Το applocker είναι μια "βελτίωση", μπορούμε να πούμε, του software restriction policy. Μας δίνει τη δυνατότητα να ελέγχουμε τις εφαρμογές που επιτρέπεται να χρησιμοποιεί ο χρήστης με group policy.
1.Δημιουργούμε μια νέα πολιτική από την κονσόλα διαχείρισης
2.Πηγαίνουμε στο Computer Configuration\Policies\Windows Settings\Security Settings\Application Control Policies\Applocker
3. Αμέσως εμφανίζεται μια γενική εικόνα της πολιτικής. Κάτω από το Applocker θα βρούμε 3 επιλογές (Executable Rules, Windows Installer Rules, Script Rules) που μας βοηθούν να διαχειριστούμε τα εκτελέσιμα αρχεία, τις εγκαταστάσεις εφαρμογών αλλά και τα scripts. Κάνοντας δεξί κλικ στο Executable Rules και επιλέγοντας "Create New Rule", δημιουργούμε ένα νέο κανόνα.
5. Επιλέγουμε το group ή τον χρήστη που θέλουμε να εφαρμόσουμε την πολιτική και επιλέγουμε Next
6. Εδώ είναι το σημείο που βλέπω τις διαφορές. Μπορούμε να ελέγξουμε τις εφαρμογές σε επίπεδο digital signature (Publisher, Product Name, File Name, File Version)
6. Επιλέγοντας το Browse στο Reference file, βρίσκουμε το εκτελέσιμο αρχείο της εφαρμογής που θέλουμε (πχ. iexplorer.exe). Μετακινώντας τον δείκτη στο σημείο που θέλουμε ρυθμίζουμε τον κανόνα. Έτσι δεν χρειάζεται να ξέρουμε σε ποιο σημείο είναι η εφαρμογή που θέλουμε να "κόψουμε" ή να δημιουργούμε διαφορετικό κανόνα για κάθε έκδοση. Ακόμα και το όνομα αρχείο να αλλάξει ο κανόνας θα συνεχίζει να "κόβει" την εφαρμογή με βάση το όνομα της εφαρμογής ή τον κατασκευαστή.
7. Στο επόμενο βήμα μας δίνετε η δυνατότητα να ορίσουμε εξαιρέσεις. Για παράδειγμα αν θέλουμε να επιβάλουμε τον IE 7, τότε μπορούμε να "κόψουμε" όλες τις εκδόσεις του IE και να εξαιρέσουμε την έκδοση 7.
7. Τέλος επιλέγουμε ένα όνομα για τον κανόνα μας και επιλέγουμε Create
- Read more...
- 2 comments
- 578 views