Live Chat Software by Kayako |
AppLocker چیست؟
ارسال شده توسط عباس پيرنظريان در تاریخ 1390/09/10 11:04 قبل از ظهر
|
|
AppLocker چیست؟ AppLocker یا Application Control Policy یکی از امکانات جدید ویندوز 7 , Windows 2008 R2 است که در اصل قسمتی از Group Policy است و به مدیر شبکه امکان مدیریت و کنترل مجوز اجرای نرم افزار را می دهد.
احتمالا قبلا با Software Restriction Policy که در ویندوزهای قبلی وجود داشت آشنا شده اید ،درواقع AppLocker ورژن جدید این Policy است که بعضی محدودیتهای آن را از سر راه برداشته و مدیریت آن بسیار راحتتر است.
در این مقاله ابتدا به مقایسه این دو روش برای کنترل نرم افزار می پردازیم سپس روش استفاده از Applocker و ترفندهای مدیریت آن را توضیح می دهیم .
AppLocker vs Software Restriction Policy مقایسه AppLocker با SRP(Software Restriction Policy) 1.Applocker تنها توسط Windows 7 و 2008 R2 پشتیبانی می شود اما SRP توسط تمام Windows ها پشتیبانی می شود. تنها Editionهای Ultimate, Professional, Enterprise ویندوز 7 AppLockerرا پشتیبانی می کنند 2. در Applocker می توان بر اساس User یا Group قانون تعریف نمود اما این کار در SRP امکان پذیر نیست 3. در صورت تضاد بین قوانین Applocker همیشه قانون Deny اعمال می شود در SRP الویت بندی بر اساس نوع قانون است به این ترتیب (1.Certificate,2.Hash,3.Path,4.Zone) 4. در Applocker قبل از اجرای قوانین می توان کارکرد آنها را با استفاده از حالت Audit بررسی نمود و در صورتی که مشکلی وجود نداشت آنها را اعمال نمود 5. Applocker مانند SRP امکان تغییر Security Level وجود ندارد البته می توان از Security Level های SRP در کنار Applocker استفاده نمود 6.در صورت استفاده از هر دو روش و وجود تضاد بین قوانین اولویت با قوانین Applocker است و آنها اعمال می شوند 7.در Applocker امکان Automatic Generate rule وجود دارد که کار را بسیار راحت نموده 8.استفاده Certificate Rule در SRP بسیار سخت بود و امکانات کمی را در اختیار مدیر شبکه قرار می داد این موضوع در Applocker به کمکpublisher rule حل شده که کارایی بالایی دارد 9.در Applocker قسمت مخصوصScript Rule تعریف شده که می تواند بر روی اجرای Script ها نیز نظارت داشت. 10.Applocker برای اجرا شدن وابسته به سرویس Application Identity است.
استفاده از AppLocker نکته مهم: برای اینکه قوانین AppLocker اعمال شود باید حتما سرویس Application Identity در حالت Start باشد. برای اینکار ابتدا Startup Type سرویس را بر روی Automatic قرار دهید و آن را Start کنید.پس ابتدا دستور services.msc را اجرا ،بر روی سرویس Application Identity دبل کلیک کنید و تنظیمات را مانند شکل زیر تغییر دهید و برروی کلید Start کلیک کنید. پس از اینکار می توانید تنظیمات AppLocker را تغییر دهید. همانطور که قبلا توضیح داده شد Applocker قسمتی از Group Policy است در نتیجه برای کامپیوتر هایی که عضو Domain نیستند می توانید از Local Group Policy استفاده کنید و در صورت وجود Active Directory می توانید از group policy آن استفاده کنید. برای باز کردن Local Group Policy باید دستور gpedit.msc را اجرا کنید سپس از مسیر زیر تنظیمات Applocker را مشاهده کنید یا تغییر دهید. Computer Configuration -> Windows Settings -> Security Settings -> Application Control Policy-> AppLocker
قوانین AppLocker به چهار دسته تقسیم می شود:
پیش از استفاده از این قوانین ابتدا باید آنها را فعال کنید. برای اینکار برروی Configure rule enforcement کلیک کنید تا صفحه زیر باز شود. سپس برای هر کدام از rule هایی که قصد استفاده از آن را دارید گزینه Configure رافعال و آنرا برروی Enforce rules یا Audit Only قرار دهید.
در صورت انتخاب حالت Enforce Rules تمام قوانینی که پس از این مرحله تنظیم می کنید اجرا می شود و اگر دقت نداشته باشید ممکن است باعث مشکل شود یا اجرای نرم افزارهای حیاتی سیستم را دچار مشکل کند.
حالت Audit Only به این معنی است که قوانین اجرا نمی شود بلکه تنها بررسی می شود. پس از بررسی اگر مشکلی وجود نداشت می تواند rule را بر روی Enforce قرار دهید. پس از این مرحله می توانید قوانین را تعریف کنید.
در صورتی که گزینه configure انتخاب نشده باشد و قانونی را تعریف کنید حالت Enforce اجرا می شود.
AppLocker Rules
قوانین پیش فرض Default Rules
حال می توانید قوانین خود را تعریف کنید. بطور کلی دو نوع قانون می توانید تعریف کنید :
در صورت تداخل بین این دو نوع قانون قوانین Deny اجرا می شوند.
برای تعریف یک Rule ابتدا باید Permission آن Rule را مشخص کنید(Allow/Deny) و همچنین مشخص کنید این قانون برروی چه User یا گروهی اعمال شود.
پس از آن باید به یکی از سه روش زیر نرم افزارهای مورد نظر خود را مشخص کنید: 1.Hash Rule: که در آن می توانید یک یا چند فایل را مشخص کنید تا Hash آنها محاسبه شود و قانون برروی آنها اعمال شود. در صورت جابجایی یا تغییر نام فایل باز هم قانون بر آنها اجرا می شود اما اگر محتویات فایل تغییر کند دیگر قانون برروی آن فایل اعمال نمی شود.
2. Path Rules: در این روش می توانید نام یا مسیر یک نرم افزار را مشخص کنید همچنین می توانید از Wildcard هم استفاده کنید برای مثال *\:C
3. Publisher Rule: این روش زمانی کاربرد دارد که نرم افزار مورد نظر شما دارای امضا دیجیتالی از یک شرکت معتبر باشد . به کمک Publisher Rule می توانید تمام نرم افزارهای ساخت یک شرکت یا همه ورژنهای یک نرم افزار خاص را مشخص کنید. به عکس زیر توجه کنید
برای ساخت این نوع قانون، یک فایل امضا شده را مشخص می کنید تا AppLocker امضا و مشخصات فایل را استخراج کند سپس می توانید با تغییر Slider قانون را مشخص کنید برای مثال در عکس فوق اگر Slider را برروی Publisher قرار دهید یعنی تمام نرم افزارهای ساخت شرکت Adobe System یا اگر برروی Product Name قرار دهید یعنی نرم افزار ساخت Adobe که نام آن Adobe Reader است . برای مثال در عکس فوق پس از تعریف Publisher Rule امکان تعریف Exception از هر سه نوع را داریم.
نکته مهم : در Rule هایی با مجوز Allow اگر نرم افزاری در Exception تعریف شود اجازه اجرای آن به کاربران داده نمی شود در نتیجه به کمک Allow Rule و Exception هم می توان دسترسی به یک نرم افزار را محدود کرد
نکته دوم: قبلا گفتیم Deny Rule بر Allow Rule اولویت دارد نکته بعدی این است که Allow Rule بر Allow Rule+Exception اولویت دارد در نتیجه اگر دسترسی به یک نرم افزار از طریق Allow و Exception محدود شود می توان با یک Allow Rule دیگر اجازه دسترسی به آن نرم فزار را داد.
برای درک بهتر مطالب بالا یک مثال را اجرا می کنیم :
فرض کنید از شما خواسته شده اجازه اجرای نرم افزار خاصی را تنها به اعضای گروه Sales بدهید. برای اینکار ابتدا باید اجزاه اجرای نرم افزار را از همه بگیرید و اگر اینکار را با Deny Rule انجام دهید دیگر نمی توانید به اعضا گروه Sales اجازه دهید که از آن استفاده کند زیرا Deny بر Allow اولویت دارد. راه حل: به کمک AllowوException اجازه اجرای نرم افزار را از همه بگیرید مثلا:
Automatically Generate Rules به کمک این گزینه می توانید مجموعه ای از قوانین را برای نرم افزارهای یک پوشه یا درایو بصورت خودکار تولید کنید سپس بسته به نیاز آنها را تغییر دهید. برای مثال در عکس بالا برای تمامی نرم افزارهای پوشه Program Files قوانین Allowتعریف می کنیم .
| |
|