eller gruppe. Sti-regler og Fil-hash-regler forklarer sig selv; de accepterer begge jokertegn.

Udgiver-regler er rimeligt fleksible og gør det muligt at matche adskillige felter fra enhver digitalt signeret fil med specifikke værdier eller jokertegn.

Ved hjælp af en bekvem skyder i AppLockers brugergrænseflade kan du hurtigt erstatte de specifikke værdier med jokertegn.

Hver ny regel tillader oprettelsen af en eller flere undtagelser.

Som standard vil Udgiver-regler behandle opdaterede versioner af filer på samme måde som originalerne, men du kan også gennemtvinge et krav om et helt eksakt match.

Læs også:

Del 1: User Account Control.

Del 2: BitLocker-drevkrypterinng og nem kryptering af sidefilen.

Del 3: Kryptografi og sikrere webbrowsing.

Del 4: Firewall-regler, forbedret gendannelse og nem fjernadgang med DirectAccess.

Del 5: Managed service accounts, virtual service accounts og programkontrol med App Locker.

Her er undtagelserne

Ingen regler uden undtagelser.

Hvis du har brug for at oprette en regel for en filtype, der ikke er defineret i AppLockers politikker, er du nødt til at blive lidt kreativ.

For at forhindre eksempelvis Perl-script-filer med fil-endelsen .pl i at køre, er du nødt til at oprette en eksekverbar-regel, der i stedet blokerer Perl.exe-script-fortolkeren.

Dette vil blokere alle Perl-scripts, og det kræver en del opfindsomhed at opnå en detaljeret kontrol.

Den samme begrænsning gør sig dog gældende for mange andre produkter til programkontrol.

Læsbare XML-filer

AppLockers konfiguration og regler kan let importeres og eksporteres som læsbare XML-filer.

Derudover kan reglerne hurtigt nulstilles i nødstilfælde, og det hele kan styres ved hjælp af Windows PowerShell.

Rapportering og advarsler er begrænset til, hvad der kan trækkes ud fra normale hændelseslog-filer.

Men selv med disse begrænsninger udgør AppLocker en effektiv metode for din it-afdeling til at forhindre brugernes fejltrin i at kompromittere deres maskiner - for ikke at tale om virksomhedens øvrige netværk.

Softwareproducenter ofrer rutinemæssigt sikkerhedselementer for bedre brugervenlighed, og her er Microsoft ingen undtagelse.

Men med Windows 7 leverer Microsoft et produkt, der allerede med standardindstillingerne er væsentligt sikrere, end det var tilfældet med tidligere produkter.

Administratorer er ikke længere nødt til at downloade NSA-sikkerhedsskabeloner eller overhovedet modificere systemet, for at brugerne kan føle sig nogenlunde sikre allerede fra starten.

I de fleste tilfælde behøver man bare som administrator vide, hvilke sikkerhedsfunktioner Microsoft leverer, og hvordan man anvender dem.

Læs også:

Del 1: User Account Control.

Del 2: BitLocker-drevkrypterinng og nem kryptering af sidefilen.

Del 3: Kryptografi og sikrere webbrowsing.

Del 4: Firewall-regler, forbedret gendannelse og nem fjernadgang med DirectAccess.

Del 5: Managed service accounts, virtual service accounts og programkontrol med App Locker.

Oversat af Thomas Bøndergaard.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
itm8 A/S
Outsourcing, hosting, decentral drift, servicedesk, konsulentydelser, salg og udleje af handelsvarer, udvikling af software.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Cyber Briefing: Backup, availability og disaster recovery

I en tid hvor truslerne mod it-driften kun vokser, er det afgørende at kende forskellen på backup, availability og disaster recovery. Deltag og få konkret viden og praksisnære eksempler på, hvordan I kan styrke jeres beredskab.

07. april 2025 | Læs mere


Cyberthreat Day, København: Trusler, angreb og forsvar i praksis

Stå rustet mod cybertrusler. Få et detaljeret overblik over de nyeste sårbarheder, angrebsmønstre og metoder, som cyberkriminelle anvender. Lyt til beretninger fra sikkerhedseksperter på den digitale frontlinje, og få indsigt i både succesfulde angreb og de, der blev afværget

08. april 2025 | Læs mere


Cyberthreat Day, Horsens: Trusler, angreb og forsvar i praksis

Stå rustet mod cybertrusler. Få et detaljeret overblik over de nyeste sårbarheder, angrebsmønstre og metoder, som cyberkriminelle anvender. Lyt til beretninger fra sikkerhedseksperter på den digitale frontlinje, og få indsigt i både succesfulde angreb og de, der blev afværget

10. april 2025 | Læs mere