جلوگیری از نصب برنامه با Applocker در Group Policy

Applocker و Software Restriction دو قابلیت در Group Policy ( GPO ) هستند و این امکان را به ادمین شبکه می‌دهد که برنامه هایی که اهدافشان خارج از سیاست سازمان است بر روی سیستم کاربران توسط کاربران نصب نشود و یا اگر آن برنامه ها از قبل بر روی سیستم نصب است، جلوی اجرای آن برنامه گرفته شود و اجرا نشود. یا حتی این عمل را می‌توان به صورت برعکس انجام داد یعنی تنظیم کرد که برنامه های مورد نظر نصب و اجرا شوند. ولی به طور کلی از Applocker و Software Restriction برای جلوگیری از نصب و اجرا شدن فایل ها و برنامه ها بر روی سیستم کاربران تحت شبکه در سازمان استفاده می‌شود.

 موضوعی که باید به آن باید توجه داشت این است که ویندوز های بالای نسخه XP می‌توانند از قابلیت Applocker پشتیبانی کنند اما Client هایی که از سیستم عامل XP به پایین تر، برخوردار هستند قابلیت پیشتیبانی از Applocker را ندارد و به جای آن از Software Restriction پشتیبانی می‌کنند و ادمین ها با استفاده از Software Restriction می‌توانند سیستم ها و کاربران را از نصب یک اپلیکیشن بر روی Clinet سازمان منع کنند.

نوشتن پالیسی با Applocker

وارد گروپ پالیسی شده و یک پالیسی ساخته و آن را Edit کرده و سپس به ترتیب زیر پیش می‌رویم :

Computer Configuration -> Policies -> Windows Setting -> Security Setting -> Application Control Policies

زمانی که ما وارد Applocker شدیم، چهار بخش به ما نشان می‌دهد :

  • Executable Rules: که برنامه هایی با پسوند .exe و .com با می‌تواند محدود کند.
  • Windows Installer Rules: که برنامه هایی با پسوند .msi و .msp و .mst را محدود می‌کند.
  • Script Rules: برنامه هایی با پسوند .ps1 و .bat و .cmd و .vbs و .js را محدود می‌کند.
  • Package app Rule: که علاوه بر برنامه هایی با پسوند .appx و .msix ( این دو پسوند اپ استور ها هستند ) محدود می‌کند، یک سری برنامه های پیش فرضی که نصب هستند و یا قرار نصب شود را محدود می‌کند.

سپس بر اساس نیاز سازمان که می‌خواهیم چه برنامه ایی و با چه پسوندی را محدود کنیم، بر روی گزینه مورد نظر کلیک راست کرده و گزینه Create new Rule را انتخاب می‌کنیم و تنظیمات مربوطه را انجام می‌دهیم.

موضوع حائز اهمیت آن است که در بیشتر سازمان ها برای جلوگیری از نصب برنامه ها توسط کاربر اکثرا از دو نوع Executable Rule و Windows installer Rules استفاده می‌شود زیرا اکثر برنامه های نصبی دارای پسوند های .exe، msi، com، msp و mst هستند. ( البته در این مورد استثنا هم وجود دارد. )

سپس برای اعمال تنظیمات ( به عنوان مثال ) در تصویر فوق ما Executable Rule را انتخاب کرده و سپس وارد پنجره زیر می‌شویم :

  • در این قسمت دو گزینه Allow و Deny وجود دارد که ما تعیین می‌کنیم اجرای برنامه مورد نظر Allow باشد یا Deny و در قسمت Select تعیین می‌کنیم که برای چه User و گروه هایی این تغییرات اعمال شود.
  • سپس Next را انتخاب می‌کنیم و وارد مرحله بعد می‌شویم :
  • در این قسمت سه نوع Rule برای ما تعریف شده که عبارت اند از :
  • Publisher : این Rule بر اساس اطلاعات منتشر کننده و تولید کننده یک برنامه، آن را محدود می‌کند.
  • Path : این Rule بر اساس مسیر یا آدرسی که برنامه بر روی آن ذخیره شده است عمل می‌کند.
  • File Hash : این Rule بر اساس هش آن برنامه، آن را محدود می‌کند.

Publisher Rule 

زمانی که ما وارد این قسمت شدیم با استفاده از گزینه Browse، برنامه مورد نظری که می‌خواهیم اجرا و یا نصب آن را محدود کنیم را انتخاب می‌کنیم و سپس تعیین می‌کنیم که برنامه ایی که می‌خواهیم آن را برای نصب و یا برای اجرا محدود کنیم، بر چه اساس محدود شود ( بر اساس ورژن، اسم برنامه، Product name و یا Publisher و یا کلا برنامه تحت هر شرایطی با هر ورژن و اسمی محدود شود. ) هر چه قدر که آن نشانه گر آبی به سمت بالا حرکت کند حساسیت برای محدودیت هم بیشتر می‌شود.

نکته مهم آن است درهنگامی که ما از گزینه Publisher استفاده می‌کنیم، باید دقت داشته باشیم که برنامه انتخابی ما فایل ZIP نباشد زیرا Publisher توانایی خواندن آن را ندارد.

بعد از انتخاب برنامه و تعیین سطح محدودیت برای برنامه، گزینه Next را می‌زنیم و وارد پنجره زیر می‌شویم :

  • در این مرحله برای فایل های محدود شده از لحاظ ورژن یا File name و یا … می‌توانیم یک استثنا ایجاد کنیم. یعنی ما برنامه ایی را که محدود کرده اییم اگر دارای یک ورژنی باشد که ما با نصب آن ورژن در سازمان مخالفتی نداشته باشیم، با استفاده از این بخش می‌توانیم برای محدودیتی که تعریف کرده ایم یک استثنا قائل شویم. بدین صورت که روی Add کلیک کرده و ورژن برنامه را انتخاب می‌کنیم.
  • سپس Next را انتخاب کرده و وارد پنجره زیر می‌شویم :
  • در این مرحله اسم Rule نام گذاری شده و کار تمام می‌شود.

مسئله مهمی که باید بدان پرداخت آن است که بعد از آن که Rule را ایجاد کردیم و مراحل فوق تمام شد یک پیغام برای ما به نمایش گذاشته می‌شود و به ما پیشنهاد می‌دهد که آیا Default Role برای ما ساخته شود و یا خیر که بهتر است گزینه Yes را انتخاب کنیم.

Rule Path

  • همان توضیحات فوق را که برای Publisher دادیم برای Rule Path هم می‌شود اعمال کرد بدین گونه که ما مسیر و Path نصب اپلیکیشن ها را مسدود می‌کنیم. یعنی باید مسیری که می‌خواهیم فایل .exe اپلیکیشن بر روی آن نتواند نصب شود را برای Applocker مشخص کنیم که این عمل را در بخش زیر تعیین می‌کنیم.

بدین صورت که Rule Path را انتخاب کرده و وارد بخش زیر می‌شویم :

اگر Browse Folder را انتخاب کنیم جلوی اجرا تمام .exe های موجود در این مسیر پوشه و تمام .exe های موجود در زیر مجموعه پوشه را می‌گیرد و اجازه ی نصب و اجرا به هیچ برنامه ایی در این مسیر از پوشه را نمی‌دهد. اما اگر Browse File را انتخاب کنیم فقط یک .exe خاص که در یک پوشه قرار دارد را، اجرایش را مسدود کرده ایم.

File Hash

این قسمت هم هماندد قسمت فوق ما می‌توانیم فایلی را که می‌خواهیم مسدود شود را با استفاده از هش کردن اطلاعات آن مسدود کنیم. فقط کافیست برنامه مورد نظر را به این Rule تحویل دهیم.

Configure Rule Enforcement 

زمانی که Applocker فعال می‌شود در دو حالت و در دو مود می‌تواند اجرا شود. یک، حالتی است که Applocker سیستم مقصد را ملزم می‌کند که از پالیسی اعمال شده تبعیت کند ( Enforce Rule ). و دوم حالتی است که Applocker به صورت یک Audit عمل می‌کند منظور از Audit آن است که فقط و فقط آن سیستم رصد می‌شود که اگر پالیسی اعمال شود جلوی چه برنامه هایی گرفته می‌شود.

حال برای اینکه مشخص کنیم Applocker در چه مودی کار کنه کافیست بر روی خود گزینه Applocket کلیک کرده و سپس بر روی گزینه Configure Rule Enforcement کلیک کنیم.

در مرحله بعد وارد پنجره زیر شده و در این قسمت Rule مورد نظر که نوع مود بر روی آن را می‌خواهیم اعمال کنیم، تعیین کرده و نوع مود ( Audit یا Enforce Rule ) را انتخاب می‌کنیم :

نکته مهم آن است که در سربرگ Advance در عکس فوق یک Rule به نام DLL Rule وجود دارد که با اعمال تنظیمات در این بخش این Rule فرمت اجرایی DLL ها را متاثر می‌کند. که این کار می‌تواند روی فایل های ویندوز که DLL هستند، تاثیر بگذارد و روی پرفورمنس سیستم تاثیر بگذارد.

  • اگر نوع مود Rule را بر روی حالت Audit قرار دهیم، برای چک کردن Audit های Applocker، کافیست وارد Event Viewer سیستم شده و سپس وارد Application and Services log شده، پوشه Microsoft و پوشه Windows و سپس پوشه Applocker شویم.

Application Identity

برای آنکه پالیسی Applocker بر روی Client های شبکه بتواند اجرا شود، باید سرویسی تحت عنوان Application Identity بر روی Client ها اعمال شود که این کار را با استفاده از گروپ پالیسی ها ما می‌توانیم برای تمامیه سیستم ها انجام دهیم بدین صورت که در گروپ پالیسی وارد System Services می‌شویم و گزینه Application Identity را برای Client ها در مود Automatic می‌گذاریم.

بدون دیدگاه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *