Windows 7: AppLocker

Windows 7 nabízí spoustu nástrojů pro IT odborníky i uživatele, přičemž těm prvním poskytují spoustu možností, jak za pomoci těchto nástrojů zabezpečit svou infrastrukturu.

Typicky nástroj AppLocker bude dle mého názoru velmi žádanou komponentou systému, protože umožňuje administrátorům nastavit, které aplikace na klientských počítačích poběží. Mohou tak tedy dosáhnout toho, že uživatelé na svých stanicích nespustí nic jiného, než předem definované programy, popř. programy, které vyhovují vytvořeným podmínkám.

V praxi si to můžeme představit takto. Správce nadefinuje za pomoci skupinových politik pravidla pro AppLocker a tím zajistí, že ať už si uživatel stáhne na svůj počítač cokoliv, nebude schopen to nainstalovat. Samozřejmě tedy za předpokladu, že to administrátor nepovolil.

AppLocker funguje na principu pravidel, podobně třeba jako firewall. A stejně tak jako firewall, i nastavení a parametry pro AppLocker najdete v konzoli lokálních bezpečnostních politik (Start – Spustit – secpol.msc, popř. přes menu v Ovládacích panelech).

al_kon

Pravidla můžete nastavovat pro samotné programy, popř. pro instalační balíčky. Každé pravidlo má několik různých kritérií, které je potřeba před jeho nasazením zvážit. Můžete totiž nastavovat pravidlo buďto na autora programu (publisher), cestu, kde je program instalován (c:\program files\..), popř. na hash souboru, pokud neznáte jeho autora.

al_opt

Každé z pravidel se ještě dále větví, např. volba autora programu se dá ještě dále specifikovat na několik úrovní tak, abyste zamezili možným problémům. Jakým? Kupříkladu pokud byste nastavili toto pravidlo pouze na číslo verze programu, aplikace by v případě jakéhokoli updatu či aktualizace, kdy by se změnilo číslo verze, přestala fungovat. Proto ho můžete nastavit na cestu autora aplikace, tj. tak, aby další parametry nebyly brány v potaz. Můžete to vyřešit i v rámci pravidla nastavením custom values, ale jako ilustrace to postačuje. Pokud víte, že aplikaci aktualizovat nebudete, můžete nechat nastavení viz níže a vyžadovat přesně tuto verzi.

al_ap

V tuto chvíli už můžete stisknout tlačítko Create, které pravidlo vytvoří a uloží. Nicméně pokud byste pokračovali dál, máte možnost nastavovat další parametry pravidla – klasicky výjimky či název pravidla.

Pokud si představíte, že tohle všechno můžete konfigurovat za pomoci GPO, otevírají se před vámi poměrně široké možnosti, kterak „svázat“ svou infrastrukturu a uchránit ji před zásahy uživatelů. Za sebe říkám, že mi podobný nástroj za mých IT časů před pár lety chyběl poměrně výrazně :).

Ještě jeden důležitý detail - AppLocker je podporován ve Windows 7 Enterprise a Ultimate nebo ve všech edicích Windows Serveru 2008 R2.

- KFL