Computerworld News Service: Konfiguration af AppLocker.
AppLocker er afhængig af den indbyggede tjeneste Program-id, som normalt er indstillet til manuel opstart. Administratorer bør konfigurere denne tjeneste til at starte automatisk.
Du kan konfigurere AppLocker lokalt ved hjælp af Lokal editor til gruppepolitikobjekter (gpedit.msc) eller via Active Directory og Gruppepolitikobjekter (GPO'er).
Inden for det lokale eller gruppepolitikobjektet slås AppLocker til og konfigureres under \Computerkonfiguration\Windows-indstillinger\Sikkerhedsindstillinger\Politikker for programkontrol.
Som standard tillader regler for AppLocker ikke brugerne at åbne eller køre filer, der ikke specifikt er godkendte på forhånd.
Når man i første omgang tester funktionen, er det en god idé at lade AppLocker oprette et standardsæt af "sikre regler" ved hjælp af valgmuligheden Opret standardregler.
Standardreglerne autoriserer alle filer i Windows og Programfiler og lader medlemmer af administratorgruppen køre hvad som helst.
Kan køre mod enhver computer
En af de mest iøjnefaldende forbedringer i forhold til SRP er muligheden for at køre AppLocker mod enhver computer ved hjælp af valgmuligheden Automatisk oprettelse af regler, der hurtigt kan skabe et grundlæggende sæt regler.
På få minutter kan der produceres hundredvis af regler mod et kendt og sikkert image, hvilket sparer administratorer for timevis eller dagevis af arbejde.
Spil efter reglerne
AppLocker understøtter fire typer af regelsæt: Eksekverbar, DLL, Windows Installer og Script. SRP-administratorer vil straks bide mærke i, at Microsoft ikke længere har registerregler eller valgmuligheder for internetzoner.
Hvert regelsæt dækker et begrænset sæt af filtyper. For eksempel dækker de eksekverbare regler 32- og 64-bit .exe-filer og .com-filer.
Alle 16-bit-applikationer kan blokeres ved at forhindre ntdvm.exe-processen i at køre. Script-regler dækker filtyperne .vbs, .js, .ps1, .cmd samt .bat. DLL-regelsættet dækker .dll-filer (inklusiv statisk forbundne biblioteker) og ocx-filer.
Hvis der ikke eksisterer nogen AppLocker-regler for et specifikt regelsæt, så tillades alle filer, der har det gældende format.
Men når der først er oprettet en regel for et specifikt regelsæt, tillades kun de filer, der specifikt er godkendte.
Hvis du for eksempel opretter en eksekverbar-regel, der tillader .exe-filer i %Systemdrev%\Filsti at køre, så er det kun eksekverbare filer, der ligger i den sti, der har tilladelse til at køre.
AppLocker understøtter tre typer af regel-betingelser for hvert regelsæt: Sti-regler, Fil-hash-regler og udgiver-regler.
Kan defineres for en specifik bruger
Enhver regelbetingelse kan bruges til at tillade eller afvise en fil i at køre, og den kan defineres for en specifik bruger eller gruppe. Sti-regler og Fil-hash-regler forklarer sig selv; de accepterer begge jokertegn.
Udgiver-regler er rimeligt fleksible og gør det muligt at matche adskillige felter fra enhver digitalt signeret fil med specifikke værdier eller jokertegn.
Ved hjælp af en bekvem skyder i AppLockers brugergrænseflade kan du hurtigt erstatte de specifikke værdier med jokertegn.
Hver ny regel tillader oprettelsen af en eller flere undtagelser.
Som standard vil Udgiver-regler behandle opdaterede versioner af filer på samme måde som originalerne, men du kan også gennemtvinge et krav om et helt eksakt match.
Læs også:
Del 2: BitLocker-drevkrypterinng og nem kryptering af sidefilen.
Del 3: Kryptografi og sikrere webbrowsing.
Del 4: Firewall-regler, forbedret gendannelse og nem fjernadgang med DirectAccess.
Del 5: Managed service accounts, virtual service accounts og programkontrol med App Locker.
Her er undtagelserne
Ingen regler uden undtagelser.
Hvis du har brug for at oprette en regel for en filtype, der ikke er defineret i AppLockers politikker, er du nødt til at blive lidt kreativ.
For at forhindre eksempelvis Perl-script-filer med fil-endelsen .pl i at køre, er du nødt til at oprette en eksekverbar-regel, der i stedet blokerer Perl.exe-script-fortolkeren.
Dette vil blokere alle Perl-scripts, og det kræver en del opfindsomhed at opnå en detaljeret kontrol.
Den samme begrænsning gør sig dog gældende for mange andre produkter til programkontrol.
Læsbare XML-filer
AppLockers konfiguration og regler kan let importeres og eksporteres som læsbare XML-filer.
Derudover kan reglerne hurtigt nulstilles i nødstilfælde, og det hele kan styres ved hjælp af Windows PowerShell.
Rapportering og advarsler er begrænset til, hvad der kan trækkes ud fra normale hændelseslog-filer.
Men selv med disse begrænsninger udgør AppLocker en effektiv metode for din it-afdeling til at forhindre brugernes fejltrin i at kompromittere deres maskiner - for ikke at tale om virksomhedens øvrige netværk.
Softwareproducenter ofrer rutinemæssigt sikkerhedselementer for bedre brugervenlighed, og her er Microsoft ingen undtagelse.
Men med Windows 7 leverer Microsoft et produkt, der allerede med standardindstillingerne er væsentligt sikrere, end det var tilfældet med tidligere produkter.
Administratorer er ikke længere nødt til at downloade NSA-sikkerhedsskabeloner eller overhovedet modificere systemet, for at brugerne kan føle sig nogenlunde sikre allerede fra starten.
I de fleste tilfælde behøver man bare som administrator vide, hvilke sikkerhedsfunktioner Microsoft leverer, og hvordan man anvender dem.
Læs også:
Del 2: BitLocker-drevkrypterinng og nem kryptering af sidefilen.
Del 3: Kryptografi og sikrere webbrowsing.
Del 4: Firewall-regler, forbedret gendannelse og nem fjernadgang med DirectAccess.
Del 5: Managed service accounts, virtual service accounts og programkontrol med App Locker.
Oversat af Thomas Bøndergaard.
