AppLocker це нова технологія в Windows 7, що дозволяє системному адміністратору блокувати виконання певних виконуваних файлів на комп’ютерах мережі. AppLocker – це розширення технології Software Restriction Policy (використовуваної в Windows XP / Vista), проте остання могла блокувати виконання програм, грунтуючись лише на імені файлу, шляхи і хеша файлу. У AppLocker з’явилася можливість блокування виконуваних файлів, грунтуючись на їх цифрового підпису, в результаті можна блокувати програми, грунтуючись на імені програми, версії і вендорів. Це означає, що якщо виробник оновить версію програми, то правила AppLocker продовжать блокувати оновлене додаток, знижуючи тим самим навантаження на системного адміністратора. Також, наприклад, можна створити правило AppLocker, засноване на версії ПЗ, тим самим можна дозволити запуск тільки певних заздалегідь дозволених версій програм. Ще одна перевага AppLocker полягає в тому, що тепер не має значення звідки запускається програма (хоч з карти пам’яті), AppLocker в будь-якому випадку буде блокувати запуск програми.

Дану методику блокування виконання певних програм за допомогою AppLocker можна використовувати для блокування виконання будь-якого виконуваного файлу, випущеного Microsoft або сторонніми розробниками. В даному прикладі ми спробуємо заборонити використання браузера Google Chrome за допомогою групової політики і технології AppLocker (це браузер я беру чисто для прикладу, а не через нелюбов до нього, як багато можливо подумали 🙂).

1. Відкрийте об’єкт групової політики, яка застосовується на цільові комп’ютери. Відкрийте розділ політики Computer Configuration> Policies> Windows Settings> Security Settings> Application Control Policies і виберіть опцію “Configure rule enforcement”

опис: зображення

2. У розділі Executable rules відзначте опцію “Configured” і виберіть “Enforce rules”, потім натисніть “OK”.

опис: зображення

3. Клацніть правою кнопкою миші по “Executable Rules” і створіть нове правило “Create New Rule.”

опис: зображення

4. Натисніть “Next”

опис: зображення

5. Виберіть “Deny” і “Next”

опис: зображення

6. Як умова (condition) виберіть “Publisher” (видавець) та натисніть “Next”

Примітка: Опції “Path” і “File hash” відповідають правилам, застосовуваним в політиках Software Restriction в Windows XP / Vista.

опис: зображення

7. Натисніть кнопку “Browse”

опис: зображення

8. Виберіть виконуваний файл Google Chrome “chrome.exe” і натисніть “Open”

опис: зображення

9. В даному прикладі, ми задовольнимося настройками за замовчуванням, тому просто натисніть “Next”.

Примітка: Якщо ви хочете заблокувати певну версію програми, тоді відзначте “Use custom values” і у відповідному полі “File version” задайте номер версії, використання якої ви хочете заблокувати даної політикою.

опис: зображення

10: Жмем “Далі”

опис: зображення

11: І, нарешті, створюємо правило – “Create”

опис: зображення

13: Якщо ви хочете, щоб правила AppLocker застосовувалися і до комп’ютерів адміністраторів, то в правій панелі виділіть правило для “BUILTIN Administrators” і видалити його

опис: зображення

14: На запит відповідаємо “Yes”

опис: зображення

Тепер наші правила AppLocker налаштовані і виглядають приблизно так:

опис: зображення

Останнє, що нам потрібно зробити – активувати роботу AppLocker на цільових комп’ютерах

15. У тій же самій груповій політиці перейдіть в гілку Computer Configuration> Policies> Windows Settings> Security Settings> System Services і двічі клацніть по службі “Application Identity”.

Application Identity – це програма, яка перед запуском будь-якого виконуваного файлу виконує його сканування, виявляючи його ім’я, хеш і сигнатуру. У тому випадку, якщо ця служба відключена, AppLocker працювати не буде.

опис: зображення

16: Виберіть “Define this policy setting” і “Automatic”, потім натисніть “OK”

опис: зображення

Секція системних служб буде виглядати так:

опис: зображення

От і все. Після застосування цієї політики, якщо користувач спробує запустити заборонене додаток (в нашому випадку це Google Chrome), з’явиться таке діалогове вікно:

опис: зображення

Leave a Reply

Your email address will not be published. Required fields are marked *