Windows AppLocker Kullanımı

Windows AppLocker Kullanımı

 AppLocker nasıl kullanıcılar erişebilir ve yürütülebilir dosyalar,paket uygulamaları, komut dosyaları, Windows Installer dosyaları ve dll dosyaları kullanmanız Yöneticiler denetim yardımcı olur.Kısaca hangi kullanıcı ve grupların hangi uygulamaları çalıştırabileceğini belirleyen kurallar bütünüdür diyebiliriz.

AppLocker kullanarak şunları yapabilirsiniz:

  • Dosya öznitelikleri yayımcı, ürün adı, dosya adı ve dosya sürümü de dahil olmak üzere dijital imza türetilen temel kurallar tanımlar. Örneğin, güncelleştirmelerde kalıcı olan yayımcı özniteliğini temel kurallar oluşturabilir veya belirli bir dosya sürümü için kurallar oluşturabilirsiniz.
  • Güvenlik grubu veya tek bir kullanıcı için bir kural atayın.
  • Kuralların istisnaları oluşturun. Örneğin, tüm Windows işlemler Kayıt Defteri Düzenleyicisi'dışında (Regedit.exe) çalışmasına izin veren bir kural oluşturabilirsiniz.
  • İlke dağıtmak ve zorlanıyor önce etkisi anlamak için yalnızca denetim modunu kullanın.
  • İçeri ve dışarı aktarma kuralları. Tüm ilke içeri ve dışarı aktarma etkiler. Bir ilke veriyorsanız, örneğin, tüm tüm kural koleksiyonları kuralları, kural koleksiyonları için uygulama ayarları dahil olmak üzere verilir. Bir ilke alırsanız, varolan ilke üzerine yazılır.
  • Oluşturma ve AppLocker PowerShell cmdlet'lerini kullanarak AppLocker kuralları yönetme basitleştirir.

 

 

Aşağıdaki tabloda, hangi işletim sistemlerinin desteklendiği gösteriliyor.

 

Sürüm

Yapılandırılabilir

Zorunlu tutulabilir

Kullanılabilir kurallar

Notlar

Windows Server 2012 R2

Evet

Evet

Paketlenmiş uygulamalar
Yürütülebilir dosya
Windows Installer
Betik
DLL

Windows 8.1

Evet

Evet

Paketlenmiş uygulamalar
Yürütülebilir dosya
Windows Installer
Betik
DLL

Yalnızca Enterprise sürümü AppLocker’ı destekler

Windows RT 8.1

Hayır

Hayır

Yok

Windows Server 2012 Standard

Evet

Evet

Paketlenmiş uygulamalar
Yürütülebilir dosya
Windows Installer
Betik
DLL

Windows Server 2012 Datacenter

Evet

Evet

Paketlenmiş uygulamalar
Yürütülebilir dosya
Windows Installer
Betik
DLL

Windows 8 Pro

Hayır

Hayır

Yok

Windows 8 Enterprise

Evet

Evet

Paketlenmiş uygulamalar
Yürütülebilir dosya
Windows Installer
Betik
DLL

Windows RT

Hayır

Hayır

Yok

Windows Server 2008 R2 Standard

Evet

Evet

Yürütülebilir dosya
Windows Installer
Betik
DLL

Paketlenmiş uygulama kuralları zorunlu tutulmaz.

Windows Server 2008 R2 Enterprise

Evet

Evet

Yürütülebilir dosya
Windows Installer
Betik
DLL

Paketlenmiş uygulama kuralları zorunlu tutulmaz.

Windows Server 2008 R2 Datacenter

Evet

Evet

Yürütülebilir dosya
Windows Installer
Betik
DLL

Paketlenmiş uygulama kuralları zorunlu tutulmaz.

Itanium Tabanlı Sistemler için Windows Server 2008 R2

Evet

Evet

Yürütülebilir dosya
Windows Installer
Betik
DLL

Paketlenmiş uygulama kuralları zorunlu tutulmaz.

Windows 7 Ultimate

Evet

Evet

Yürütülebilir dosya
Windows Installer
Betik
DLL

Paketlenmiş uygulama kuralları zorunlu tutulmaz.

Windows 7 Enterprise

Evet

Evet

Yürütülebilir dosya
Windows Installer
Betik
DLL

Paketlenmiş uygulama kuralları zorunlu tutulmaz.

Windows 7 Professional

Evet

Hayır

Yürütülebilir dosya
Windows Installer
Betik
DLL

Hiçbir AppLocker kuralı zorunlu tutulmaz.

 Örnek olarak kullanıcılarda(belirli) notepad uygulamasının çalışmasını engellemek istiyoruz,Bunun için öncelikle Domain Controller üzerinde GPMC erişiyoruz,Yeni bir gpo yaratıp uygun isimlendirme yaptıktan sonra edit -> Computer Configuration > Windows Settings > Security Settings > Application Control Policies > Applocker yolunu takip ederek,

Burada .exe uzantılı bir program kuralı oluşturucağız bunun için “Executable Rules” sağ klik “Create New Rule” seçiyoruz.

Programın engellenmesini istiyoruz “Deny” seçip select ile hangi kullanıcı yada grup için uygulanacağını belirlememiz gerekiyor.

Publisher (Yayımcı) : Kuralı oluşturmak istediğiniz uygulama, yazılım yayıncısı tarafından imzalandıysa bu seçeneği seçebilirsiniz.Örnekte uyguladaığımız Notepad.exe ms tarafından imzalı olduğu için bu seçenek ile devam edeceğiz.

Path (Yol) : Belirli bir dosya veya klasör yolu için kural oluşturabilirsiniz. Klasör seçerseniz., klasör içerisindeki tüm dosyalar kuraldan etkilenecektir.

File hash (Dosya karması) : İmzalanmamış bir uygulama için kural oluşturacaksanız seçebilirsiniz.3. parti yazılımlar için kullandığımız seçenek genelde “File Hash” tir.

 

Publisher kısmında ise uygulamayı seçmek için Browse seçeneğini tıklıyoruz.

Notepad.exe uygulaması seçerek next ile son menüye kadar ilerliyoruz.

Son aşamada “Create” ile kuralı oluşturuyoruz.

 

Önemli noktalardan biride : Application Identity (Uygulama Kimliği) servisinin kuralı uygulayacağımız clientlarda çalışıyor olması. Her zaman çalıştığından emin olmak için otomatiğe almalıyız.Servislerden kontrol ederek gerekli aksiyonu almamız lazım.

Kaynaklar;

https://technet.microsoft.com/tr-tr/library/ee424382.aspx

https://technet.microsoft.com/tr-tr/library/hh994629.aspx

 

Comments