Windows Server 2008 R2 ve W7 ile gelen Applocker özelliğini inceleyeceğiz. Bu özellik sayesinde ortamımızda istediğimiz uygulamaların çalışmasına izin verip istemediklerimize engel koyabiliriz. Bu özellik aslında 2003 sistemlerde SRP (Software Restriction Policy) olarak vardı fakat uygulanabilirliği kısıtlıydı. 2003 yapılarda SRP ile Hash ve Path kuralı oluşturabiliyorduk. Hash kuralını oluşturduktan sonra ilgili kuralı oluşturduğumuz uygulamanın yeni versiyonu çıktığında ya da yeni bir update yayınlandığında uygulamayı engellemek için yeni bir hash kuralı oluşturmak gerekiyordu. Bu da yönetim anlamında bizi oldukça zorluyordu.2008n R2 ve W7 ile birlikte artık bu özellik karşımıza Applocker olarak çıktı. Applocker ile Publish özelliği sayesinde artık uygulamaların takibini yapmak zorunda değiliz.
AppLocker sayesinde;
1-Ortamdaki lisanssız uygulamaları engelleyebiliriz. 2-Kullanıcının evde internetten download ettiği ya da mail üzerinden aldığı küçük uygulamaların kullanılmasını engelleyebiliriz. 3-Zararlı yazılım içeren uygulamaları engelleyebiliriz.(UltraSurf) 4-Bu tür zararlı ve gereksiz uygulamalar için şirket içinde açılan HelpDesk çağrılarına engel olabilir,zamandan kazanırız. 5-Bu tür zararlı ve gereksiz uygulamaların sebep olduğu network kullanımını ve diğer uygulamalara yaptığı olumsuz etkiyi engelleyebiliriz. 6-İstediğimiz kullanıcıya install yetkisi verebiliriz diğerleri hiçbir şekilde makinelere kurulum yapamaz.
Bu yeni AppLocker özelliği sayesinde digital imzası olan uygulamalar üzerinde oldukça esnek kurllar oluşturabiliriz.Örnek verecek olursak;
1-Kullanıcı Excel haricinde diğer Office uygulamalarını kullanamasın. 2-Kulanıcı hiçbir Adobe ürününü kullanamasın. 3-Kullanıcı Program Files klasörüne ulaşamasın sadece Word programını kullanabilsin. 4-Belirli bir uygulamanın sadece belirli bir sürümü çalıştırılabilisin. 5-Belirli bir uygulamayı sadece belirli bir Active Directory grubu kullansın başka hiçkimse kullanamasın.
bunun gibi daha birçok spesifik özellik AppLocker ile sağlanabilir.
Forumlarda merak edilen başka bir konu ise bu özelliğin sadece local W7 bilgisayarlarında uygulanabilirliği? Evet bu özellik localdeki tekil W7 makinelerinde secpol.msc ile açılan konsol üzerinden yapılabilir.Şimdi birkaç örnek ile uygulama yapalım.
İlk örneğimizde belirli bir grubun Microsoft Word programını kullanmasını engelleyeceğiz.Elimizde bir image var bütün kullanıcılar Micrıosoft Office uygulamalarını kullanabiliyor.Biz belirli bir grubun Word uygulamasını kullanmasını istemiyoruz.
Önce Domain Controller tarafında ayarlamaları yapalım.
Domain Controller üzerinde Group Policy Management konsolunu açıyoruz ve yukarıdaki gibi Executable Rules kısmına geliyoruz.
Sağ click yapıp yukarıdaki gibi yeni bir kural oluşturuyoruz.
Gelen ekranda bazı hatırlatma bilgilerini Next ile geçiyoruz.Burada farkettiyseniz kural oluşturulacak uygulamayı bu bilgisayara yüklememizi söylüyor.Eğer AppLocker ile oldukça fazla kural tanımlayacaksanız bütün uygulamaları Domain Controller makinesi üzerine yüklemek mantıksız olacaktır.Böyle bir durumda özel bir makineyi bu iş için tahsis etmek daha mantıklı geliyor bana.Buşekilde ağ üzerinden ilgili uygulamayı gösterebiliriz.
Word uygulamasını engelleyeceğim için Deny diyorum ve bir grup seçiyorum.Bu gruba üye olan bütün kullanıcılar Word uygulamasını çalıştıramayacak.
Burada karşımıza 3 seçenek çıkıyor.File Hash ve Path zaten önceki versiyonlarda da vardı.Farklı olarak Publisher karşımıza çıkıyor.Artık digital imzalı uygulamalar üzerinde işlem yapacakken Publisher seçeneğini seçiyoruz.Microsoft uygulamaları imzalı olduğu için Publisher seçeneğini seçip devam ediyorum.
Browse diyerek Office yüklü olan makineye ağdan ulaşıyorum ve Word uygulamasının yüklü olduğu dizine gelip Word exe sini seçiyorum.uygulamayla ilgili diğer tüm bilgiler otomatik aşağıdaki textbox lara geliyor.Use custom valuesi seçerek versiyonla ilgili esnek bir kural oluşturabilirim.Mesela word 2007 yi seçerseniz ve And above dersiniz bu kural word 2010 için de geçerli olur.Ya da And Below derseniz kural Word 2003 içinde geçerli olur.Eğer sadece seçtiğiniz versiyonda geçerli olmasını istiyorsanız Exactly seçeneğiniz seçeriz.Soldaki kaydırma çubuğunda da genele doğru giderek kuralın tüm Microsoft uygulamaları için olmasını bile sağlayabiliriz.
Burada kural için Exception oluşturabiliyoruz.Biz şimdilik bir execption oluşturmuyoz.Kuralımız zaten oldukça özel.
Kuralı bir isim verip Create ile kuralı oluşturuyoruz.
Eğer ilk defa AppLocker da kural oluşturuyorsanız aşağıdaki gibi bir uyarı karşınıza çıkacaktır.Burada default olarak sistemin oluşturduğu kuralla olduğunu söylüyor.Evet ile kabul ediyoruz.
Bu kuralı oluşturduk.Şimdi diğer örneğimiz için kural oluşturalım.Bu örnekte de başka bir gruba üye olan kullanıcıların Program Files klasörüne erişimini engelleyip sadece Word uygulamasına izin verelim.
Bu sefer Guestss grubu var ve kural bu grup için uygulanacak.Şirketinizde misafirler için bir grup oluşturduğunuzu düşünün.Gerçi misafiler domain ortamına alınmaz.Siz bu grubu stajyer grubu olark düşünün:).Bu gruptaki üyeler bilgisayarlardaki Program Files klasörüne ulaşamasın yani bir anlamda hiçbir programı çalıştıramasın sadece Word uygulamasını çalıştırabilsin istiyorum.Stajyerlerin böyle bir admin için neler düşüneceği kısmını atlıyoruz:).
Önce yukarıdaki gibi Path i seçip devam ediyorum.
Browse Folder diyerek engellemek istediğimiz uygulamaların bulunuduğu Program Files ı seçiyorum.
Eğer uygulama Program Files klasörüne değilde başka bir yere kurulduysa kural haliyle geçerli olmaz.Böyle bir durum için %OSDRIVE%\Uygulama\* diyerek uygulamanın hani dizine kurulduğunu sistemin bulmasını sağlayabilirsiniz.
Şimdi yukarıdaki şekilde olduğu gibi Add diyerek bir execption tanımlayacağız.Burada sadece Word uygulamasını kuraldan hariç tutacağız.Böylece ilgili gruba üyle olan kullanıcılar Word uygulamasını çalıştırabilecek.
İlgili Word uygulamasını Office nerede kuruluysa oradan seçiyoruz.
Exception seçimimizi yukarıdaki şekilde görüyoruz.Next ile devam edelim.
Kurala bir isim vererek işlemi bitiryoruz.
Şimdi kurallarımızı hatırlayalım.İlk kuralda herkesin kullanabildiği Office uygulamalarında DataInsert isimli grup için Word uygulamasına Deny vermiştik.DataInsert grubuna bakıyoruz ve vgiris01 hesabının bu gruba üye olduğunu görüyoruz.
Şimdi vgiris01 ile sisteme giriş yapıp kuralın çalışıp çalışmadığını kontrol edeceğiz.
Yukarıdaki şekilde gördüğünüz gibi vgiris01 ile sisteme giriş yapıyoruz.
Kuralın etkin olabilmesi için client tarafında ‘Application Identity’ servisini otomatiğe alıp start etmemiz gerekiyor.
Şimdi policy ayarlarını alması için aşağıdaki gibi gerekli komutu giriyoruz.
Policy client makineye uygulandıktan sonra Word uygulamasını çalıştırmayı deniyoruz ve aşağıdaki gibi bir hatayla karşılaşıyoruz. Not:Uygulama açılırsa log off /log on işlemini gerçekleştirin.
Şimdi ikinci örneğimizi hatırlayalım.Guestss isimli gruba üye olan kullanıcılar için Program Files klasörünü engellemiş sadece Word uygulamasını hariç tutmuştuk.
Guestss grubuna üye olan guest01 kullanıcısı ile sisteme giriş yapıyoruz.Gpupdate /force işlemini yaptıktan sonra birkaç deneme yapıp Program Files klasöründe kurulu olan birkaç uygulama çalıştırıyoruz.
Yukarıdaki şekilde gözüktüğü gibi Program Files klasörü altında yer alan Excel ve PowerPoint uygulamasının çalışmadığını görüyoruz.
Yine program files altındaki Microsoft Games içindeki Chess uygulamasını açmayı deniyorum ve yine hata alıyorum.Biz sadece Word uygulamasını hariç tutmuştuk.Şimdi Word uygulamasını açmayı deneyelim.
Word uygulamasının sorunsuz açılabildiğini görüyoruz.
AppLocker ile bunun gibi daha birçok çözüm sağlayabilirsiniz.Bu şirketinizin ihtiyacı doğrultusunda çeşitlilik gösterecektir. Başka bir makalede görüşmek üzere.
Hiç yorum yok:
Yorum Gönder