Windows 7 AppLocker

Applocker, kullanıcıların hangi programları kullanabilecekleri yada kullanamıyacakları gibi kısıtlamalar veya izinler verdiğimiz group policy uygulamasıdır.

Windows 2008 R2 den önceki sunucularda “Software Restirictions Policies” group ilkesi uygulaması ile yazılımların kullanımı engelliyebiliyorduk. Fakat yeni gelen applocker ile çok daha gelişmiş bir uygulamaya kavuşmuş olduk. Çünkü önceki uygulamada kullanıcılar yapılan yasaklamaları aşabilyorlardı. Örnek olarak path olarak bir yasaklama getirdiysek son kullanıcı uygulamanın pathini değiştirerek bizim yasaklamaya çalıştığımız programları çalıştırıp kullanabiliyordu.

 

Applocker ile istemci bilgisayarında çalışan yazılımlar için çok daha geniş kapsamlı bir engelleme yapabiliyoruz. Örnek olarak çalışan uygulama için son kullanıcıya ;

1) Sadece belirleyeceğimiz yayıncı firmanın ürünlerini kullanılabilsin (sadece microsoft ürünleri gibi)

2) Belirleyeceğimiz yazılımın sadece istediğimiz versiyonları kullanılabilsin (MSN 2010 ve üstü kullanılsın gibi)

3) Belirlediğimiz kurallar sadece bazı kullanıcılar için geçerli olsun (Yöneticiler için yasak olmasın gibi)

politikalar uygulayabiliyoruz.

Bu uygulamanın çalışabildiği platformlar; Windows 2008 R2, Windows 7 Professional, Windows 7 Enterprise ve Windows 7 Ultimate sürümleridir.

 

 

 

Öncelikle uygulama yapacağınız client makinelerde “Application Identity” hizmetini başlatmamız gerekiyor. Group ilkelerinden bu ayarı rahatlıkla yapabiliriz. İstemci makinemizin olduğu OU da group poliçesini editliyorum ve Computer configuration > Preferences > Control Panel Settings altında “services” kısmına geliyoruz. “Services” bölümünü seçtikten sonra sağ taraftaki boşluk kısımda istemci makinelerde kontrol edeceğimiz hizmetleri yapılandırabiliriz. New > Services seçeneği ile başlıyorum.

 

 

 

“Startup” bölümünden hizmetin istemci makinelerde sistem açıldığında çalışması için “Automatic” i seçiyorum. Hizmet ismi olarak “Application Identity” seçmem gerekiyor. Görüntümele ismi “AppIDSvc” olacaktır. Hizmet durumunuda “start service” olarak seçersek burdaki adımlarımız bitmiş oluyor.

 

 

 

Hizmetler bölümüne yaptığımız ayar gelecektir.

 

 

Sunucu üzerinden Applocker uygulaması için group policy yönetim penceresini açıp computer configuration > policies > windows settings > Security settings bölümünden “Applicaiton Control Policies” e geliyoruz.

 

 

Client tarafından ise group poliçeleri yönetim konsolunu açıp computer configuration > Windows settings > security settings altındaki “Application Control Policies” den applocker uygulamasına erişebiliriz.

 

 

 

Yeni bir kural oluşturmak için “executable rules” seçeneğinin üzerine gelip “create new rule” seçeneğini seçiyorum. Böylelikle bir exe uzantılı çalıştırılabilir yazılım için kural oluşturabileceğim.

 

 

Karşılama ekranında bazı uyarılar bulunmaktadır. Bunlar, var olan kurallarınızın yedeğini alın ve Applocker dökümanlarını inceleyin gibi.

 

 

Bir sonraki ekrandan bu kuralı kimlere uygulayacağımızı ve kural oluştruduğumuz yazılım için kullanıcı yada gruplara yasaklamamı yoksa müsade mi getireceğimizi seçiyoruz. Mesela everyone ı seçip deny dersek herkes için programın kullanımını yasaklamış oluruz. Daha sonra yeni bir kural yazıp burda “administrators” grubunu seçip “allow” seçeneği ile yönetici grubuna programın kullanımı için izin vermiş oluruz.

 

 

Bu ekranda üç adet seçeneğimiz bulunmakta. Eğer “publisher” ı seçersek kural oluşturacağımız yazılım için yayımcı koşulları belirtebiliriz. Böylelikle dosyanın yada uygulamanın yeri değişse bile kural geçeli olur. “Path” kısmında, kuralı programın çalıştığı localdisk yada networkteki yeri ile tanımlıyoruz. “File hash” ise sadece imzalanmamış uygulamalar için kullanıyor. Burda “publisher” seçeneğini seçip devam ediyorum.

 

 

Esas ayarları yapacağımız ekran burasıdır. İlk kutuda kural uygulayacağımız programın çalıştırılması için gereken exe uzantılı dosyayı seçiyoruz. Programın çalıştırılabilir exe sinin bilgisayarda bulunması yeterlidir. Yani tüm programı sunucuya kurmanıza gerek yok. Kurulu olan bir istemci makinesinden exe dosyasını sunucuya kopyalayarak kullanabilirsiniz. İkinci bölüm ise kural için gerekli şartları seçiyoruz. Yukardaki örnekte Microsoft tarafından imzalı , ürün ismi “microsoft office 2010” ve dosya ismi winword.exe olan uygulama koşullarını belirttik. Aynı zamanda son seçenek ile dosya versyionu 14.0.0 olması gerektiğinide seçtik. Yandaki hareketli barı kullanarak koşul sayısını arttırabilir yada azaltabiliriz.

 

 

Bu ekrandaki üçüncü kısımda ise değişkenleri kendimizin ayarlaması için bir seçenek bulunmaktadır. Burdaki kutucuğu işaretlersek hemen bir üstteki dört değişkeni kendimiz tanımlıyabiliyoruz.

 

 

Kendi tanımlayabileceğimiz ayarlar kısmında dosya versiyonu bölümünde ayrı bir kutu daha açlıyor. Bu bölümdeki “and above” seçeneği belirttiğimiz dosya versiyonu ve daha üstü için bu kuralın geçerli olduğunu, “and below” ise belirttiğimiz dosya versiyonu ve daha altı için bu kuralın geçerli olduğunu olduğunu gösteriyor. “Exactly” ise tam olaran belirttiğimiz versiyon için geçerli olacağını gösterir.

Bu ayar applocker için önemli bir ayardır. Çünkü biz bazı güvenlik sebeplerinden dolayı seçeceğimiz yazılımların daha alt veryionlarının çalışmasını istemeyebiliriz. Böylelikle kullanıcı kural koyacağımız yazılımın eski versyionlarını kullanamaz.

 

 

Bu kuralı tüm office uygulamaları için yapacağımdan “product name” bölümüne kadar bar ı getiriyorum.

 

 

Bir sonraki pencerede önceki yaptığımız kurallar dışında tutmamız gereken istisnai durumlar var ise bunu belirtiyoruz. “Add” seçeneği ile bir önceki pencere ile benzer bir ekran açılacaktır.

 

 

Açılan ekranda bir önceki uygulamanın dışında tutulacak yazılımı belirliyorum. Örnekte powerpointi seçtim. Böylelikle istemci makinede powerpoint uygulaması hariç tüm office uygulamalarına yasak getirmiş oluyorum.

Son ayar penceresinde ise yarattığımız kurala bir isim ve açıklama giriyoruz. Create seçeneği ile yeni kuralımızı oluşturmuş olacağız.

 

 

Kuralımız yaratılmadan önce bize windows varsayılan kurallarında yaratılıp yaratılmayacağını soruyor. Eğer burda “yes” seçeneğini seçersek bizim kuralımız dışında üç adet daha kural yaratılacaktır.

Bu üç kuraldan ilki “program files” klasörünün altında yer alan tüm dosyaları herkesin kullanmasını sağlıyor, ikincisi sadece windows klasörü altındaki dosyaların herkes tarafından kullanılmasını sağlıyor ve son kuralda istemci makinelerdeki tüm dosyaların yönetici grubuna dahil olan kişiler tarafından kullanılmasını sağlıyor.

Varsayılan kurallar mutlaka oluşturulmalı. Eğer oluşturulmazsa ise windows 7 üzerinde hiçbir program çalışmayabilir.

 

 

Bizim yarattığımız kural ise “deny” yani yasaklama olarak son sırada yer alıyor.

 

 

Windows 7 makinemizde uygulamasını görmeden önce tek bir ayar kaldı. O da “Configure Rule enforcement” ayarı.

 

 

Burda “executable rules” bölümünden “configured” kutucuğunu işaretleyip içerisinden “enforce rules” u seçiyoruz.

Bu aşamadan sonra artık yeni yarattığımı poliçenin uygulanması için gpupdate komutunu kullanabilirim.

 

 

Windows 7 istemci makinesinde word programını çalıştırmak istediğimde yukarda görüldüğü şekilde bir mesaj ile karşılaşıyorum. Bu yaptığım yasaklamanın başarılı bir şekilde istemci makinesine uygulandığını gösteriyor.

 

Yasaklama kuralı içerisinden powerpoint uygulamasını dışarda bıraktığım için powerpoint çalışmaktadır.

Paylaş

3 thoughts on “Windows 7 AppLocker

  1. ilhan

    Merhaba,
    Microsoft bile kendi sayfalarıda vermiş ama tekrar sormak istedim.
    Kullanıcılarda : Win7 ve Win8 Pro varsa AppLocker çalışacakmı Serverda yaptıgımız kurallar geçerli olacakmı? benim için en önemli kısım bu

    Çogu sitede sadece Enterprise yada Ultimate versiyonlarda çalışıyor yazıyor.

    iyi günler

    Reply
  2. ortaçdemirel Post author

    Merhabalar,

    Özetle durum şu şekildedir: Domain e alınabilen tüm Windos 7 ve Windows 8 sürümlerinde GPO lar ile app locker ı aktif edebilirsiniz. Fakat Local group policy i kullanacak iseniz en az windows 7 enterprise ya da windows 8 pro olmalıdır.

    Reply
    1. ilhan

      Çok teşekkür ederim ozaman hiçbir sorun yok benim açımdan 🙂
      Bu arada çok iyi anlatmışsınız

      iyi çalışmalar dilerim.

      Reply

Leave a Reply

Your email address will not be published. Required fields are marked *