AppLocker je nova tehnologija v operacijskem sistemu Windows 7, ki sistemskemu skrbniku omogoča, da blokira izvajanje nekaterih izvršljivih datotek v omrežnih računalnikih. AppLocker je razširitev tehnologije programske opreme za omejevanje programske opreme (uporablja se v operacijskem sistemu Windows XP / Vista), vendar bi lahko slednja blokirala izvajanje programov, ki temeljijo samo na imenu datoteke, poti in hash datoteke. AppLocker ima možnost blokiranja izvršljivih datotek na podlagi njihovega digitalnega podpisa, zato lahko blokirate programe na podlagi imena programa, različice in prodajalca. To pomeni, da če proizvajalec posodobi različico programa, bodo pravila AppLocker še naprej blokirala posodobljeno aplikacijo in s tem zmanjšala obremenitev sistemskega skrbnika. Prav tako lahko na primer ustvarite pravilo AppLocker, ki temelji na različici programske opreme, s čimer lahko dovolite zagon le določenih vnaprej določenih različic programske opreme. Druga prednost AppLockerja je, da zdaj ni pomembno, od kod program začenja (tudi s pomnilniške kartice), AppLocker bo v vsakem primeru blokiral zagon programa.
S to tehniko lahko blokirate izvajanje določenih programov s pomočjo AppLockerja, da preprečite izvedbo katere koli izvršljive datoteke, ki jo je izdal Microsoft ali zunanji razvijalci. V tem primeru bomo poskušali prepovedati uporabo brskalnika Google Chrome s skupinsko politiko in tehnologijo AppLocker (ta brskalnik jemljem zgolj kot primer, in ne zaradi neljubega do njega, kot bi si mnogi morda mislili 🙂).
1. Odprite GPO, ki je uporaben za ciljne računalnike. Pojdite na Konfiguracija računalnika> Pravilniki> Nastavitve sistema Windows> Varnostne nastavitve> Politike upravljanja aplikacij in izberite »Konfiguriraj izvrševanje pravil«
2. V razdelku Izvedljiva pravila označite možnost »Konfigurirano« in izberite »Uveljavi pravila«, nato kliknite »V redu«.
3. Z desno miškino tipko kliknite »Izvršljiva pravila« in ustvarite novo pravilo »Ustvari novo pravilo«.
4. Kliknite »Naprej«
5. Izberite »Zavrni« in »Naprej«
6. Kot pogoj izberite »Publisher« (založnik) in kliknite »Next«
Opomba: Možnosti "Pot" in "Razpršitev datotek" sta v skladu s pravili, ki se uporabljajo v pravilnikih za omejitev programske opreme v sistemu Windows XP / Vista.
7. Kliknite »Brskaj«
8. Izberite izvedljiv Google Chrome »chrome.exe« in kliknite »Odpri«
9. V tem primeru bomo zadovoljni s privzetimi nastavitvami, zato samo kliknite »Naprej«.
Opomba: Če želite blokirati določeno različico programa, označite »Uporabi vrednosti po meri« in v ustrezno polje »Različica datoteke« nastavite številko različice, katere uporabo želite blokirati s tem pravilnikom.
10: Kliknite »Naprej«
11: In na koncu ustvarite pravilo - »Ustvari«
13: Če želite, da se pravila AppLocker uporabljajo za računalnike skrbnikov, v desnem podoknu izberite pravilo za "BUILTIN \ Administrators" in ga izbrišite
14: Odgovor je "da"
Zdaj so naša pravila AppLocker konfigurirana in izgledajo nekako takole:
Zadnja stvar, ki jo moramo storiti, je, da v ciljnih računalnikih aktiviramo AppLocker.
15. V istem pravilniku skupine pojdite na Konfiguracija računalnika> Politike> Nastavitve sistema Windows> Varnostne nastavitve> Sistemske storitve in dvokliknite storitev "Identiteta aplikacije".
Identiteta aplikacije je aplikacija, ki jo pred zagonom katere koli izvršljive datoteke pregleda, razkrije njeno ime, hash in podpis. V primeru, da je ta storitev onemogočena, AppLocker ne bo deloval.
16: Izberite »Definirajte to nastavitev pravilnika« in »Samodejno«, nato kliknite »V redu«
Oddelek za sistemske storitve bo izgledal tako:
To je vse. Po uporabi tega pravilnika, če uporabnik poskuša zagnati prepovedano aplikacijo (v našem primeru je to Google Chrome), se prikaže naslednje pogovorno okno: