AppLocker jest nową funkcją w systemach Windows Server 2008 R2 oraz Windows 7, która zwiększa sprawność funkcji Zasad ograniczeń oprogramowania. Blokowanie programów od zawsze było zmorą administratorów. Applocker pozwala na blokowanie dostępnych w systemie aplikacji, tak aby użytkownik nie mógł jej uruchomić. Używając funkcji AppLocker można zarządzać czterema typami plików: plikami wykonywalnymi (.exe), plikami Instalatora Windows (.msi oraz .msp), plikami skryptu (.bat, .cmd, .js, .ps1, oraz .vbs), a także plikami dll (.dll i .ocx).
Obsługa Applockera jest bardzo prosta o czym przekonacie się czytając ten artykuł, w którym przedstawię sposób blokowania przeglądarki internetowej Firefox.
Rozpoczynając przygodę z narzędziem AppLocker, w pierwszej kolejności za pomocą start -> uruchom uruchamiamy przystawkę lokalnych zasad grup wpisując gpedit.msc następnie klikając enter.
Powyższa operacja uruchomi edytor lokalnych zasad grup. Rozwijamy zakładki Konfiguracja komputera -> Ustawienia systemu Windows -> Ustawienia zabezpieczeń -> Zasady sterowania aplikacjami -> AppLocker.
W niniejszym artykule zablokujemy możliwość korzystania przez wszystkich użytkowników z programu Firefox, zatem zaznaczmy zakładkę Reguły dla plików wykonywalnych i poprzez rozwinięcie menu podręcznego za pomocą prawego klawisza myszy, lewym klawiszem z dostępnych opcji wybieramy tworzenie nowej reguły.
Przed nami ukarze się okno kreatora tworzenia nowej reguły. Kreator ten pomaga w tworzeniu reguł dla funkcji AppLocker. Reguła AppLockera oparta jest na atrybutach pliku, zawartych w jego podpisie cyfrowym. Podpis cyfrowy jest unikatową wartością przypisaną do pliku, która umożliwia stwierdzenie, że plik pochodzi od określonego właściciela i nie został później zmodyfikowany.
Aby kontunuować tworzenie nowej regułu klikamy przycisk Dalej.
W oknie kreatora Uprawnień wybieramy akcję, która zostanie wykonana, oraz użytkownika lup grupę użytkowników, dla których ta reguła ma zostać zastosowana.
Akcja zezwalania umożliwia uruchamianie odpowiednich plików, natomiast akcja odmowy uniemożliwia uruchamianie odpowiednich plików. Zaznaczamy opcję zabroń i za pomocą przyciska Wybierz, wybieramy użytkownika lub grupę dla której ów akcję akcję przypisujemy.
AppLocker wspiera trzy rodzaje zasad blokowania aplikacji:
Wydawca – zasada ta rozpoznaje aplikację w oparciu o jej podpis cyfrowy. W obecnych czasach większość aplikacji posiada podpis cyfrowy, który może być użyty przy blokowaniu oprogramowania. Aby sprawdzić, czy dana aplikacja posiada podpis cyfrowy, należy kliknąć prawym przyciskiem na pliku .exe i wybrać Właściwości. Następnie przejść do zakładki Podpisy cyfrowe. Jeśli taki podpis istnieje, będzie on umieszczony na liście podpisów.
Ścieżka – pozwalają blokować aplikacje z danej lokalizacji. Dla przykładu, można zezwolić na uruchamianie aplikacji tylko i wyłącznie z folderu Program Files. Jest to dość bezpieczna zasada, do czasu, kiedy użytkownicy nie posiadają możliwości instalowania aplikacji.
Skrót pliku – metoda ta sprawdza zakodowany hash aplikacji, aby ją rozpoznać. Wadą tego rozwiązania jest to, że trzeba modyfikować zasadę za każdym razem, kiedy aplikacja się zmieni (na przykład poprzez aktualizację), ponieważ każda zmiana w programie zmienia także hash. Hash pliku możemy sprawdzić na przykład za pomocą darmowej aplikacji o nazwie Advanced File Hash
Nasz plik jest podpisany cyfrowo zatem z listy dostępnych opcji wybieramy Wydawca i klikamy Dalej.
Za pomocą funkcji przeglądaj wskazujemy plik (w tym przypadku firefox.exe), który zostanie użyty jako odwołanie do reguły. Po wskazaniu pliku kreator wyświetli nam wszystkie wartości zawarte w podpisie cyfrowym. Po zaznaczeniu opcji Użyj wartości niestandardowych, możemy jeszcze dokładniej określić restrykcje, nawet do konkretnej wersji pliku. Można na przykład zablokować tylko tę konkretną wersję aplikacji wybierając funkcję Dokładnie, wszystkie wcześniejsze wersje wybierając opcję I poniższe wersje pliku, oraz wszystkie późniejsze wersje od wskazanej wersji aplikacji wybierając I powyższe wersje pliku.
W kolejnym oknie kreatora tworzenia nowej reguły pojawi nam się możliwość zdefiniowania wyjątków dla wskazanej wcześniej aplikacji. Wyjątki można ustalać na podstawie Wydawcy, Ścieżki lub Sumy Skrótu pliku, W tym przypadku tworzymy regułę blokowania każdej wersji pliku firefoxa zatem nie dokonujemy zmian i opuszczamy zakładkę klikamy dalej.
Ostatnie okno, z którym spotkamy się podczas tworzenia nowej reguły będzie okno kreatora definiowania nazwy oraz opisu dla nowo tworzonej polisy. Nazwa powinna być tak skonstruowana, by natychmiastowo można było określić czego dotyczy.
Nowo utworzoną regułę możemy podejrzeć zaznaczenie zakładki Reguły dla plików wykonywalnych.
Utworzenie reguły, nie oznacza, że będzie ona natychmiast działać ponieważ AppLocker domyślnie jest wyłączony. W pierwszej kolejności uruchamiamy zakładkę Usługi poprzez wpisanie w start -> uruchom services.msc.
W otwartym oknie Usługi odnajdujemy usługę o nazwie “Tożsamość aplikacji”, zaznaczamy ją i poprzez rozwinięcie menu podręcznego za pomocą prawego klawisza myszy, lewym klawiszem z dostępnych opcji wybieramy Uruchom.
Po kilkunastu sekundach reguła zostanie obowiązywać i jeśli wszystkie powyższe kroki zostały wykonane poprawnie, uruchomienie przeglądarki internetowej o nazwie Firefoxa będzie niemożliwe.
Regułę usunąć możemy poprzez zaznaczenie jej i następnie z rozwiniętego prawym klawiszem myszy menu podręcznego, zlewym klawiszem z dostępnych opcji wybieramy Usuń.
Od roku 2005 zawodowo związany z branżą informatyczną. Wieloletnie doświadczenie zaowocowało uzyskaniem prestiżowego, międzynarodowego tytułu MVP (Most Valuable Professional) nadanego przez firmę Microsoft. W wolnych chwilach prowadzi blog oraz nagrywa, montuje i publikuje kursy instruktażowe na kanale YouTube.