AppLocker konfiguracja

AppLocker konfiguracja cz.2

przez
Print Friendly, PDF & Email

AppLocker to funkcja, która zapewnia kolejny poziom bezpieczeństwa. Jej celem jest ograniczenie lub umożliwienie dostępu do oprogramowania określonej grupie użytkowników. Obecnie wiele aplikacji nie wymaga dostępu administratora do działania. Z punktu widzenia Administratora IT, jest to sytuacja powodująca wiele niebezpieczeństw.

Podczas instalacji i konfiguracji AppLocker może zwiększyć cyberbezpieczeństwo i chronić Twoje dane przed nieautoryzowanym dostępem.

Dlaczego warto używać AppLocker’a?

Możesz go użyć do ochrony przed niechcianym oprogramowaniem, standaryzacją oprogramowania, zarządzaniem oprogramowaniem.

Jeśli chcesz uzyskać więcej informacji, zapoznaj się ze scenariuszami użycia zasad funkcji AppLocker w Microsoft Docs.

W tym wpisie postaram się jak najdokładniej przedstawić instalację oraz wdrożenie przez GPO AppLocker’a na określonych serwerach.

AppLocker’a można wdrożyć w następujących wersjach systemu Windows

Windows 10 Enterprise
Windows Server 2012,2016,2019

Wymagania wstępne – audyt

Zanim zaczniesz wdrażać AppLocker, musisz dokładnie wiedzieć, które aplikacje mają być uruchamiane w Twoim środowisku. Jest to najważniejszy krok, ponieważ jeśli spróbujesz zastosować AppLocker bez takiego rozpoznania, może to stworzysz wiele problemów w codziennym funkcjonowaniu Twojej organizacji.
Jeśli nie masz pewności w 100%, które aplikacje mają być dozwolone, możesz użyć AppLocker w trybie audytu, aby zidentyfikować wszystkie aplikacje, których działanie może zostać w jakiś sposób zakłócone.

Jak włączyć AppLocker?

Zaloguj się do kontrolera domeny (DC) i otwórz Zarządzanie zasadami grupy (Group Policy Management).

Kliknij prawym przyciskiem myszy na jednostkę organizacyjną (OU), dla którego chcesz utworzyć zasady AppLocker’a i wybierz Utwórz obiekt zasad grupy w tej domenie i połącz ją tutaj (Create a GPO in this Domain and link it here).

Tworzenie GPO dla AppLocker’a
  • Dodaj swoją nazwę dla tej zasady i kliknij OK.
  • Zaznacz nowo utworzoną zasadę AppLocker i w Filtrowaniu Zabezpieczeń (Security Filtering) po prawej stronie okna, kliknij Dodaj (Add), następnie wskaż Grupę Komputerów (Computer Groups) istniejącą w Domenie lub dowolną inną utworzoną przez Ciebie Grupę, aby dołączyć Serwery lub Stacje Robocze, które chcesz wdrożyć do współpracy z AppLocker.
Dodaj maszyny, które mają zostać skonfigurowane z AppLocker
  • Kliknij prawym przyciskiem myszy nową Zasadę i wybierz Edytuj (Edit)
  • W GPO przejdź do Konfiguracja komputera\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zasady kontroli aplikacji\AppLocker (Computer Configuration\Windows Settings\Security Settings\Application Control Policies\AppLocker)
  • Rozwiń AppLocker
  • Kliknij prawym przyciskiem myszy w Reguły wykonywalne (Executable Rules) i wybierz Utwórz reguły domyślne (Create Default Rules)
Utworzenie domyślnej reguły dla AppLocker

Domyślne zasady to:

  • Wszystkie pliki znajdujące się w folderze Program Files
  • Wszystkie pliki znajdujące się w folderze Windows
  • Wszystkie pliki dla grupy Builtin\Administrators.

Do czasu zapoznania się z możliwościami AppLocker’a zaleca się utworzenie i pozostawienie tych reguł, aby środowisko w organizacji działało bez problemów.

Domyślne zasady dla AppLocker

Kliknij prawym przyciskiem myszy na AppLocker i wybierz Właściwości (Properties).

Właściwości GPO AppLocker

Zaznacz Skonfigurowane (Configured) i wybierz Tylko audyt (Audit Only).

Konfiguracja właściwości GPO AppLocker
  • Tryb Tylko audyt (Audit Only) zapisuje dzienniki w Podglądzie zdarzeń.
  • W ten sposób możemy zidentyfikować wszystkie aplikacje, które muszą być uruchomione lub nie, przed rozpoczęciem wykonywania reguł AppLocker.

Jak skonfigurować zasady grupy AppLocker?

Nie chcemy tworzyć żadnej reguły, dopóki nie sprawdzimy, czy AppLocker działa bez problemów.

Od czego powinniśmy zacząć?

Możemy wdrożyć AppLocker na serwerze testowym, a nie na serwerze produkcyjnym, dopóki nie zapoznamy się i nie zidentyfikujemy ewentualnych problemów.

  • Aby uruchomić AppLocker, musisz uruchomić usługę Application Identity Service na serwerze, który chcesz wdrożyć.
  • W obiekcie zasad grupy (GPO Editor) AppLocker przejdź do Konfiguracja komputera\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Usługi systemowe (Computer Configuration\Windows Settings\Security Setting\System Services)
  • Znajdź usługę Application Identity.
Uruchomienie Application Identity
  • Kliknij prawym przyciskiem na Application Identity i wybierz Właściwości (Properties).
  • Uruchamiamy definicję zasad (Define this policy setting).
  • Zaznaczamy Automatycznie (Automatic)
  • Kliknij OK
  • Po zastosowaniu obiektu GPO AppLocker, uruchomi się usługa Application Identity.
Automatyczne uruchomienie Application Identity
  • Zaloguj się na serwerze, na którym chcesz wdrożyć AppLocker, otwórz wiersz polecenia i uruchom gpupdate /force.
  • Uruchom ponownie serwer.

Jak sprawdzić, czy AppLocker działa na serwerze lub stacji roboczej?

Po ponownym uruchomieniu serwera musimy sprawdzić, czy AppLocker jest uruchomiony

Otwórz Pogląd zdarzeń (Event Viewer)

Rozwiń Dzienniki aplikacji i usług\Microsoft\AppLocker (Application and Services Logs\Microsoft\AppLocker).
Kliknij Exe DLL.
Sprawdź, czy istnieje identyfikator zdarzenia 8001 (Event ID 8001).

Sprawdzenie działania AppLocker

Jak stworzyć zasadę AppLockera?

Teraz, gdy widzimy, która aplikacja działa na naszym serwerze, możemy utworzyć potrzebne nam zasady AppLocker.

  • Otwórz obiekt zasad grupy (Group Policy Object) AppLocker.
  • Kliknij prawym przyciskiem myszy w Reguły wykonywalne (Executable Rules) i wybierz Utwórz nową regułę (Create New Rule).
Tworzenie nowej zasady dla AppLocker’a

Kliknij Dalej (Next).

Pierwsza strona tworzenia nowej zasady.

Określ, jaki typ akcji ma zostać wykonany (Zezwól (Allow), Odmów (Deny)) oraz wskaż grupę użytkowników.

Zezwalaj lub blokuj działanie zasady dla konkretnej grupy użytkowników

Wybierz, jak chcesz zidentyfikować aplikację.

Identyfikacja Aplikacji

Zwróć uwagę, że jeśli wybierzesz ścieżkę (Path), ponieważ kontroler domeny nie będzie miał aplikacji, do której można przejść ze ścieżki, możesz wykonać następujące czynności.

Wskazanie ścieżki do aplikacji

Otwórz Podgląd zdarzeń (Event Viewer) na serwerze lub stacji roboczej z uruchomionym Applocker’em. Możliwe będzie skopiowanie ścieżki do aplikacji.

Ścieżka do aplikacji

Po wklejeniu ścieżki, kliknij Dalej (Next).

Ponownie kliknij Dalej (Next).

Wyjątki dla zasad Applocker

Wpisz Nazwę (Name) i kliknij Utwórz (Create).

Dodanie opisu zasady
  • Wejdź na serwer lub stację roboczą i sprawdź, czy reguła ma zastosowanie.
  • Rozwiń Dzienniki aplikacji i usług\Microsoft\AppLocker (Application and Services Logs\Microsoft\AppLocker).
  • Kliknij Wykonaj DLL (Execute DLL).
  • Sprawdź, czy istnieje identyfikator zdarzenia 8002.

Podsumowanie

Jak widzisz, konfiguracja AppLocker’a nie jest trudna, warto zachować czujność przy przeprowadzaniu konfiguracji, aby infrastruktura IT działała stabilnie.

Print Friendly, PDF & Email

Dziękuję Ci, za poświęcony czas na przeczytanie tego artykułu. Jeśli był on dla Ciebie przydatny, to gorąco zachęcam Cię do zapisania się na mój newsletter, jeżeli jeszcze Cię tam nie ma. Proszę Cię także o “polubienie” mojego bloga na Facebooku oraz kanału na YouTube – pomoże mi to dotrzeć do nowych odbiorców. Raz w tygodniu (niedziela punkt 17.00) otrzymasz powiadomienia o nowych artykułach / projektach zanim staną się publiczne. Możesz również pozostawić całkowicie anonimowy pomysł na wpis/nagranie.

Link do formularza tutaj: https://beitadmin.pl/pomysly

Pozostaw również komentarz lub napisz do mnie wiadomość odpisuję na każdą, jeżeli Masz jakieś pytania:).

Dodaj komentarz

beitadmin.pl - Droga Administratora IT