جلوگیری از نصب برنامه با Applocker در Group Policy
Applocker و Software Restriction دو قابلیت در Group Policy ( GPO ) هستند و این امکان را به ادمین شبکه میدهد که برنامه هایی که اهدافشان خارج از سیاست سازمان است بر روی سیستم کاربران توسط کاربران نصب نشود و یا اگر آن برنامه ها از قبل بر روی سیستم نصب است، جلوی اجرای آن برنامه گرفته شود و اجرا نشود. یا حتی این عمل را میتوان به صورت برعکس انجام داد یعنی تنظیم کرد که برنامه های مورد نظر نصب و اجرا شوند. ولی به طور کلی از Applocker و Software Restriction برای جلوگیری از نصب و اجرا شدن فایل ها و برنامه ها بر روی سیستم کاربران تحت شبکه در سازمان استفاده میشود.
موضوعی که باید به آن باید توجه داشت این است که ویندوز های بالای نسخه XP میتوانند از قابلیت Applocker پشتیبانی کنند اما Client هایی که از سیستم عامل XP به پایین تر، برخوردار هستند قابلیت پیشتیبانی از Applocker را ندارد و به جای آن از Software Restriction پشتیبانی میکنند و ادمین ها با استفاده از Software Restriction میتوانند سیستم ها و کاربران را از نصب یک اپلیکیشن بر روی Clinet سازمان منع کنند.
نوشتن پالیسی با Applocker
وارد گروپ پالیسی شده و یک پالیسی ساخته و آن را Edit کرده و سپس به ترتیب زیر پیش میرویم :
Computer Configuration -> Policies -> Windows Setting -> Security Setting -> Application Control Policies
زمانی که ما وارد Applocker شدیم، چهار بخش به ما نشان میدهد :
- Executable Rules: که برنامه هایی با پسوند .exe و .com با میتواند محدود کند.
- Windows Installer Rules: که برنامه هایی با پسوند .msi و .msp و .mst را محدود میکند.
- Script Rules: برنامه هایی با پسوند .ps1 و .bat و .cmd و .vbs و .js را محدود میکند.
- Package app Rule: که علاوه بر برنامه هایی با پسوند .appx و .msix ( این دو پسوند اپ استور ها هستند ) محدود میکند، یک سری برنامه های پیش فرضی که نصب هستند و یا قرار نصب شود را محدود میکند.
سپس بر اساس نیاز سازمان که میخواهیم چه برنامه ایی و با چه پسوندی را محدود کنیم، بر روی گزینه مورد نظر کلیک راست کرده و گزینه Create new Rule را انتخاب میکنیم و تنظیمات مربوطه را انجام میدهیم.
موضوع حائز اهمیت آن است که در بیشتر سازمان ها برای جلوگیری از نصب برنامه ها توسط کاربر اکثرا از دو نوع Executable Rule و Windows installer Rules استفاده میشود زیرا اکثر برنامه های نصبی دارای پسوند های .exe، msi، com، msp و mst هستند. ( البته در این مورد استثنا هم وجود دارد. )
سپس برای اعمال تنظیمات ( به عنوان مثال ) در تصویر فوق ما Executable Rule را انتخاب کرده و سپس وارد پنجره زیر میشویم :
- در این قسمت دو گزینه Allow و Deny وجود دارد که ما تعیین میکنیم اجرای برنامه مورد نظر Allow باشد یا Deny و در قسمت Select تعیین میکنیم که برای چه User و گروه هایی این تغییرات اعمال شود.
- سپس Next را انتخاب میکنیم و وارد مرحله بعد میشویم :
- در این قسمت سه نوع Rule برای ما تعریف شده که عبارت اند از :
- Publisher : این Rule بر اساس اطلاعات منتشر کننده و تولید کننده یک برنامه، آن را محدود میکند.
- Path : این Rule بر اساس مسیر یا آدرسی که برنامه بر روی آن ذخیره شده است عمل میکند.
- File Hash : این Rule بر اساس هش آن برنامه، آن را محدود میکند.
Publisher Rule
زمانی که ما وارد این قسمت شدیم با استفاده از گزینه Browse، برنامه مورد نظری که میخواهیم اجرا و یا نصب آن را محدود کنیم را انتخاب میکنیم و سپس تعیین میکنیم که برنامه ایی که میخواهیم آن را برای نصب و یا برای اجرا محدود کنیم، بر چه اساس محدود شود ( بر اساس ورژن، اسم برنامه، Product name و یا Publisher و یا کلا برنامه تحت هر شرایطی با هر ورژن و اسمی محدود شود. ) هر چه قدر که آن نشانه گر آبی به سمت بالا حرکت کند حساسیت برای محدودیت هم بیشتر میشود.
–نکته مهم آن است درهنگامی که ما از گزینه Publisher استفاده میکنیم، باید دقت داشته باشیم که برنامه انتخابی ما فایل ZIP نباشد زیرا Publisher توانایی خواندن آن را ندارد.
بعد از انتخاب برنامه و تعیین سطح محدودیت برای برنامه، گزینه Next را میزنیم و وارد پنجره زیر میشویم :
- در این مرحله برای فایل های محدود شده از لحاظ ورژن یا File name و یا … میتوانیم یک استثنا ایجاد کنیم. یعنی ما برنامه ایی را که محدود کرده اییم اگر دارای یک ورژنی باشد که ما با نصب آن ورژن در سازمان مخالفتی نداشته باشیم، با استفاده از این بخش میتوانیم برای محدودیتی که تعریف کرده ایم یک استثنا قائل شویم. بدین صورت که روی Add کلیک کرده و ورژن برنامه را انتخاب میکنیم.
- سپس Next را انتخاب کرده و وارد پنجره زیر میشویم :
- در این مرحله اسم Rule نام گذاری شده و کار تمام میشود.
مسئله مهمی که باید بدان پرداخت آن است که بعد از آن که Rule را ایجاد کردیم و مراحل فوق تمام شد یک پیغام برای ما به نمایش گذاشته میشود و به ما پیشنهاد میدهد که آیا Default Role برای ما ساخته شود و یا خیر که بهتر است گزینه Yes را انتخاب کنیم.
Rule Path
- همان توضیحات فوق را که برای Publisher دادیم برای Rule Path هم میشود اعمال کرد بدین گونه که ما مسیر و Path نصب اپلیکیشن ها را مسدود میکنیم. یعنی باید مسیری که میخواهیم فایل .exe اپلیکیشن بر روی آن نتواند نصب شود را برای Applocker مشخص کنیم که این عمل را در بخش زیر تعیین میکنیم.
بدین صورت که Rule Path را انتخاب کرده و وارد بخش زیر میشویم :
اگر Browse Folder را انتخاب کنیم جلوی اجرا تمام .exe های موجود در این مسیر پوشه و تمام .exe های موجود در زیر مجموعه پوشه را میگیرد و اجازه ی نصب و اجرا به هیچ برنامه ایی در این مسیر از پوشه را نمیدهد. اما اگر Browse File را انتخاب کنیم فقط یک .exe خاص که در یک پوشه قرار دارد را، اجرایش را مسدود کرده ایم.
File Hash
این قسمت هم هماندد قسمت فوق ما میتوانیم فایلی را که میخواهیم مسدود شود را با استفاده از هش کردن اطلاعات آن مسدود کنیم. فقط کافیست برنامه مورد نظر را به این Rule تحویل دهیم.
Configure Rule Enforcement
زمانی که Applocker فعال میشود در دو حالت و در دو مود میتواند اجرا شود. یک، حالتی است که Applocker سیستم مقصد را ملزم میکند که از پالیسی اعمال شده تبعیت کند ( Enforce Rule ). و دوم حالتی است که Applocker به صورت یک Audit عمل میکند منظور از Audit آن است که فقط و فقط آن سیستم رصد میشود که اگر پالیسی اعمال شود جلوی چه برنامه هایی گرفته میشود.
حال برای اینکه مشخص کنیم Applocker در چه مودی کار کنه کافیست بر روی خود گزینه Applocket کلیک کرده و سپس بر روی گزینه Configure Rule Enforcement کلیک کنیم.
در مرحله بعد وارد پنجره زیر شده و در این قسمت Rule مورد نظر که نوع مود بر روی آن را میخواهیم اعمال کنیم، تعیین کرده و نوع مود ( Audit یا Enforce Rule ) را انتخاب میکنیم :
نکته مهم آن است که در سربرگ Advance در عکس فوق یک Rule به نام DLL Rule وجود دارد که با اعمال تنظیمات در این بخش این Rule فرمت اجرایی DLL ها را متاثر میکند. که این کار میتواند روی فایل های ویندوز که DLL هستند، تاثیر بگذارد و روی پرفورمنس سیستم تاثیر بگذارد.
- اگر نوع مود Rule را بر روی حالت Audit قرار دهیم، برای چک کردن Audit های Applocker، کافیست وارد Event Viewer سیستم شده و سپس وارد Application and Services log شده، پوشه Microsoft و پوشه Windows و سپس پوشه Applocker شویم.
Application Identity
برای آنکه پالیسی Applocker بر روی Client های شبکه بتواند اجرا شود، باید سرویسی تحت عنوان Application Identity بر روی Client ها اعمال شود که این کار را با استفاده از گروپ پالیسی ها ما میتوانیم برای تمامیه سیستم ها انجام دهیم بدین صورت که در گروپ پالیسی وارد System Services میشویم و گزینه Application Identity را برای Client ها در مود Automatic میگذاریم.
بدون دیدگاه