Прелести технологии AppLocker. Часть 2

Введение
Какие у AppLocker есть правила?
Создание правил для издателя, пути и хеша
Заключение

Введение

Красоты технологии AppLocker. Часть 2Из предшествующей статьи реального цикла вы узнали о том, что представляет собой разработка AppLocker, узнали о главных различиях, по отношению к политикам ограниченного использования программ, также о том, каким образом можно сделать правила AppLocker, применяемые по дефлоту. Безо всякого сомнения, всего этого недостаточно для того, чтоб указать юзерам запреты на внедрение того либо другого приложения.

Почему так? Здесь все очень просто. Деяния, о которых вы узнали из предшествующей статьи данного цикла, только позволяют разрешить юзерам запускать любые приложения, которые находятся в нескольких расположениях по дефлоту. Другими словами, юзеры сумеют запускать любые файлы, которые находятся в папке с файлами операционной системы, другими словами, %SystemRoot%, также в папках Program Files. Другими словами, если кое-где у юзера будет жить исполняемый файл, юзеры его не сумеют запустить. В принципе, это уже хорошо. Но ведь то, что было выполнено ранее, еще не является пределом всех желаний и фактически каждому сисадмину может пригодиться создавать какие-то дополнительные, более гибкие правила, запрещающие юзерам лезть туда, куда им не надо. В этой статье вы узнаете о том, какие можно создавать правила для AppLocker.

Какие у AppLocker есть правила?

В случае использования таковой технологии для ограничения доступа к программному обеспечению, как AppLocker, вы сможете создавать правила на основании 3-х разных критерий. Это правила для издателя, пути либо хешируемых файлов. Давайте разглядим каждое условие мало подробнее.

В этом случае, если вы изберите для собственного правила такое условие как «Издатель», то согласно обозначенным вами аспектам будет заблокирован либо разрешен доступ к приложению, основываясь на его цифровой подписи, также на каких-то расширенных атрибутах. К расширенным атрибутам относятся такие характеристики как наименование самого продукта, имя запускаемого файла, данные о компании-разработчике избранного вами программного продукта, также версия самого продукта. Правило можно использовать как для определенной версии программного продукта, так и для всех программ, выпускаемых определённой компанией. Цифровая подпись, в свою очередь, содержит в себе сведения о самом издателе, другими словами, снова же, о компании, которая разработала этот программный продукт.

Если же избрать условие «Издатель», а у приложения не будет цифровой подписи, в данном случае, вы просто не можете использовать это условие.

Последующее условие – это «Путь». Здесь все просто, потому что, используя текущее условие, вы сможете определять деяния для приложения, согласно его физическому расположению на локальном компьютере либо в сети. Вот тут необходимо непременно направить внимание на переменные окружения, которые употребляются в правилах пути технологии AppLocker. Данные последующей таблицы, в какой вы сможете сопоставить дефолтные переменные окружения с переменными окружениями, которые следует использовать в случае с правилами пути AppLocker, посодействуют вам эффективнее их создавать:

Размещение

Переменная AppLocker

Переменная Windows

Windows

%WINDIR%

%SystemRoot%

System32

%SYSTEM32%

%SystemDirectory%

Каталог установки Windows

%OSDRIVE%

%SystemDrive%

Program Files

%PROGRAMFILES%

%ProgramFiles% и

%ProgramFiles(x86)%

Съемный носитель

%REMOVABLE%

Съемное запоминающее устройство

%HOT%

Помните, что тут переменные среды для компактов и для USB-накопителей отличаются. Это очень принципиально при планировании.

Последнее условие – это условие для хешируемого файла. В данном случае, вам необходимо будет просто избрать исполнительный файл какого-то приложения, а для него, при разработке самого правила, будет вычислен сам хеш. Думаю, полностью каждый знает, что хеш представляет собой серию байтов фиксированной длины, совершенно точно идентифицирующую программку либо файл. Они рассчитывается методом метода хеширования. После того как такое правило AppLocker будет сотворено, в случае, если юзер попробует открыть программку, хеш программки непременно будет сравниваться с имеющимся правилом для хеша, и, естественно, будет выполнено какое-то действие. Хеш программки всегда однообразный, независимо от расположения самой программки. Ну а, само собой, при изменении программки хеш также изменяется и, как следует, не соответствует хешу в правиле для хеша для политик ограниченного использования программ. Потому, если программка обновилась, вам нужно будет сделать новое правило либо изменять текущее.

Сейчас, перед тем как перейти к созданию правил, следует разобраться с разрешениями AppLocker, другими словами, конкретно с самими поведениями правил. Поведений, как вы, вероятнее всего, додумались, совершенно мало и здесь трудно что-то напутать. Это:

Разрешающие правила. В данном случае, вы определяете файл, который вы разрешаете юзерам либо группе юзеров запускать на собственных компьютерах.
Запрещающие правила. В свою очередь, используя данное поведение, вы воспретите производиться файлам на пользовательских компьютерах, согласно обозначенным вами условиям.

Вот так, по сути, все очень просто. Но, есть такое замечательное выражение, как «правила создаются для того, чтоб их нарушать». AppLocker не является исключением из этого убеждения, другими словами, вы сможете разрешить юзерам игнорировать составленные вами правила при определенных критериях. Это можно сделать с помощью исключений из создаваемых вами правил, при этом, исключения можно создавать для хоть какого условия, независимо от того, какое вы выбирали при разработке самого правила. Другими словами, вы сможете сделать разрешающее правило согласно определенному издателю, но, заблокировать к нему доступ согласно определенному расположению файла. И это можно сделать, используя только одно правило. Вот в этом большой плюс данной технологии и здесь просто нереально не согласиться.

Создание правил для издателя, пути и хеша

Чтоб не плодить огромное количество объектов групповой политики, в данном примере будет употребляться тот же объект групповой политики, о котором шла речь в предшествующей статье данного цикла, а конкретно, объект групповой политики «Правила AppLocker для пользователей». В этом объекте групповой политики будут сделаны три правила, из которых вы узнаете о том, каким образом можно сделать свое 1-ое правило с условием «Издатель» для такового приложения как Adobe Reader, которое установлено на пользовательском компьютере, запрещен доступ к стандартному приложению «Экранная лупа» с помощью правила «Пути», также разрешен доступ для использования определенной версии программки ZoomIt, согласно ее хешу. Соответственно, чтоб воплотить ограничение, согласно поставленным условиям, требуется выполнить последующие деяния:

1-ое правило, которое будет создаваться – это правило с условием «Издатель». Как следует, необходимо открыть оснастку «Управление групповой политикой», избрать требуемый объект групповой политики и открыть редактор управления групповыми политиками. В отобразившемся окне редактора необходимо перейти к необходимому узлу, а конкретно к узлу Конфигурация компьютераПолитикиКонфигурация WindowsПараметры безопасностиПолитики управления приложениямиAppLocker. И потому что все три правила, которые будут создаваться, будут распространяться только на исполнительные файлы, следует избрать узел «Исполняемые правила». Итак, сейчас, после того как требуемый узел будет избран, выполним последующие деяния:

В дереве оснастки либо в области сведений вызовите контекстное меню и изберите команду «Создать правило»;
Перед вами отобразится диалоговое окно мастера сотворения исполняемых правил AppLocker. Тут, на первой страничке мастера вам следует ознакомиться с предоставленной информацией, а потом надавить на кнопку «Далее»;
На страничке «Разрешения» вам следует обусловиться с поведением правила. Потому что в этом случае будут блокироваться большая часть версий ридера, следует установить тумблер на опцию «Запретить». Также, нереально не увидеть и того, что тут вы сможете избрать определенного юзера либо группу юзеров, на которых будет распространяться данное правило. Другими словами, вы сможете сделать только один объект групповой политики с правилами AppLocker, где в каждом правиле вы будете указывать определенную группу юзеров, на которых будет распространяться само правило. А объект GPO можно смело привязывать ко всему домену. В принципе, это очень комфортно тем, что вы не запутаетесь посреди множества объектов групповой политики. К примеру, укажем, что правило должно распространяться на юзеров из группы безопасности «Маркетологи», как видно на последующей иллюстрации. В эту группу заходит учетная запись юзера Сергея Окунева, для которой будет производиться проверка выполненных действий. После того как вы укажите требуемую группу, можно жать на кнопку «Далее»;

Красоты технологии AppLocker. Часть 2
Прирастить набросок

Рис. 1. Страничка «Разрешения» мастера сотворения правила AppLocker

Потому что нам следует сделать правило на основании издателя, на страничке «Условия» мастера следует установить тумблер на опцию «Издатель», а потом надавить на кнопку «Далее»;
Один из самых увлекательных моментов во время сотворения правила AppLocker – это конкретно страничка мастера «Издатель», где мы можем указать гибкие опции, используемые к приложению. Сначала, нужно избрать приложение. На этом шаге, во время сотворения правила, может появиться последующий вопрос. Создавая правило AppLocker, я нахожусь на серверной операционной системе Windows Server 2008 R2, которая 64-разрядная. Тут Adobe Reader установлен в папку «Program Files (x86)», потому что приложение 32-разрядное. Выбрав этот файл, у меня в диалоговом окне мастера будет обозначено, что файл ACRORD32.EXE находится в папке для 32-разрядных приложений 64-разрядной операционной системы. Вопрос может быть таким: воздействует ли это как-то на клиента, у которого 32-разрядная система

Потому что данное правило создается конкретно для издателя, приложение можно смело обновлять либо же изменять его размещение, потому что AppLocker в этом случае интересует только издатель, игнорируя физическое размещение самого файла.

Кроме выбора приложения, непременно следует разобраться со всеми элементами, которые доступны для редактирования значения этой странички мастера.

Хоть какой издатель. Деяния производятся для обозначенного вами файла, независимо от того, каким издателем он подписан;
Издатель. С помощью этого управляющего элемента вы сможете указать, что под область деяния правила должны попадать все файлы, которые подписаны издателем с определенным именованием;
Заглавие продукта. Данное текстовое поле позволяет добавить в правило кроме данных об издателе к тому же наименование программного продукта;
Название файла. Тут вы сможете найти название файла, на который будет распространяться правило. Кроме совпадения названии файла еще учитываются издатель и наименование программного продукта;
Версия файла. Самый увлекательный отран управления создаваемого правила. Тут вы сможете найти версию управляемого вами файла для программного продукта.

По дефлоту, вы сможете избрать хоть какое из этих 5 вероятных критерий, перемещая ползунок на требуемое вам условие. Но, если вы желаете указать точную версию программного продукта либо поменять, скажем, издателя, вам необходимо будет установить флаг на функции «Пользовательские значения». Другими словами, изменять значения в главных 4 текстовых полях вы сможете исключительно в том случае, если флаг будет установлен. Также вы сможете указать дополнительную фильтрацию для версии файла. Доступны три последующих значения: «И выше», «И ниже», также «В точности». Указав 1-ое значение, вы тем зададите условие, когда версия файла программки должна быть либо обозначенной в условии правила, либо выше его. В неприятном случае правило не будет распространяться на данное приложение. Соответственно, указав значение «И ниже», правило отработает в этом случае, если версия файла будет приравниваться обозначенной в условии либо же ниже. Ну, а выбрав последнее значение, правило будет распространяться лишь на текущую версию программного продукта. К примеру, в этом случае выберем пользовательское значение и укажем, что правило должно распространяться на версию 10.1.0.0 и выше. После того как значение нужных вам полей будут изменены, нажмите на кнопку «Далее». Диалоговое окно данной странички мастера вы сможете узреть ниже:

Красоты технологии AppLocker. Часть 2
Прирастить набросок

Рис. 2. Страничка «Издатель» мастера сотворения правила AppLocker

Представим, что прямо до версии 10.1.3.23 компания Adobe выпускала постоянные версии ридера и вы желаете, чтоб юзеры смогли запускать у себя на компьютере эту программку, но только при том условии, что версия файла должна быть не выше текущей, ну и программка должна быть установлена исключительно в расположении «%Programfiles%AdobeReader 10.0ReaderAcroRd32.exe». Соответственно, пригодится сделать два исключения. 1-ое – для издателя, где будет обозначено, что если у юзера будет версия исполняемого файла программки приравниваться 10.1.3.23 либо если программка будет более древняя, то программка должна запускаться, также правило пути, где будет обозначено, что файл должен размещаться в папке «%Programfiles%AdobeReader 10.0ReaderAcroRd32.exe». После того как все исключения будут добавлены, следует в последний раз надавить на кнопку «Далее». Текущая страничка мастера изображена на последующей иллюстрации:

Красоты технологии AppLocker. Часть 2
Прирастить набросок

Рис. 3. Страничка «Исключения» мастера сотворения правила AppLocker

На последней страничке мастера вы сможете задать имя и описание для текущего правила. По дефлоту вам будет предложено имя, в каком будут указаны все избранные вами условия. Если вы желаете поменять заглавие, это можно сделать в текстовом поле «Имя». К примеру, укажем понятное имя «Adobe Reader 10». Если вы добавляли какие-то хитрые условия и исключения, идеальнее всего, если вы их опишите в поле с комментами, хотя в этом нет какой-нибудь острой необходимости. Жмем на кнопку «Создать». Снова же, данная страничка мастера изображена ниже:

Красоты технологии AppLocker. Часть 2
Прирастить набросок

Рис. 4. Страничка «Имя и описание» мастера сотворения правила AppLocker

Сейчас следует перейти к созданию второго правила – правила для «Пути». Правило будет создаваться в том же объекте групповой политики, в каком и было сотворено 1-ое правило. Как следует, необходимо выполнить последующее:

Поновой из контекстного меню изберите команду «Создать правило»;
На первой страничке мастера нажмите на кнопку «Далее»;
3. На страничке «Разрешения», потому что следует запретить возможность пуска экранной лупы, установите тумблер на опцию «Запретить». Потому что в прошлом примере правило распространялось на юзеров из группы безопасности «Маркетологи», в данном примере будет также выбрана эта группа. После того как вы укажите группу, можно смело жать на кнопку «Далее»;
На страничке «Условия» установите тумблер на опцию «Путь» и нажмите на кнопку «Далее»;
На текущей страничке не должно появиться каких-то сложностей, потому что тут есть только только текстовое поле с возможностью выбора файлов, на которые будет распространяться правило. Как следует, необходимо избрать разыскиваемый файл, доступ к которому будет заблокирован, и надавить на кнопку «Далее», как показано на последующей иллюстрации:

Красоты технологии AppLocker. Часть 2
Прирастить набросок

Рис. 5. Страничка «Путь» мастера сотворения правила AppLocker

6. Потому что блокируется доступ к стандартному приложению операционной системы, ни о каких исключениях не может быть никакой речи. Соответственно, на страничке «Исключения» мастера нажмите на кнопку «Далее»;
7. Последняя страничка мастера для текущего условия ничем не отличается от странички «Имя» предшествующего примера. Тут необходимо просто указать имя правила, к примеру, «Блокирование экранной лупы для маркетинга» и надавить на кнопку «Создать».

Ну и под конец, будет сотворено последнее, третье правило, с помощью которого будет разрешен пуск утилиты Марка Руссиновича «ZoomIt», согласно хешу. Для этого необходимо выполнить последующие деяния:

В очередной раз изберите команду «Создать правило» и на первой страничке мастера нажмите на кнопку «Далее»;
На страничке «Разрешения», сейчас установите тумблер на опцию «Разрешить», потому что эту программку должны запускать рекламщики. Также укажем группу «Маркетологи», а потом можно жать на кнопку «Далее»;
На страничке «Условия» установите тумблер на опцию «Хешируемый файл» и нажмите на кнопку «Далее»;
На страничке «Хеш файла» с помощью соответственных управляющих частей следует избрать сам хешируемый файл. Хеш будет высчитан и ограничения будут распространяться лишь на файлы с хешем, который совпадает с обозначенным в правиле. После выбора файла, следует надавить на кнопку «Далее». Данная страничка мастера изображена на последующей иллюстрации:

Красоты технологии AppLocker. Часть 2
Прирастить набросок

Рис. 6. Страничка «Хеш файла» мастера сотворения правила AppLocker

5. И последняя вкладка мастера, на которой, снова же, можно переименовать сделанное правило и сделать его. К примеру, пусть данное правило именуется «Разрешение для ZoomIt».

После того как все правила будут сделаны, окно редактора управления групповыми политиками будет смотреться последующим образом:

Красоты технологии AppLocker. Часть 2
Прирастить набросок

Рис. 7. Узел исполняемых правил после прибавления последнего правила

Основной момент, на который следует направить внимание – так это служба «Удостоверение приложения», которая непременно должна работать на мотивированном компьютере. Потому, лучше, установить для нее автоматический пуск с помощью этого же либо другого объекта групповой политики.

А сейчас осталось проверить, применились ли правила AppLocker на юзера из подразделения рекламного анализа Сергея Окунева, который заходит в группу безопасности «Маркетологи». Инспектировать будем в том порядке, в каком создавались сами правила.

Соответственно, сначала, попробуем открыть Adobe Reader. Попробуем открыть программку. Она непременно раскроется, потому что было сотворено исключение по пути файла. Но, если файлы программки скопировать в какое-то хорошее размещение от того, которое прописано в исключении, мы непременно нарвемся на сообщение, которое вы на данный момент видите на соответственном изображении:

Красоты технологии AppLocker. Часть 2
Прирастить набросок

Рис. 8. Сообщение, которое получает юзер при попытке открытия Adobe Reader

Потом можно испытать открыть экранную лупу, исполнительный файл которой размещен в папке System32. Программку открыть нельзя, потому что это запрещено с помощью правила AppLocker.

И последнее, что необходимо проверить – это открытие утилиты ZoomIt. Программка раскрывается, как из каталога Program Files, так и в этом случае, если ее переместить на хоть какой диск и в всякую папку.

Заключение

Из этой статьи вы узнали о правилах AppLocker, также о том, каким образом можно сделать дополнительные пользовательские правила, созданные для ограничения доступа к программному обеспечению. Подверглись рассмотрению способы сотворения правил, согласно 3-х критерий, а конкретно, правила для издателя, которое целенаправлено использовать в этом случае, если само приложение подписано издателем, для пути, если вам нужно ограничить доступ к приложению, расположенному в определенной папке, также правила на основании хешируемого файла. В последующей статье подвергнутся рассмотрению редактирование сделанного ранее правила AppLocker, автоматического сотворения правил, также о том, как можно выполнить некие дополнительные деяния.

Аналогичный товар: Комментирование на данный момент запрещено, но Вы можете оставить ссылку на Ваш сайт.

Комментарии закрыты.