Kural koleksiyonları

AppLocker Microsoft Yönetim Konsolu (MMC) ek bileşeni, kural koleksiyonları adı verilen dört alan halinde düzenlenir. Bu dört kural koleksiyonu, yürütülebilir dosyalar, komut dosyaları, Windows Installer dosyaları ve DLL dosyalarıdır. Bu koleksiyonlar, yöneticinin farklı türdeki uygulamaların kurallarını ayırt etmesi için kolay bir yol sunar. Aşağıdaki tabloda, kural koleksiyonlarının her birinde bulunan dosya biçimleri listelenmektedir.

Not

DLL kuralı koleksiyonu varsayılan olarak etkinleştirilmemiştir. DLL kuralı koleksiyonunu etkinleştirme hakkında bilgi almak için, bkz. AppLocker Kurallarını Zorlama.

Kural koleksiyonu İlişkilendirilmiş dosya biçimleri

Yürütülebilir

.exe

.com

Komut dosyaları

.ps1

.bat

.cmd

.vbs

.js

Windows Installer

.msi

.msp

DLL

.dll

.ocx

Önemli

DLL kuralları kullanıyorsanız, izin verilen tüm uygulamalar tarafından kullanılan her DLL için bir DLL izin kuralı oluşturulmalıdır.

Dikkat

DLL kuralları kullanıldığında, AppLocker bir uygulamanın yüklediği her DLL'yi kontrol etmelidir. Bu nedenle, DLL kuralları kullanılırsa, kullanıcılar performans düşüklüğü yaşabilir.

Kural koşulları

Kural koşulları, AppLocker kuralının temel aldığı ölçütlerdir. Bir AppLocker kuralı oluşturmak için birincil koşullar gerekir. Üç adet birincil kural koşulu, yayımcı, yol ve dosya karmasıdır.

Yayımcı

Bu koşul, dijital imzasını ve genişletilmiş özniteliklerini temel alarak bir uygulamayı tanımlar. Dijital imza, uygulamayı (yayımcıyı) oluşturan şirket hakkında bilgileri içerir. İkili kaynaktan alınan genişletilmiş öznitelikler, uygulamanın parçası olduğu ürünün adını ve uygulamanın sürüm numarasını içerir. Yayımcı, Microsoft gibi bir yazılım geliştirme şirketi veya kuruluşunuzun bilgi teknolojisi departmanı olabilir.

Not

Olabildiğince yayımcı koşulunu kullanın. Uygulamanın konumu değişse de veya uygulama güncelleştirilse de uygulamaların çalışmaya devam etmesine izin vermek için yayımcı koşulları oluşturulabilir.

Yayımcı koşulu için bir başvuru dosyası seçtiğinizde, sihirbaz yayımcıyı, ürünü, dosya adını ve sürüm numarasını belirten bir kural oluşturur. Kaydırıcıyı aşağı hareket ettirerek veya ürün, dosya adı ya da sürüm numarası alanlarında bir joker karakter (*) kullanarak kuralı daha genel hale getirebilirsiniz.

Not

Kural Oluştur Sihirbazı'nda bir kural oluştururken özel değerler girmek için, Özel değerleri kullan onay kutusunu seçmeniz gerekir. Bu onay kutusu seçildiğinde, kuralı daha çok veya az belirli hale getirmek için kaydırıcıyı kullanamazsınız.

Dosya sürümü, bir kullanıcının belirli bir sürümü, önceki sürümleri veya sonraki sürümleri çalıştırıp çalıştıramayacağını denetler. Bir sürüm numarası seçebilir ve sonra aşağıdaki seçenekleri yapılandırabilirsiniz:

  • Tam. Kural yalnızca uygulamanın bu sürümü için geçerlidir.

  • Ve üstü. Kural bu sürüm ve sonraki tüm sürümler için geçerlidir.

  • Ve altı. Kural bu sürüm ve önceki tüm sürümler için geçerlidir.

Aşağıdaki tabloda, yayımcı koşulunun nasıl uygulanacağı açıklanmaktadır.

SeçenekYayımcı koşulu izin verir veya reddeder...

Tüm imzalı dosyalar

Yayımcı tarafından imzalanan tüm dosyalar.

Yalnızca yayımcı

Adlandırılmış yayımcı tarafından imzalanan tüm dosyalar.

Yayımcı ve ürün adı

Belirtilen ürün için, adlandırılmış yayımcı tarafından imzalanan tüm dosyalar.

Yayımcı ve ürün adı ve dosya adı

Yayımcı tarafından imzalanan adlandırılmış ürünün adlandırılmış dosyasının herhangi bir sürümü.

Yayımcı, ürün adı, dosya adı ve dosya sürümü

Tam

Yayımcı tarafından imzalanan adlandırılmış ürünün adlandırılmış dosyasının belirtilen sürümü.

Yayımcı, ürün adı, dosya adı ve dosya sürümü

Ve üstü

Yayımcı tarafından imzalanan ürünün adlandırılmış dosyasının belirtilen sürümü ve herhangi bir yeni sürümü.

Yayımcı, ürün adı, dosya adı ve dosya sürümü

Ve altı

Yayımcı tarafından imzalanan ürünün adlandırılmış dosyasının belirtilen sürümü ve herhangi bir eski sürümü.

Özel

Özel bir kural oluşturmak için Yayımcı, Ürün adı, Dosya adı ve Sürüm alanlarını düzenleyebilirsiniz.

Yol

Bu koşul, bir uygulamayı bilgisayarın dosya sistemindeki veya ağdaki konumuna göre tanımlar.

AppLocker, Windows'daki dizinler için yol değişkenleri kullanır.

Not

Bu yol değişkenlerinin ikisi Windows ortam değişkenleriyle aynı biçimi kullansa da, ortam değişkeni değillerdir. AppLocker yalnızca AppLocker yol değişkenlerini yorumlayabilir.

Aşağıdaki tabloda, bu yol değişkenlerinin ayrıntılarına yer verilmiştir.

Windows dizini veya sürücüsüAppLocker yol değişkeniWindows ortam değişkeni

Windows

%WINDIR%

%SystemRoot%

System32

%SYSTEM32%

%SystemDirectory%

Windows yükleme dizini

%OSDRIVE%

%SystemDrive%

Program Files

%PROGRAMFILES%

%ProgramFiles% ve

%ProgramFiles(x86)%

Çıkarılabilir medya (örneğin, CD veya DVD)

%REMOVABLE%

Çıkarılabilir depolama aygıtı (örneğin, USB flash sürücü)

%HOT%

Önemli

Bir yol koşulu, çok sayıda klasör ve dosya içerecek şekilde yapılandırılabildiğinden, yol koşullarının dikkatlice planlanması gerekir. Örneğin, bir yol koşulunun bulunduğu izin verme kuralı, yönetici olmayanların veri yazmasına izin verildiği bir klasör konumunu içeriyorsa, kullanıcı onaylanmayan dosyaları bu konuma kopyalayıp dosyaları çalıştırabilir. Bu nedenle, kullanıcı profili gibi, standart kullanıcılar tarafından yazılabilir yol koşulları oluşturulmaması en iyi uygulama olacaktır.

Dosya karması

Dosya karması koşulu seçildiğinde, sistem tanımlanan dosyanın bir şifreleme karmasını hesaplar.

AppLocker varsayılan kuralları

AppLocker, kural türlerinin her biri için varsayılan kurallar oluşturmanıza olanak sağlar.

Yürütülebilir varsayılan kural türleri:

  • Yerel Administrators grubu üyelerinin tüm uygulamaları çalıştırmasına izin ver.

  • Everyone grubu üyelerinin, Windows klasöründe bulunan uygulamaları çalıştırmasına izin ver.

  • Everyone grubu üyelerinin, Program Files klasöründe bulunan uygulamaları çalıştırmasına izin ver.

Windows Installer varsayılan kural türleri:

  • Yerel Administrators grubu üyelerinin tüm Windows Installer dosyalarını çalıştırmasına izin ver.

  • Everyone grubu üyelerinin dijital olarak imzalanmış Windows Installer dosyalarını çalıştırmasına izin ver.

  • Everyone grubu üyelerinin, Windows klasöründe bulunan uygulamaları çalıştırmasına izin ver.

Komut dosyası varsayılan kural türleri:

  • Yerel Administrators grubu üyelerinin tüm komut dosyalarını çalıştırmasına izin ver.

  • Everyone grubu üyelerinin, Program Files klasöründe bulunan komut dosyalarını çalıştırmasına izin ver.

  • Everyone grubu üyelerinin, Windows klasöründe bulunan komut dosyalarını çalıştırmasına izin ver.

DLL varsayılan kural türleri:

  • Yerel Administrators grubu üyelerinin tüm DLL'leri çalıştırmasına izin ver.

  • Everyone grubu üyelerinin, Program Files klasöründe bulunan DLL'leri çalıştırmasına izin ver.

  • Everyone grubu üyelerinin, Windows klasöründe bulunan DLL'leri çalıştırmasına izin ver.

Daha fazla bilgi için bkz. Varsayılan AppLocker Kuralları Oluşturma.

AppLocker kuralı davranışı

Belirli bir kural koleksiyonu için herhangi bir AppLocker kuralı yoksa, o dosya biçimindeki tüm dosyaların çalışmasına izin verilir. Ancak, belirli bir kural koleksiyonu için AppLocker kuralı oluşturulduğunda, yalnızca bir kuralda açıkça izin verilen dosyaların çalıştırılmasına izin verilir. Örneğin, %SystemDrive%\FilePath konumundaki .exe dosyalarının çalıştırılmasına izin veren bir yürütülebilir dosya oluşturursanız, yalnızca o yolda bulunan yürütülebilir dosyaların çalıştırılmasına izin verilir.

Bir kural, bir izin verme veya reddetme eylemini kullanacak şekilde yapılandırılabilir:

  • İzin Ver. Ortamınızda hangi dosyaların hangi kullanıcılar veya kullanıcı grupları için çalıştırılmasına izin verildiğini belirtebilirsiniz. Ayrıca kuralın dışında bırakılan dosyaları tanımlamak için özel durumları da yapılandırabilirsiniz.

  • Reddet. Ortamınızda hangi dosyaların hangi kullanıcılar veya kullanıcı grupları için çalıştırılmasına izin verilmediğini belirtebilirsiniz not. Ayrıca kuralın dışında bırakılan dosyaları tanımlamak için özel durumları da yapılandırabilirsiniz.

Önemli

İzin verme ve reddetme eylemleri birleşimini kullanabilirsiniz. Ancak, reddetme eylemleri tüm durumlarda izin verme eylemlerini geçersiz kıldığından, özel durumlar içeren izin verme eylemleri kullanılmasını öneririz. Reddetme eylemleri de atlatılabilir.

Kural özel durumları

Ayrı ayrı kullanıcılara veya kullanıcı grubuna AppLocker kuralları uygulayabilirsiniz. Kullanıcı grubuna bir kural uygularsanız, o gruptaki tüm kullanıcılar o kuraldan etkilenir. Bir kullanıcı grubu alt kümesinin bir uygulamayı kullanmasına izin vermeniz gerekiyorsa, o alt küme için özel bir kural oluşturabilirsiniz. Örneğin, "Herkesin Kayıt Defteri Düzenleyicisi Dışında Windows'u Çalıştırmasına İzin Ver" kuralı, kuruluştaki herkesin Windows'u çalıştırmasına izin verir ancak herhangi birinin Kayıt Defteri Düzenleyicisi'ni çalıştırmasına izin vermez. Bu kuralın etkisi, yardım masası personeli gibi kullanıcıların destek görevleri için gerekli olan bir programı çalıştırmasını önleyebilir. Bu sorunu gidermek için, Yardım Masası kullanıcı grubu için geçerli olan ikinci bir kural oluşturun: "Yardım Masası'nın Kayıt Defteri Düzenleyicisi'ni çalıştırmasına izin ver." Herhangi bir kullanıcının Kayıt Defteri Düzenleyicisi'ni çalıştırmasına izin vermeyen bir reddetme kuralı oluşturursanız, reddetme kuralı, Yardım Masası kullanıcı grubunun Kayıt Defteri Düzenleyicisi'ni çalıştırmasına izin veren ikinci kuralını geçersiz kılacaktır.

AppLocker sihirbazları

İki şekilde özel kurallar oluşturabilirsiniz:

  1. Kural Oluştur Sihirbazı, aynı anda tek bir kural oluşturmanızı sağlar. Daha fazla bilgi için, bkz. AppLocker Kuralı Oluşturma.

  2. Kuralları Otomatik Oluştur Sihirbazı, bir klasör seçmenizi, kuralın uygulanacağı bir kullanıcı veya grup seçmenizi ve daha sonra o klasör için aynı anda birçok kural oluşturmanızı sağlar. Bu sihirbaz otomatik olarak yalnızca izin verme kuralları oluşturur. Daha fazla bilgi için bkz. Otomatik Olarak AppLocker Kuralları Oluşturma.

Dikkat edilecek diğer noktalar

  • Varsayılan olarak AppLocker kuralları, kullanıcıların özel olarak izin verilmeyen dosyaları açmasına veya çalıştırmasına izin vermez. Yöneticiler, izin verilen uygulamaların güncel bir listesini korumalıdır.

  • Güncelleştirmenin ardından kalıcı olmayan iki tür AppLocker koşulu vardır:

    • Dosya karması koşulu. Kural oluşturulduğu anda, uygulamanın şifreleme karma değeri oluşturulduğundan, dosya karması koşulları herhangi bir uygulamayla kullanılabilir. Ancak, karma değeri uygulamanın bu tam sürümüne özeldir. Kuruluş içinde uygulamanın birçok sürümü kullanılıyorsa, kullanımdaki her sürüm için ve yayımlanan tüm yeni sürümler için dosya karması koşulları oluşturmanız gerekir.

    • Belirli bir ürün sürümü ayarlanmış yayımcı koşulu. Tam dosya koşulu seçeneğini kullanan bir yayımcı koşulu oluşturursanız, uygulamanın yeni bir sürümü yüklendiğinde kural kalıcı olmaz. Yeni bir yayımcı koşulu oluşturulmalıdır, aksi takdirde kural sürümünün daha az belirgin olacak şekilde düzenlenmesi gerekir.

  • Bir uygulama dijital olarak imzalanmamışsa, yayımcı koşulunu kullanamazsınız.

  • AppLocker kuralları, Windows 7 öncesindeki Windows işletim sistemlerini çalıştıran bilgisayarları yönetmek için kullanılamaz. Bunun yerine Yazılım Kısıtlama İlkeleri kullanılmalıdır.

  • AppLocker kuralları bir Grup İlkesi nesnesinde (GPO) tanımlanmışsa, yalnızca bu kurallar uygulanır. Yazılım Kısıtlama İlkeleri kuralları ile AppLocker kuralları arasında birlikte çalışılabilirliği sağlamak için, Yazılım Kısıtlama İlkeleri kurallarını ve AppLocker kurallarını farklı GPO'larda tanımlayın.

  • Bir AppLocker kuralı Yalnızca denetim olarak ayarlanırsa, kural zorlanmaz. Kullanıcı kuralda bulunan bir uygulamayı çalıştırırsa, uygulama normal şekilde açılıp çalıştırılır ve o uygulama hakkındaki bilgiler AppLocker olay günlüğüne eklenir.

  • Bir uygulama engellendiğinde görüntülenen iletiye, özel bir yapılandırılmış URL dahil edilebilir.

  • Engellenen uygulamalar nedeniyle, başlangıçta yardım masası çağrıları sayısında bir artış beklenir. Kullanıcılar, izin verilmeyen uygulamaları çalıştıramadıklarını anlamaya başladıkça, yardım masası çağrıları azalabilir.

Ek başvurular