AppLocker je nová technologie v systému Windows 7, která umožňuje správci systému blokovat provádění určitých spustitelných souborů v síťových počítačích. AppLocker je rozšíření technologie Software Restriction Policy (používané ve Windows XP / Vista), ale ta by mohla blokovat provádění programů pouze na základě názvu souboru, cesty a hashe souborů. AppLocker má schopnost blokovat spustitelné soubory na základě jejich digitálního podpisu, v důsledku toho můžete blokovat programy na základě názvu programu, verze a dodavatele. To znamená, že pokud výrobce aktualizuje verzi programu, pravidla AppLocker budou i nadále blokovat aktualizovanou aplikaci, čímž se sníží zatížení správce systému. Například můžete také vytvořit pravidlo AppLocker založené na verzi softwaru, takže můžete povolit pouze spuštění určitých předdefinovaných verzí softwaru. Další výhodou AppLocker je to, že nyní nezáleží na tom, odkud program začíná (i z paměťové karty), AppLocker zablokuje program tak, aby se spustil.
Tuto techniku můžete použít k blokování provádění určitých programů pomocí AppLocker k blokování provádění libovolného spustitelného souboru vydaného vývojáři společnosti Microsoft nebo třetích stran. V tomto příkladu se pokusíme zakázat používání prohlížeče Google Chrome pomocí zásad skupiny a technologie AppLocker (tento prohlížeč beru čistě jako příklad a ne kvůli nechuti, jak si mnozí mohli myslet 🙂).
1. Otevřete objekt GPO, který se použije na cílové počítače. Přejděte na Konfigurace počítače> Zásady> Nastavení systému Windows> Nastavení zabezpečení> Zásady řízení aplikací a vyberte „Konfigurace vynucování pravidel“
2. V části Spustitelná pravidla zaškrtněte možnost „Konfigurováno“ a vyberte „Vynutit pravidla“, poté klikněte na „OK“.
3. Pravým tlačítkem myši klikněte na „Spustitelná pravidla“ a vytvořte nové pravidlo „Vytvořit nové pravidlo“.
4. Klikněte na „Další“
5. Vyberte „Odepřít“ a „Další“
6. Jako podmínku vyberte „Vydavatel“ (vydavatel) a klikněte na „Další“
Poznámka: Možnosti „Path“ a „hash souborů“ odpovídají pravidlům používaným v zásadách omezení softwaru v systému Windows XP / Vista.
7. Klikněte na „Procházet“
8. Vyberte spustitelný soubor Google Chrome „chrome.exe“ a klikněte na „Otevřít“
9. V tomto příkladu budeme s výchozím nastavením spokojeni, stačí kliknout na „Další“.
Poznámka: Pokud chcete zablokovat konkrétní verzi programu, zaškrtněte políčko „Použít vlastní hodnoty“ a v odpovídajícím poli „Verze souboru“ nastavte číslo verze, jejíž použití chcete touto zásadou blokovat..
10: Klikněte na „Další“
11: A konečně vytvořte pravidlo - „Vytvořit“
13: Pokud chcete, aby se pravidla AppLocker vztahovala na počítače administrátorů, vyberte v pravém podokně pravidlo pro „BUILTIN \ Administrators“ a odstraňte je
14: Odpověď zní „Ano“
Nyní jsou naše pravidla AppLocker nakonfigurována a vypadají asi takto:
Poslední věc, kterou musíme udělat, je aktivovat AppLocker v cílových počítačích.
15. Ve stejné zásadě skupiny přejděte na Konfigurace počítače> Zásady> Nastavení systému Windows> Nastavení zabezpečení> Systémové služby a dvakrát klikněte na službu „Identita aplikace“.
Identita aplikace je aplikace, která před spuštěním jakéhokoli spustitelného souboru jej naskenuje, odhalí jeho jméno, hash a podpis. V případě, že je tato služba deaktivována, nebude AppLocker fungovat.
16: Vyberte „Definovat toto nastavení zásad“ a „Automaticky“ a poté klikněte na „OK“
Sekce systémových služeb bude vypadat takto:
To je vše. Po použití této zásady se uživatel pokusí spustit zakázanou aplikaci (v našem případě Google Chrome), zobrazí se následující dialogové okno: