Az AppLocker áttekintése
Hatókör: Windows 8.1, Windows Server 2012 R2, Windows Server 2012, Windows 8 Enterprise
Ez a technikai áttekintés az informatikai szakemberek számára mutatja be az AppLockert. Az információk segítségével eldöntheti, hogy a szervezete számára előnyös lehet-e az AppLocker alkalmazásvezérlési házirendek telepítése. Az AppLocker segít a rendszergazdáknak beállítani, hogy mely alkalmazásokat és fájlokat futtathatják a felhasználók. Vezérelhetik például a végrehajtható fájlok, parancsfájlok, Windows Installer-fájlok, dinamikus csatolású függvénytárak (DLL-ek), csomagolt alkalmazások és alkalmazáscsomag-telepítők futtathatóságát.
Tipp
A könyvtár oldalainak digitális mentéséhez vagy kinyomtatásához kattintson az Exportálás gombra (az oldal jobb felső sarkában), majd kövesse az utasításokat.
Mire használhatom az AppLockert?
Az AppLocker használatával a következőket teheti:
Meghatározhat szabályokat olyan fájlattribútumok alapján, amelyek érvényben maradnak az alkalmazásfrissítéseket követően is, mint például a szoftvergyártó neve (a digitális aláírásból származtatva), a termék neve, a fájl neve és a fájl verziója. A fájl elérési útja és kivonata alapján is létrehozhat szabályokat.
Szabályokat rendelhet egy biztonsági csoporthoz vagy egy adott felhasználóhoz.
Kivételeket hozhat létre a szabályokhoz. Létrehozhat például egy szabályt, amely engedélyezi az összes felhasználó számára az összes Windows bináris fájl futtatását, kivéve a Beállításszerkesztőt (Regedit.exe).
A csak naplózási móddal telepítheti a házirendet és megismerheti a hatását, mielőtt betartatná azt.
Létrehozhat szabályokat egy átmeneti kiszolgálón, tesztelheti őket, majd exportálhatja ezeket az éles környezetbe és importálhatja őket egy csoportházirend-objektumba.
Leegyszerűsítheti az AppLocker-szabályok létrehozását és kezelését az AppLockerrel használható Windows PowerShell-parancsmagok segítségével.
Az AppLocker segít csökkenteni az adminisztrációs terhelést és a számítási erőforrások kezelési költségeit a szervezetben a felhasználók által a nem jóváhagyott alkalmazások futtatásából eredő ügyfélszolgálati hívások számának csökkentésével. Az AppLocker a következő alkalmazásbiztonsági forgatókönyveket képes kezelni:
Alkalmazásleltár
Az AppLocker képes érvényesíteni a házirendet csak naplózási módban, ahol a rendszer az összes alkalmazás-hozzáférési tevékenységet eseménynaplókban rögzíti. Ezek az események összegyűjthetők további elemzés céljából. A Windows PowerShell-parancsmagok is segítenek az adatok szoftveres elemzésében.
Védelem nemkívánatos szoftverek ellen
Az AppLocker képes megtagadni az alkalmazások futtatását, ha kizárja őket az engedélyezett alkalmazások listájáról. Ha az AppLocker szabályok érvényesek a valós környezetben, az engedélyezett szabályok listáján nem szereplő alkalmazások futtatása le van tiltva.
Licencmegfelelőség
Az AppLocker segíthet olyan szabályok létrehozásában, amelyek megakadályozzák a nem licencelt szoftverek futtatását, illetve amelyek korlátozzák a licencelt szoftvereket a jogosult felhasználókra.
Szoftverek szabványosítása
Az AppLocker-házirendek konfigurálhatók úgy, hogy csak a támogatott vagy jóváhagyott alkalmazások futtatását engedélyezzék a számítógépeken az üzleti csoporton belül. Ez egységesebb alkalmazástelepítést tesz lehetővé.
Kezelhetőség javítása
Az AppLocker számos kezelhetőségi fejlesztést tartalmaz az elődjéhez, a Szoftverkorlátozó házirendekhez képest. A házirendek importálása és exportálása, a szabályok több fájlból történő automatikus létrehozása, a csak naplózási módú telepítés és a Windows PowerShell-parancsmagok használata néhány újítás a Szoftverkorlátozó házirendekhez képest.
Mikor érdemes az AppLockert használni
Számos szervezetben az információ a legértékesebb eszköz, és rendkívül fontos biztosítani, hogy csak az engedéllyel rendelkező felhasználók férjenek hozzá. Hozzáférés-vezérlési technológiák, például az Active Directory tartalomvédelmi szolgáltatások (AD RMS) és a hozzáférés-vezérlési listák segítségével vezérelheti, hogy a felhasználók milyen tartalmakhoz férhetnek hozzá.
Ha azonban egy felhasználó futtat egy folyamatot, a folyamat az adathoz felhasználóéval megegyező hozzáférési szinttel rendelkezik. Ennek eredményeként az érzékeny információkat egyszerűen törölni lehet, illetve ki lehet szivárogtatni a szervezetből, ha a felhasználó tudatosan vagy véletlenül rosszindulatú szoftvert futtat. Az AppLocker segíthet csökkenteni az ilyen típusú biztonsági problémákat a felhasználók vagy csoportok által futtatható fájlok korlátozásával.
A szoftvergyártók egyre több alkalmazást hoznak létre, amelyeket nem rendszergazda felhasználók is telepíthetnek. Ez veszélyeztetheti a szervezetek írott biztonsági házirendjét, és megkerülheti a hagyományos alkalmazásvezérlési megoldásokat, amelyek azon alapulnak, hogy a felhasználók nem telepíthetnek alkalmazásokat. Azzal, hogy a rendszergazdák létrehozhatnak egy listát, amely az engedélyezett fájlokat és alkalmazásokat tartalmazza, az AppLocker segít megakadályozni az ilyen felhasználónkénti alkalmazások futtatását. Mivel az AppLocker képes a DLL-eket vezérelni, segítségével azt is vezérelheti, hogy ki telepíthet és futtathat ActiveX-vezérlőket.
Az AppLocker ideális azon szervezetek számára, amelyek jelenleg a Csoportházirend szolgáltatást használják a Windows-alapú számítógépeik kezelésére. Mivel az AppLocker a Csoportházirend szolgáltatásra támaszkodik a házirendek létrehozása és telepítése során, a Csoportházirend ismerete hasznos tudás az AppLocker használatához.
A következő példák olyan forgatókönyveket mutatnak be, amelyekben alkalmazható az AppLocker:
A szervezete biztonsági házirendje csak a licencelt szoftverek használatát engedélyezi, ezért meg kell akadályoznia a felhasználókat, hogy licenc nélkül szoftvereket futtassanak, illetve korlátoznia kell a licencelt szoftverek használatát a jogosult felhasználókra.
Egy alkalmazást már nem támogat a szervezete, ezért meg kell akadályoznia, hogy bárki is használja azt.
Magas annak az esélye, hogy nemkívánatos szoftverek kerülnek a környezetébe, ezért csökkentenie kell ezt a fenyegetést.
Egy alkalmazás licencét visszavonták, illetve a licenc lejárt a szervezetben, ezért meg kell akadályoznia, hogy bárki használja azt.
Egy új alkalmazást vagy egy alkalmazás új verzióját telepíti, és meg kell akadályoznia, hogy a felhasználók a régi verziót futtassák.
Bizonyos szoftverek futtatása nem engedélyezett a szervezeten belül vagy csak bizonyos felhasználók rendelkezhetnek hozzáféréssel ezekhez az eszközökhöz.
Egy felhasználónak vagy felhasználók egy kisebb csoportjának egy adott alkalmazást kell használnia, amely a többi felhasználó számára nem engedélyezett.
Bizonyos számítógépeket közösen használnak a szervezetben olyan személyek, akiknek eltérő szoftverhasználati igényei vannak, és meg kell védenie bizonyos alkalmazásokat.
Egyéb intézkedések mellett vezérelnie kell a bizalmas adatokhoz való hozzáférést az alkalmazáshasználaton keresztül.
Az AppLocker segíthet megvédeni a digitális eszközeit a szervezetén belül, és csökkenteni annak a fenyegetését, hogy kártevő szoftverek kerülnek a környezetébe, illetve fejleszteni az alkalmazásvezérlés és az alkalmazásvezérlési házirendek fenntartásának kezelését.
Verziók, együttműködés és funkcióbeli különbségek
Támogatott verziók és együttműködési szempontok
Az AppLocker-házirendeket csak olyan számítógépeken lehet konfigurálni és alkalmazni, amelyek a Windows operációs rendszer támogatott verzióit és kiadásait futtatják. További információ: Az AppLocker használatának követelményei.
Funkcióbeli különbségek a verziók között
A következő táblázat az AppLocker fő szolgáltatásainak vagy funkcióinak különbségeit sorolja fel az operációs rendszer verziója szerint:
| Szolgáltatás vagy funkció | Windows Server 2008 R2 és Windows 7 | Windows Server 2012 R2, Windows Server 2012, Windows 8.1 és Windows 8 |
|---|---|---|
| Szabályok beállítása csomagolt alkalmazások és alkalmazáscsomag-telepítők számára. | Nem | Igen |
| Az AppLocker-házirendek fenntartása a Csoportházirenden keresztül történik, és csak a számítógép rendszergazdája frissítheti az AppLocker-házirendeket. | Igen | Igen |
| Az AppLocker lehetővé teszi a hibaüzenetek testreszabását, hogy a rendszergazdák a felhasználókat egy weboldalra irányíthassák segítségért. | Igen | Igen |
| Lehetőség az együttműködésre a Szoftverkorlátozó házirendek szolgáltatással (külön csoportházirend-objektumok használatával). | Igen | Igen |
| Az AppLocker támogatja a Windows PowerShell-parancsmagok egy kis készletét a felügyelet és a fenntartás segítése érdekében. | Igen | Igen |
| Az AppLocker-szabályok a felsorolt fájlformátumokat képesek vezérelni. | - .exe - .com - .ps1 - .bat - .cmd - .vbs - .js - .msi - .msp - .dll - .ocx |
- .exe - .com - .ps1 - .bat - .cmd - .vbs - .js - .msi - .msp - .mst - .dll - .ocx - .appx |
A Szoftverkorlátozó házirendek és az AppLocker alkalmazásvezérlési szolgáltatásainak összehasonlításával és a két szolgáltatás közös használatával kapcsolatos információkat lásd: Az AppLocker és szoftverkorlátozó házirendek használata az ugyanabban a tartományban.
Rendszerkövetelmények
Az AppLocker-házirendeket csak olyan számítógépeken lehet konfigurálni és alkalmazni, amelyek a Windows operációs rendszer támogatott verzióit és kiadásait futtatják. Az AppLocker-házirendeket tartalmazó csoportházirend-objektumok elosztásához szükséges a Csoportházirend szolgáltatás. További információ: Az AppLocker használatának követelményei.
Az AppLocker-szabályok tartományvezérlőkön hozhatók lére.
Megjegyzés
A csomagolt alkalmazásokra és alkalmazáscsomag-telepítőkre vonatkozó szabályok létrehozásának és érvényesítésének képessége nem érhető el Windows Server 2008 R2 és Windows 7 rendszereken.
Az AppLocker telepítése
Az AppLockert tartalmazzák a Windows vállalati szintű kiadásai. AppLocker-szabályokat egyetlen számítógép vagy számítógépek egy csoportja számára hozhat létre. Egyetlen számítógép esetén a szabályokat a Helyi biztonsági házirend szerkesztője (secpol.msc) használatával hozhatja létre. Számítógépek egy csoportja esetén a szabályokat a csoportházirend-objektumon belül hozhatja létre a Csoportházirend kezelése konzol (GPMC) segítségével.
Megjegyzés
A GPMC a Windows rendszert futtató ügyfélszámítógépeken csak a Távoli kiszolgálófelügyelet eszközeinek telepítésével érhető el. Windows Server rendszert futtató számítógépen telepítenie kell a Csoportházirend kezelése szolgáltatást.
Az AppLocker használata Server Core rendszeren
A Windows PowerShell segítségével az AppLockert a Server Core telepítéseken az AppLocker parancsmagokkal, illetve GPO-n belüli felügyelet esetén a csoportházirend parancsmagokkal kezelheti. További információ: AppLocker PowerShell-parancsok dokumentációja.
Virtualizálási szempontok
Az AppLocker-házirendeket a Windows rendszer virtualizált példányával felügyelheti, feltéve, hogy megfelel az összes korábban felsorolt rendszerkövetelménynek. A Csoportházirendet virtualizált példányban is futtathatja. Ebben az esetben azonban kockáztatja a létrehozott és fenntartott házirendek elvesztését, ha a virtuális példányt eltávolítják vagy meghibásodik.
Biztonsági szempontok
Az alkalmazásvezérlési házirendek határozzák meg, hogy mely programok futhatnak a helyi számítógépen.
A rosszindulatú szoftverek számos formája nehézzé teheti a felhasználók számára a biztonságosan futtatható programok felismerését. Aktiváláskor a rosszindulatú szoftver károsíthatja a merevlemez tartalmát, kéréssekkel túlterhelheti a hálózatot és szolgáltatásmegtagadási támadást okozhat (DoS), bizalmas információkat küldhet az internetre vagy veszélyeztetheti a számítógép biztonságát.
Az ellenintézkedés részeként gondosan meg kell tervezni az alkalmazásvezérlési házirendeket a végfelhasználói számítógépeken a szervezetben, majd tesztkörülmények között részletesen vizsgálni kell a házirendeket, mielőtt telepítené őket a valós környezetben. Az AppLocker része lehet az alkalmazásvezérlési stratégiájának, mivel segítségével képes vezérelni, hogy mely szoftverek futhatnak a számítógépein.
Az alkalmazásvezérlési házirendek hibás megvalósítása letilthatja a szükséges alkalmazásokat vagy engedélyezheti a rosszindulatú vagy nemkívánatos szoftverek futtatását. Ezért fontos, hogy a szervezetek elegendő erőforrást fordítsanak az ilyen házirendek megvalósításának kezelésére és hibaelhárítására.
További információk konkrét biztonsági problémákkal kapcsolatban: Biztonsági szempontok az AppLocker tekintetében.
Ha az AppLocker segítségével hozza létre az alkalmazásvezérlési házirendeket, érdemes tudatában lennie a következő biztonsági megfontolásoknak:
Ki jogosult az AppLocker-házirendek beállítására?
Hogyan ellenőrzi, hogy a házirendeket a rendszer érvényesíti-e?
Milyen eseményeket érdemes naplózni?
A következő táblázat a biztonsági tervezéskor referenciaként használható telepített AppLocker szolgáltatással rendelkező ügyfélszámítógép alapértelmezett beállításait tartalmazza:
| Beállítás | Alapértelmezett érték |
|---|---|
| Létrehozott fiókok | Egyik sem |
| Hitelesítési módszer | Nem alkalmazható |
| Felügyeleti felületek | Az AppLocker Microsoft Management Console beépülő modullal, Csoportházirend-kezeléssel és Windows PowerShell szolgáltatással felügyelhető |
| Megnyitott portok | Egyik sem |
| Minimálisan szükséges jogosultságok | Rendszergazdai jogosultságok a helyi számítógépen; Tartománygazda vagy bármilyen egyéb jogosítvány, amely lehetővé teszi a Csoportházirend-objektumok létrehozását, szerkesztését és elosztását. |
| Használatban lévő protokollok | Nem alkalmazható |
| Ütemezett feladatok | Az Appidpolicyconverter.exe egy ütemezett feladatba kerül, hogy igény szerint futtatható legyen. |
| Biztonsági házirendek | Nem kötelező. Az AppLocker biztonsági házirendeket hoz létre. |
| Szükséges rendszerszolgáltatások | LocalServiceAndNoImpersonation jogokkal futó Alkalmazásidentitás szolgáltatás (appidsvc). |
| Hitelesítő adatok tárolása | Egyik sem |
AppLocker-házirendek fenntartása
Az AppLocker-házirend fenntartásával kapcsolatos információk a következő témakörökben találhatók:
Lásd még:
| Forrásanyag | Windows Server 2008 R2 és Windows 7 | Windows Server 2012 R2, Windows Server 2012, Windows 8.1 és Windows 8 |
|---|---|---|
| Termékértékelés | Gyakori kérdések Lépésenkénti útmutató az AppLockerhez |
Gyakori kérdések Lépésenkénti útmutató az AppLockerhez |
| Eljárások | AppLocker üzemeltetési útmutató | Az AppLocker felügyelete Az AppLocker csomagolt alkalmazások kezelése |
| Parancsprogramok használata | Az AppLocker Windows PowerShell-parancsmagjainak használata | Az AppLocker Windows PowerShell-parancsmagokkal |
| Műszaki tartalom | Az AppLocker műszaki útmutatója | Az AppLocker műszaki útmutatója |
| Kialakítás, tervezés és központi telepítés | AppLocker házirendtervezési útmutató AppLocker házirendtelepítési útmutató |
AppLocker házirendtervezési útmutató AppLocker házirendtelepítési útmutató |