Microsofts AppLocker, programkontrollfunksjonen som er inkludert i Windows 7 og Windows Server 2008 R2, er en forbedring av programvarebegrensningspolicyene (SRP) introdusert med Windows XP Professional. AppLocker lar applikasjonsutførelsesregler og unntak fra dem defineres basert på filattributter som sti, utgiver, produktnavn, filnavn, filversjon og så videre. Retningslinjer kan deretter tildeles datamaskiner, brukere, sikkerhetsgrupper og organisasjonsenheter gjennom Active Directory.
Rapportering er begrenset til hva som kan hentes fra loggfiler, og det kan være vanskelig å opprette regler for filtyper som ikke er definert i AppLocker. Men AppLockers største ulempe er at den er begrenset til Windows 7 Enterprise, Windows 7 Ultimate og Windows Server 2008 R2-klienter. Windows 7 Professional kan brukes til å lage policyer, men kan ikke bruke AppLocker til å håndheve regler for seg selv. AppLocker kan ikke brukes til å administrere tidligere versjoner av Windows, selv om både Windows XP Pro's SRP og AppLocker kan konfigureres på samme måte for å påvirke en policy for hele virksomheten.
[Les Test Center-gjennomgangen av godkjenningsløsninger fra Bit9, CoreTrace, Lumension, McAfee, SignaCert og Microsoft. Sammenlign disse hviteliste-løsningene for applikasjoner etter funksjonene. ]
AppLocker kan konfigureres lokalt ved hjelp av Local Computer Policy-objektet (gpedit.msc) eller ved hjelp av Active Directory og Group Policy Objects (GPOs). I likhet med mange av Microsofts nyeste Active Directory-aktiverte teknologier, vil administratorer trenge minst en domenetilsluttet Windows Server 2008 R2- eller Windows 7-datamaskin for å definere og administrere AppLocker. Windows 7-datamaskiner trenger konsollfunksjonen Group Policy Management installert som en del av Remote Server Administration Tools (RSAT) for Windows 7 (en gratis nedlasting). AppLocker er avhengig av den innebygde Application Identity-tjenesten, som vanligvis er satt til manuell oppstartstype som standard. Administratorer bør konfigurere tjenesten til å starte automatisk.
I det lokale eller gruppepolicyobjektet er AppLocker aktivert og konfigurert under \ Computer Configuration \ Windows Settings \ Security Settings \ Application Control Policies container [skjermbilde].
Som standard tillater ikke AppLocker-regler brukere å åpne eller kjøre filer som ikke er spesifikt tillatt når de er aktivert. Førstegangstestere vil ha fordel av å la AppLocker lage et standardsett med "sikre regler" ved hjelp av alternativet Opprett standardregler. Standardreglene lar alle filer i Windows og programfiler kjøre, i tillegg til at medlemmer av administratorgruppen kan kjøre noe.
En av de mest bemerkelsesverdige forbedringene over SRP er muligheten til å kjøre AppLocker mot enhver datamaskin som deltar ved hjelp av alternativet Generere regler automatisk [skjermbilde] for raskt å generere et baseline sett med regler. I løpet av få minutter kan dusinvis til hundrevis av regler opprettes mot et kjent rent bilde, noe som sparer AppLocker-administratorer hvor som helst fra timer til arbeidsdager.
AppLocker støtter fire typer regelsamlinger: Kjørbar, DLL, Windows Installer og Script. SRP-administratorer vil legge merke til at Microsoft ikke lenger har registerreglene eller Internett-sonealternativene. Hver regelsamling dekker et begrenset sett med filtyper. For eksempel dekker kjørbare regler 32-biters og 64-biters .EXEs og .COMs; alle 16-bits applikasjoner kan blokkeres ved å forhindre at ntdvm.exe-prosessen kjøres. Skriptregler dekker filtypene .VBS, .JS, .PS1, .CMD og .BAT. DLL-regelinnsamlingen dekker .DLLer (inkludert statisk koblede biblioteker) og OCXer (Object Linking og Embedding Control Extensions, også kalt ActiveX-kontroller).
Hvis det ikke finnes noen AppLocker-regler for en bestemt regelsamling, kan alle filer med filformatet kjøres. Når en AppLocker-regel for en bestemt regelsamling opprettes, er det imidlertid bare filene som er eksplisitt tillatt i en regel som kan kjøres. For eksempel hvis du oppretter en kjørbar regel som tillater .exe-filer i % SystemDrive% \ FilePath for å kjøre, bare kjørbare filer som ligger i den banen, kan kjøres.
AppLocker støtter tre typer regelbetingelser for hver regelsamling: Baneregler, File Hash-regler og Publisher-regler. Enhver regelbetingelse kan brukes til å tillate eller nekte kjøring, og den kan defineres for en bestemt bruker eller gruppe. Regler for sti og fil hash er selvforklarende; begge aksepterer wild card-symboler. Utgiverreglene er ganske fleksible og gjør det mulig å matche flere felt i alle digitalt signerte filer med spesifikke verdier eller jokertegn. Ved å bruke en praktisk glidebryter i AppLocker GUI [skjermbilde], kan du raskt erstatte de spesifikke verdiene med jokertegn. Hver nye regel gjør det enkelt å gjøre ett eller flere unntak. Som standard vil utgiverregler behandle oppdaterte versjoner av filer på samme måte som originalene, eller du kan håndheve et eksakt samsvar.
Et viktig skille mellom AppLocker og såkalte konkurrenter er at AppLocker virkelig er en tjeneste, et sett med APIer og brukerdefinerte policyer som andre programmer kan grensesnitt med. Microsoft kodet Windows og dets innebygde skript tolker for å grensesnitt med AppLocker slik at disse programmene (Explorer.exe, JScript.dll, VBScript.dll og så videre) kan håndheve reglene som AppLocker-policyer har definert. Dette betyr at AppLocker virkelig er en del av operativsystemet og ikke lett blir omgått når reglene er riktig definert.
Men hvis du trenger å lage en regel for en filtype som ikke er definert i AppLockers policy-tabell, kan det ta litt kreativitet å få ønsket effekt. For eksempel, for å forhindre at Perl-skriptfiler med .PL-utvidelsen kjøres, må du opprette en kjørbar regel som blokkerte Perl.exe-skripttolker i stedet. Dette vil blokkere eller tillate alle Perl-skript og kreve litt ressurssterkhet for å få mer detaljert kontroll. Dette er ikke et unikt problem, da de fleste produktene i denne anmeldelsen har samme begrensning.
AppLockers konfigurasjon og regler kan enkelt importeres og eksporteres som lesbare XML-filer, reglene kan raskt tømmes i en nødsituasjon, og alt kan administreres ved hjelp av Windows PowerShell. Rapportering og varsling er begrenset til det som kan trekkes fra de normale hendelsesloggene. Men selv med AppLockers begrensninger, kan Microsofts prislapp - gratis, hvis du kjører Windows 7 og Windows Server 2008 R2 - være en sterk lokke for oppdaterte Microsoft-butikker.
Denne historien, "Hviteliste over applikasjoner i Windows 7 og Windows Server 2008 R2", og anmeldelser av fem hviteliste-løsninger for bedriftsnettverk, ble opprinnelig publisert på .com. Følg den siste utviklingen innen informasjonssikkerhet, Windows og endepunktsikkerhet på .com.
