Windows 7: AppLocker

Windows 7: AppLocker

  • Comments 4
  • Likes

Windows 7 nabízí spoustu nástrojů pro IT odborníky i uživatele, přičemž těm prvním poskytují spoustu možností, jak za pomoci těchto nástrojů zabezpečit svou infrastrukturu.

Typicky nástroj AppLocker bude dle mého názoru velmi žádanou komponentou systému, protože umožňuje administrátorům nastavit, které aplikace na klientských počítačích poběží. Mohou tak tedy dosáhnout toho, že uživatelé na svých stanicích nespustí nic jiného, než předem definované programy, popř. programy, které vyhovují vytvořeným podmínkám.

V praxi si to můžeme představit takto. Správce nadefinuje za pomoci skupinových politik pravidla pro AppLocker a tím zajistí, že ať už si uživatel stáhne na svůj počítač cokoliv, nebude schopen to nainstalovat. Samozřejmě tedy za předpokladu, že to administrátor nepovolil.

AppLocker funguje na principu pravidel, podobně třeba jako firewall. A stejně tak jako firewall, i nastavení a parametry pro AppLocker najdete v konzoli lokálních bezpečnostních politik (Start – Spustit – secpol.msc, popř. přes menu v Ovládacích panelech).

al_kon

Pravidla můžete nastavovat pro samotné programy, popř. pro instalační balíčky. Každé pravidlo má několik různých kritérií, které je potřeba před jeho nasazením zvážit. Můžete totiž nastavovat pravidlo buďto na autora programu (publisher), cestu, kde je program instalován (c:\program files\..), popř. na hash souboru, pokud neznáte jeho autora.

al_opt

Každé z pravidel se ještě dále větví, např. volba autora programu se dá ještě dále specifikovat na několik úrovní tak, abyste zamezili možným problémům. Jakým? Kupříkladu pokud byste nastavili toto pravidlo pouze na číslo verze programu, aplikace by v případě jakéhokoli updatu či aktualizace, kdy by se změnilo číslo verze, přestala fungovat. Proto ho můžete nastavit na cestu autora aplikace, tj. tak, aby další parametry nebyly brány v potaz. Můžete to vyřešit i v rámci pravidla nastavením custom values, ale jako ilustrace to postačuje. Pokud víte, že aplikaci aktualizovat nebudete, můžete nechat nastavení viz níže a vyžadovat přesně tuto verzi.

al_ap

V tuto chvíli už můžete stisknout tlačítko Create, které pravidlo vytvoří a uloží. Nicméně pokud byste pokračovali dál, máte možnost nastavovat další parametry pravidla – klasicky výjimky či název pravidla.

Pokud si představíte, že tohle všechno můžete konfigurovat za pomoci GPO, otevírají se před vámi poměrně široké možnosti, kterak „svázat“ svou infrastrukturu a uchránit ji před zásahy uživatelů. Za sebe říkám, že mi podobný nástroj za mých IT časů před pár lety chyběl poměrně výrazně :).

Ještě jeden důležitý detail - AppLocker je podporován ve Windows 7 Enterprise a Ultimate nebo ve všech edicích Windows Serveru 2008 R2.


- KFL
  

Your comment has been posted.   Close
Thank you, your comment requires moderation so it may take a while to appear.   Close
Leave a Comment
  • tohle budou admini milovat a uživatelé nenávidět :-) ale dobrá funkce - přesně tohle je v korporátním prostředí potřeba!

  • Serža> Vyvolava to ve mne, uprimne receno, spoustu zlomyslnych napadu. Asi to nasadim i u nasich doma :D.

  • Jediné, co mě vždy způsobí lehké rozporuplné pocity je fatk, že to bude až v - pro smrtelníky - nejvyšší edici Ultimate. Firmy, které pak nakoupí Professional s notebooky by mohli být rozčarované a trochu to kalí dojem z "nabušenosti" sedmiček. Marketingové strategie jsou v tomto vidět. Zajímavé by bylo rozštěpit Windows Client na sekce jako servery. Windows 7 Small Business; Windows 7 Essential Business; Windows 7 Enterprise...No nic... :-)

  • Vypadá to fajn, ale podporované edice nic moc.

    Nechápu proč to není v Professional... :-(