Blokowanie aplikacji za pomocą funkcji AppLocker

Share this post

AppLocker jest nową funkcją w systemach Windows Server 2008 R2 oraz Windows 7, która zwiększa sprawność funkcji Zasad ograniczeń oprogramowania. Blokowanie programów od zawsze było zmorą administratorów. Applocker pozwala na blokowanie dostępnych w systemie aplikacji, tak aby użytkownik nie mógł jej uruchomić. Używając funkcji AppLocker można zarządzać czterema typami plików: plikami wykonywalnymi (.exe), plikami Instalatora Windows (.msi oraz .msp), plikami skryptu (.bat, .cmd, .js, .ps1, oraz .vbs), a także plikami dll (.dll i .ocx).

Obsługa Applockera jest bardzo prosta o czym przekonacie się czytając ten artykuł, w którym przedstawię sposób blokowania przeglądarki internetowej Firefox.

Rysunek 1. Uruchomiona przeglądarka internetowa Firefox.
Rysunek 1. Uruchomiona przeglądarka internetowa Firefox.

Rozpoczynając przygodę z narzędziem AppLocker, w pierwszej kolejności za pomocą start -> uruchom uruchamiamy przystawkę lokalnych zasad grup wpisując gpedit.msc następnie klikając enter.

Rysunek 2. Uruchomienie przystawki zasad grup.
Rysunek 2. Uruchomienie przystawki zasad grup.

Powyższa operacja uruchomi edytor lokalnych zasad grup. Rozwijamy zakładki Konfiguracja komputera -> Ustawienia systemu Windows -> Ustawienia zabezpieczeń -> Zasady sterowania aplikacjami -> AppLocker.

Rysunek 3. Widok edytora lokalnych zasad grup.
Rysunek 3. Widok edytora lokalnych zasad grup.

W niniejszym artykule zablokujemy możliwość korzystania przez wszystkich użytkowników z programu Firefox, zatem zaznaczmy zakładkę Reguły dla plików wykonywalnych i poprzez rozwinięcie menu podręcznego za pomocą prawego klawisza myszy, lewym klawiszem z dostępnych opcji wybieramy tworzenie nowej reguły.

Rysunek 4. Tworzenie nowej reguły.
Rysunek 4. Tworzenie nowej reguły.

Przed nami ukarze się okno kreatora tworzenia nowej reguły. Kreator ten pomaga w tworzeniu reguł dla funkcji AppLocker. Reguła AppLockera oparta jest na atrybutach pliku, zawartych w jego podpisie cyfrowym. Podpis cyfrowy jest unikatową wartością przypisaną do pliku, która umożliwia stwierdzenie, że plik pochodzi od określonego właściciela i nie został później zmodyfikowany.

Aby kontunuować tworzenie nowej regułu klikamy przycisk Dalej.

Rysunek 5. Pierwsze okno kreatora tworzenia nowej reguły.
Rysunek 5. Pierwsze okno kreatora tworzenia nowej reguły.

W oknie kreatora Uprawnień wybieramy akcję, która zostanie wykonana, oraz użytkownika lup grupę użytkowników, dla których ta reguła ma zostać zastosowana.

Akcja zezwalania umożliwia uruchamianie odpowiednich plików, natomiast akcja odmowy uniemożliwia uruchamianie odpowiednich plików. Zaznaczamy opcję zabroń i za pomocą przyciska Wybierz, wybieramy użytkownika lub grupę dla której ów akcję akcję przypisujemy.

Rysunek 6. Okno wyboru akcji.
Rysunek 6. Okno wyboru akcji.

AppLocker wspiera trzy rodzaje zasad blokowania aplikacji:

Wydawca – zasada ta rozpoznaje aplikację w oparciu o jej podpis cyfrowy. W obecnych czasach większość aplikacji posiada podpis cyfrowy, który może być użyty przy blokowaniu oprogramowania. Aby sprawdzić, czy dana aplikacja posiada podpis cyfrowy, należy kliknąć prawym przyciskiem na pliku .exe i wybrać Właściwości. Następnie przejść do zakładki Podpisy cyfrowe. Jeśli taki podpis istnieje, będzie on umieszczony na liście podpisów.

Rysunek 7. Widok podpisu cyfrowego.
Rysunek 7. Widok podpisu cyfrowego.

Ścieżka – pozwalają blokować aplikacje z danej lokalizacji. Dla przykładu, można zezwolić na uruchamianie aplikacji tylko i wyłącznie z folderu Program Files. Jest to dość bezpieczna zasada, do czasu, kiedy użytkownicy nie posiadają możliwości instalowania aplikacji.

Rysunek 8. Blokowanie po ścieżce.
Rysunek 8. Blokowanie po ścieżce.

Skrót pliku – metoda ta sprawdza zakodowany hash aplikacji, aby ją rozpoznać. Wadą tego rozwiązania jest to, że trzeba modyfikować zasadę za każdym razem, kiedy aplikacja się zmieni (na przykład poprzez aktualizację), ponieważ każda zmiana w programie zmienia także hash. Hash pliku możemy sprawdzić na przykład za pomocą darmowej aplikacji o nazwie Advanced File Hash

Rysunek 9. Sprawdzanie hasha pliku.
Rysunek 9. Sprawdzanie hasha pliku.

Nasz plik jest podpisany cyfrowo zatem z listy dostępnych opcji wybieramy Wydawca i klikamy Dalej.

Rysunek 10. Wybór typu warunku.
Rysunek 10. Wybór typu warunku.

Za pomocą funkcji przeglądaj wskazujemy plik (w tym przypadku firefox.exe), który zostanie użyty jako odwołanie do reguły. Po wskazaniu pliku kreator wyświetli nam wszystkie wartości zawarte w podpisie cyfrowym. Po zaznaczeniu opcji Użyj wartości niestandardowych, możemy jeszcze dokładniej określić restrykcje, nawet do konkretnej wersji pliku. Można na przykład zablokować tylko tę konkretną wersję aplikacji wybierając funkcję Dokładnie, wszystkie wcześniejsze wersje wybierając opcję I poniższe wersje pliku, oraz wszystkie późniejsze wersje od wskazanej wersji aplikacji wybierając I powyższe wersje pliku.

Rysunek 11. Definiowanie reguły wydawcy blokowanego oprogramowania.
Rysunek 11. Definiowanie reguły wydawcy blokowanego oprogramowania.

W kolejnym oknie kreatora tworzenia nowej reguły pojawi nam się możliwość zdefiniowania wyjątków dla wskazanej wcześniej aplikacji. Wyjątki można ustalać na podstawie Wydawcy, Ścieżki lub Sumy Skrótu pliku, W tym przypadku tworzymy regułę blokowania każdej wersji pliku firefoxa zatem nie dokonujemy zmian i opuszczamy zakładkę klikamy dalej.

Rysunek 12. Definiowanie wyjątków.
Rysunek 12. Definiowanie wyjątków.

Ostatnie okno, z którym spotkamy się podczas tworzenia nowej reguły będzie okno kreatora definiowania nazwy oraz opisu dla nowo tworzonej polisy. Nazwa powinna być tak skonstruowana, by natychmiastowo można było określić czego dotyczy.

Rysunek 13. Definiowanie nazwy dla tworzonej reguły.
Rysunek 13. Definiowanie nazwy dla tworzonej reguły.

Nowo utworzoną regułę możemy podejrzeć zaznaczenie zakładki Reguły dla plików wykonywalnych.

Rysunek 14.  Podgląd nowo utworzonej reguły.
Rysunek 14. Podgląd nowo utworzonej reguły.

Utworzenie reguły, nie oznacza, że będzie ona natychmiast działać ponieważ AppLocker domyślnie jest wyłączony. W pierwszej kolejności uruchamiamy zakładkę Usługi poprzez wpisanie w start -> uruchom services.msc.

Rysunek 15. Uruchomienie przystawki Usługi za pomocą polecenia services.msc.
Rysunek 15. Uruchomienie przystawki Usługi

W otwartym oknie Usługi odnajdujemy usługę o nazwie “Tożsamość aplikacji”, zaznaczamy ją i poprzez rozwinięcie menu podręcznego za pomocą prawego klawisza myszy, lewym klawiszem z dostępnych opcji wybieramy Uruchom.

Rysunek 16. Uruchamianie usługi Tożsamość aplikacji.
Rysunek 16. Uruchamianie usługi Tożsamość aplikacji.

Po kilkunastu sekundach reguła zostanie obowiązywać i jeśli wszystkie powyższe kroki zostały wykonane poprawnie, uruchomienie przeglądarki internetowej o nazwie Firefoxa będzie niemożliwe.

Rysunek 17. Okno informujące o zablokowaniu programu.
Rysunek 17. Okno informujące o zablokowaniu programu.

Regułę usunąć możemy poprzez zaznaczenie jej i następnie z rozwiniętego prawym klawiszem myszy menu podręcznego, zlewym klawiszem z dostępnych opcji wybieramy Usuń.

Rysunek 18. Usuwanie reguły.
Rysunek 18. Usuwanie reguły.

Podobne wpisy

Zdalne zarządzanie serwerem Hyper-V w grupie roboczej

Najczęściej stosowane polecenia w serwerze Hyper-V

Automatyczna dystrybucja programów za pomocą GPO

Implementacja filtrów WMI w zasadach grup (GPO)