AppLocker چیست؟

AppLocker یا Application Control Policy یکی از امکانات جدید ویندوز 7 , Windows 2008 R2 است که در اصل قسمتی از Group Policy  است و به مدیر شبکه امکان مدیریت و کنترل مجوز اجرای نرم افزار را  می دهد.

احتمالا قبلا با Software Restriction Policy  که در ویندوزهای قبلی وجود داشت آشنا شده اید ،درواقع  AppLocker  ورژن جدید این Policy است که بعضی محدودیتهای آن را از سر راه برداشته و مدیریت آن بسیار راحتتر است. 
البته هنوز هم  Software restriction policy  در Group Policy  وجود دارد و برای سیستم عاملهای قبل از windows 7  تنها راه مدیریت اجرای نرم افزارها است.

در این مقاله ابتدا به مقایسه این دو روش برای کنترل نرم افزار می پردازیم سپس روش استفاده از Applocker و ترفندهای مدیریت آن را توضیح می دهیم .

AppLocker vs Software Restriction Policy

مقایسه AppLocker با SRP(Software Restriction Policy)

1.Applocker   تنها توسط Windows 7  و 2008 R2 پشتیبانی می شود اما SRP توسط تمام Windows ها پشتیبانی می شود. تنها Editionهای Ultimate, Professional, Enterprise  ویندوز 7 AppLockerرا پشتیبانی می کنند

2. در Applocker می توان بر اساس User یا Group قانون تعریف نمود اما این کار در SRP امکان پذیر نیست

3. در صورت تضاد بین قوانین Applocker  همیشه قانون Deny اعمال می شود در SRP  الویت بندی بر اساس نوع قانون است به این ترتیب   (1.Certificate,2.Hash,3.Path,4.Zone)

4. در Applocker قبل از اجرای قوانین می توان کارکرد آنها را با استفاده از حالت Audit بررسی نمود و در صورتی که مشکلی وجود نداشت آنها را اعمال نمود

5. Applocker مانند SRP امکان تغییر Security Level  وجود ندارد البته می توان از Security Level  های SRP در کنار Applocker استفاده نمود

6.در صورت استفاده از هر دو روش و وجود تضاد بین قوانین اولویت با  قوانین Applocker است و آنها اعمال می شوند

7.در Applocker امکان Automatic Generate rule وجود دارد که کار را بسیار راحت نموده

8.استفاده Certificate Rule در SRP بسیار سخت بود و امکانات کمی را در اختیار مدیر شبکه قرار می داد این موضوع در Applocker  به کمکpublisher rule حل شده که کارایی بالایی دارد

9.در Applocker قسمت مخصوصScript Rule  تعریف شده که می تواند بر روی اجرای Script  ها نیز نظارت داشت.

10.Applocker برای اجرا شدن وابسته به سرویس Application Identity است.

استفاده از AppLocker

نکته مهم:

برای اینکه قوانین AppLocker اعمال شود باید حتما سرویس Application Identity در  حالت Start باشد.

برای اینکار ابتدا  Startup Type سرویس را بر روی Automatic قرار دهید و آن را Start کنید.پس ابتدا دستور services.msc را اجرا ،بر روی سرویس Application Identity دبل کلیک کنید و تنظیمات را مانند شکل زیر تغییر دهید و برروی کلید Start کلیک کنید.

پس از اینکار می توانید تنظیمات AppLocker را تغییر دهید.

همانطور که قبلا توضیح داده شد Applocker قسمتی از Group Policy  است در نتیجه برای کامپیوتر هایی که عضو Domain نیستند می توانید از

Local Group Policy  استفاده کنید و در صورت وجود Active Directory می توانید از group policy  آن استفاده کنید.

برای باز کردن Local Group Policy باید دستور gpedit.msc را اجرا کنید سپس از مسیر زیر تنظیمات Applocker را مشاهده کنید یا تغییر دهید.

Computer Configuration ->

Windows Settings ->

Security Settings ->

Application Control Policy->

AppLocker

قوانین AppLocker به چهار دسته تقسیم می شود:

1. Excutable Rules: قوانین مربوط به نرم افزارها و فایلهای اجرایی
2. Windows Installer Rules: قوانین مربوط به نصب نرم افزارهایی که به کمک Windows Installer نصب می شوند(فایلهای MSIوMSP)
3. Script Rules: قوانین مربوط به اجرای اسکریپتهای JScript,VBScript,Batch File,PowerShell
4. DLL Rules:قوانین مربوط به فایلهای DLL و OCX که بصورت پیش فرض غیر فعال هستند و پیشنهاد شده که فعال نشوند زیرا به شدت بر روی کارایی سیستم تاثیر منفی می گذارد.

پیش از استفاده از این قوانین ابتدا باید آنها را فعال کنید. برای اینکار برروی Configure rule enforcement کلیک کنید تا صفحه زیر باز شود.

  سپس برای هر کدام از rule هایی که قصد استفاده از آن را دارید گزینه Configure رافعال و آنرا برروی Enforce rules  یا Audit Only قرار دهید.

در صورت انتخاب حالت  Enforce Rules  تمام قوانینی که پس از این مرحله تنظیم می کنید اجرا می شود و اگر دقت نداشته باشید ممکن است باعث مشکل شود یا اجرای نرم افزارهای حیاتی سیستم را دچار مشکل کند.

حالت Audit Only  به این معنی است که قوانین اجرا نمی شود بلکه تنها بررسی می شود.
 این حالت به شما کمک می کند تا قبل اجرای واقعی قوانین بتوانید آنها را بررسی کنید و متوجه شوید 
در صورت پیاده سازی ، این قوانین بر روی چه نرم افزارهایی  تاثر می گذارند. 
برای اینکار می توانید از Log های Event Viewer  استفاده کنید و آنها را بررسی کنید.

پس از بررسی اگر مشکلی وجود نداشت می تواند rule را بر روی Enforce قرار دهید.

پس از این مرحله می توانید قوانین را تعریف کنید.

در صورتی که گزینه configure انتخاب نشده باشد و قانونی را تعریف کنید حالت Enforce اجرا می شود.

AppLocker Rules

قوانین پیش فرض Default Rules

• قوانین پیش فرضی است که پیشنهاد شده ساخته شود که شامل 3 قانون است

1. Allows Everyone to run applications that are located in the Program Files folder
2. Allows Everyone to run applications that are located in the Windows folder
3. Allows members of the local Administrators group to run all applications

• برای ساخت این قوانین می توانید بر روی دسته Rule مورد نظر (مثلا excutable Rules) کلیک راست کنید و گزینه Create Default Rules را انتخاب کنید.
• ساخت این قوانین اجباری نیست و در صورت عدم نیاز می توانید از ساخت آنها صرف نظر کنید.
• این قوانین برای Windows  Installer Rules با بقیه حالتها تفاوت دارد و به جای قانون اول اجازه نصب نرم افزارهایی که دارای امضای دیجیتالی هستند را به تمام کاربران داده است

حال می توانید قوانین خود را تعریف کنید.

بطور کلی دو نوع قانون می توانید تعریف کنید :

1. Allow Rules: که به گروه مشخص شده اجازه اجرای نرم افزارهای مشخص شده   را میدهد
2. Deny Rules: که به گروه مشخص شده اجازه اجرای نرم افزارهای مشخص شده را نمی دهد.

در صورت تداخل بین این دو نوع قانون قوانین Deny اجرا می شوند.

برای تعریف یک Rule  ابتدا باید Permission آن Rule را مشخص کنید(Allow/Deny) و همچنین مشخص کنید این قانون برروی چه User یا گروهی اعمال شود.

 پس از آن باید به یکی از سه روش زیر نرم افزارهای مورد نظر خود را مشخص کنید:

1.Hash Rule: که در آن می توانید یک یا چند فایل را مشخص کنید تا Hash آنها محاسبه شود و قانون برروی آنها اعمال شود. در صورت جابجایی یا تغییر نام فایل باز هم قانون بر آنها اجرا می شود اما اگر محتویات فایل تغییر کند دیگر قانون برروی آن فایل اعمال نمی شود.

2. Path Rules: در این روش می توانید نام یا مسیر یک نرم افزار را مشخص کنید همچنین می توانید از Wildcard هم استفاده کنید برای مثال  *\:C

3. Publisher Rule: این روش زمانی کاربرد دارد که نرم افزار مورد نظر شما دارای امضا دیجیتالی از یک شرکت معتبر باشد . به کمک Publisher Rule می توانید تمام نرم افزارهای ساخت یک شرکت یا همه ورژنهای یک نرم افزار خاص را مشخص کنید. به عکس زیر توجه کنید

 برای ساخت این نوع قانون، یک فایل امضا شده را مشخص می کنید تا AppLocker امضا و مشخصات فایل را استخراج کند سپس می توانید با تغییر Slider قانون را مشخص کنید برای مثال در عکس فوق اگر Slider را برروی Publisher قرار دهید یعنی تمام نرم افزارهای ساخت شرکت Adobe System یا اگر برروی Product Name قرار دهید یعنی نرم افزار ساخت Adobe  که نام آن Adobe Reader است .


Exception
با توجه به اینکه قوانین از نوع Path و Publisher  می توانند شامل مجموعه بزرگی از فایلها شود امکان تعریف Exception نیز برای آن درنظر گرفته شده که به کمک آن می توانید برای بعضی فایلها استثناء قائل شوید.

برای مثال در عکس فوق پس از تعریف Publisher Rule امکان تعریف Exception  از هر سه نوع را داریم.

نکته مهم : در Rule هایی با مجوز Allow اگر نرم افزاری در Exception  تعریف شود اجازه اجرای آن به کاربران داده نمی شود در نتیجه به کمک Allow Rule و Exception  هم می توان دسترسی به یک نرم افزار را محدود کرد

نکته دوم: قبلا گفتیم Deny Rule بر Allow Rule اولویت دارد نکته بعدی این است که

Allow Rule بر Allow Rule+Exception اولویت دارد در نتیجه اگر دسترسی به یک نرم افزار از طریق Allow و Exception محدود شود  می توان با یک Allow Rule دیگر اجازه دسترسی به آن نرم فزار را داد.

برای درک بهتر مطالب بالا یک مثال را اجرا می کنیم :

فرض کنید از شما خواسته شده اجازه اجرای نرم افزار خاصی را تنها به اعضای گروه Sales بدهید. برای اینکار ابتدا باید اجزاه اجرای نرم افزار را از همه بگیرید و اگر اینکار را با Deny Rule انجام دهید دیگر نمی توانید به اعضا گروه Sales  اجازه دهید که از آن استفاده کند زیرا Deny بر Allow اولویت دارد.

راه حل:

به کمک AllowوException  اجازه اجرای نرم افزار را از همه بگیرید مثلا:

1. Right-click the Executable rule collection , and then click Create New Rule.
2. On the Before You Begin page, click Next.
3. Click Allow .
4. In User Group box leave Everyone
5. Click Next.
6. Click Path Rule then click Next.
7. In the Path textbox type * for path and click Next
8. In the Exception dialog Select Hash and add application File (نرم افزار مورد نظر)
9. Click Create
10. تا اینجا یک قانون ساخته ایم که اجازه اجرای نرم افزار مورد نظر را به هیچ کس نمی دهد
11. اجازه اجرای نرم افزار را بدهد Sales  حالا یک قانون جدید اضافه می کنیم که به گروه
12. Right-click the Executable rule collection , and then click Create New Rule.
13. On the Before You Begin page, click Next
14. Click Allow .
15. Click Select .In the Select User or Group box, type Sales and then click OK
16. Click Hash Rule then click Next
17. Click Browser Files and Select application file (نرم افزار مورد نظر)
18. Click Create
19. می توانند برنامه مورد نظر را اجرا کنند Sales حالا با وجود این دو قانون تنها اعضای گروه

Automatically Generate Rules

به کمک این گزینه می توانید مجموعه ای از قوانین را برای نرم افزارهای یک پوشه یا درایو بصورت خودکار تولید کنید سپس بسته به نیاز آنها را تغییر دهید.

برای مثال در عکس بالا برای تمامی نرم افزارهای پوشه Program Files قوانین Allowتعریف می کنیم .