Windows AppLocker Kullanımı
AppLocker nasıl
kullanıcılar erişebilir ve yürütülebilir dosyalar,paket uygulamaları, komut
dosyaları, Windows Installer dosyaları ve dll dosyaları kullanmanız Yöneticiler
denetim yardımcı olur.Kısaca hangi kullanıcı ve grupların hangi uygulamaları
çalıştırabileceğini belirleyen kurallar bütünüdür diyebiliriz.
AppLocker kullanarak şunları yapabilirsiniz:
- Dosya
öznitelikleri yayımcı, ürün adı, dosya adı ve dosya sürümü de dahil olmak
üzere dijital imza türetilen temel kurallar tanımlar. Örneğin,
güncelleştirmelerde kalıcı olan yayımcı özniteliğini temel kurallar
oluşturabilir veya belirli bir dosya sürümü için kurallar
oluşturabilirsiniz.
- Güvenlik
grubu veya tek bir kullanıcı için bir kural atayın.
- Kuralların
istisnaları oluşturun. Örneğin, tüm Windows işlemler Kayıt Defteri
Düzenleyicisi'dışında (Regedit.exe) çalışmasına izin veren bir kural
oluşturabilirsiniz.
- İlke
dağıtmak ve zorlanıyor önce etkisi anlamak için yalnızca denetim modunu
kullanın.
- İçeri
ve dışarı aktarma kuralları. Tüm ilke içeri ve dışarı aktarma etkiler. Bir
ilke veriyorsanız, örneğin, tüm tüm kural koleksiyonları kuralları, kural
koleksiyonları için uygulama ayarları dahil olmak üzere verilir. Bir ilke
alırsanız, varolan ilke üzerine yazılır.
- Oluşturma
ve AppLocker PowerShell cmdlet'lerini kullanarak AppLocker kuralları
yönetme basitleştirir.
Aşağıdaki tabloda, hangi işletim
sistemlerinin desteklendiği gösteriliyor.
Sürüm
|
Yapılandırılabilir
|
Zorunlu tutulabilir
|
Kullanılabilir kurallar
|
Notlar
|
Windows Server 2012 R2
|
Evet
|
Evet
|
Paketlenmiş uygulamalar
Yürütülebilir dosya
Windows Installer
Betik
DLL
| |
Windows 8.1
|
Evet
|
Evet
|
Paketlenmiş uygulamalar
Yürütülebilir dosya
Windows Installer
Betik
DLL
|
Yalnızca Enterprise sürümü AppLocker’ı destekler
|
Windows RT 8.1
|
Hayır
|
Hayır
|
Yok
| |
Windows Server 2012 Standard
|
Evet
|
Evet
|
Paketlenmiş uygulamalar
Yürütülebilir dosya
Windows Installer
Betik
DLL
| |
Windows Server 2012 Datacenter
|
Evet
|
Evet
|
Paketlenmiş uygulamalar
Yürütülebilir dosya
Windows Installer
Betik
DLL
| |
Windows 8 Pro
|
Hayır
|
Hayır
|
Yok
| |
Windows 8 Enterprise
|
Evet
|
Evet
|
Paketlenmiş uygulamalar
Yürütülebilir dosya
Windows Installer
Betik
DLL
| |
Windows RT
|
Hayır
|
Hayır
|
Yok
| |
Windows Server 2008 R2 Standard
|
Evet
|
Evet
|
Yürütülebilir dosya
Windows Installer
Betik
DLL
|
Paketlenmiş uygulama kuralları zorunlu tutulmaz.
|
Windows Server 2008 R2 Enterprise
|
Evet
|
Evet
|
Yürütülebilir dosya
Windows Installer
Betik
DLL
|
Paketlenmiş uygulama kuralları zorunlu tutulmaz.
|
Windows Server 2008 R2 Datacenter
|
Evet
|
Evet
|
Yürütülebilir dosya
Windows Installer
Betik
DLL
|
Paketlenmiş uygulama kuralları zorunlu tutulmaz.
|
Itanium Tabanlı Sistemler için Windows Server 2008 R2
|
Evet
|
Evet
|
Yürütülebilir dosya
Windows Installer
Betik
DLL
|
Paketlenmiş uygulama kuralları zorunlu tutulmaz.
|
Windows 7 Ultimate
|
Evet
|
Evet
|
Yürütülebilir dosya
Windows Installer
Betik
DLL
|
Paketlenmiş uygulama kuralları zorunlu tutulmaz.
|
Windows 7 Enterprise
|
Evet
|
Evet
|
Yürütülebilir dosya
Windows Installer
Betik
DLL
|
Paketlenmiş uygulama kuralları zorunlu tutulmaz.
|
Windows 7 Professional
|
Evet
|
Hayır
|
Yürütülebilir dosya
Windows Installer
Betik
DLL
|
Hiçbir AppLocker kuralı zorunlu tutulmaz.
|
Örnek olarak
kullanıcılarda(belirli) notepad uygulamasının çalışmasını engellemek istiyoruz,Bunun için
öncelikle Domain Controller üzerinde GPMC erişiyoruz,Yeni bir gpo yaratıp uygun
isimlendirme yaptıktan sonra edit -> Computer Configuration > Windows
Settings > Security Settings > Application Control Policies >
Applocker yolunu takip ederek,
Burada .exe uzantılı bir program kuralı oluşturucağız
bunun için “Executable Rules” sağ klik “Create New Rule” seçiyoruz.
Programın engellenmesini istiyoruz “Deny” seçip select
ile hangi kullanıcı yada grup için uygulanacağını belirlememiz gerekiyor.
Publisher (Yayımcı) : Kuralı oluşturmak
istediğiniz uygulama, yazılım yayıncısı tarafından imzalandıysa bu seçeneği
seçebilirsiniz.Örnekte uyguladaığımız Notepad.exe ms tarafından imzalı olduğu
için bu seçenek ile devam edeceğiz.
Path (Yol) : Belirli bir dosya veya klasör yolu için
kural oluşturabilirsiniz. Klasör seçerseniz., klasör içerisindeki tüm dosyalar
kuraldan etkilenecektir.
File hash (Dosya karması) : İmzalanmamış bir uygulama
için kural oluşturacaksanız seçebilirsiniz.3. parti yazılımlar için
kullandığımız seçenek genelde “File Hash” tir.
Publisher kısmında ise uygulamayı seçmek için Browse
seçeneğini tıklıyoruz.
Notepad.exe uygulaması seçerek next ile son menüye kadar
ilerliyoruz.
Son aşamada “Create” ile kuralı oluşturuyoruz.
Önemli noktalardan biride : Application Identity
(Uygulama Kimliği) servisinin kuralı uygulayacağımız clientlarda çalışıyor
olması. Her zaman çalıştığından emin olmak için otomatiğe almalıyız.Servislerden
kontrol ederek gerekli aksiyonu almamız lazım.
Kaynaklar;
https://technet.microsoft.com/tr-tr/library/ee424382.aspx
https://technet.microsoft.com/tr-tr/library/hh994629.aspx