Szabálygyűjtemények
A AppLocker Microsoft Management Console (MMC) beépülő modul négy területből, úgynevezett szabálygyűjteményből áll. A négy szabálygyűjtemény: végrehajtható fájlok, parancsfájlok, Windows Installer-fájlok és DLL-fájlok. A gyűjtemények segítségével a rendszergazda egyszerűen megkülönböztetheti az egyes alkalmazástípusokhoz készült szabályokat. Az alábbi táblázatban az egyes szabálygyűjteményekben használt fájlformátumokat találja.
 | Megjegyzés |
A DLL-fájlok szabálygyűjteménye alapértelmezés szerint nincs engedélyezve. Ha további információra van szüksége a DLL-fájlok szabálygyűjteményének engedélyezésével kapcsolatban, olvassa el az AppLocker-szabályok kényszerítése című témakört. |
| Szabálygyűjtemény | Fájlformátumok |
|---|---|
Végrehajtható fájl |
.exe .com |
Parancsfájlok |
.ps1 .bat .cmd .vbs .js |
Windows Installer |
.msi .msp |
DLL |
.dll .ocx |
 | Fontos! |
Ha DLL-szabályokat használ, DLL-engedélyezési szabályt kell létrehozni minden olyan DLL-fájlhoz, amelyet az összes engedélyezett alkalmazás használ. |
 | Figyelem! |
DLL-szabályok használata esetén az AppLocker-szabálynak az alkalmazás által betöltött összes DLL-fájlt ellenőriznie kell. A felhasználók ezért DLL-szabályok használata esetén teljesítménycsökkenést tapasztalhatnak. |
Szabályfeltételek
A szabályfeltételek az AppLocker-szabály alapjául szolgáló feltételek. AppLocker-szabály létrehozásához elsődleges feltételek szükségesek. A három elsődleges szabályfeltétel: gyártó, elérési út és fájlkivonat.
Gyártó
Ez a feltétel az alkalmazást a digitális aláírás és a kiterjesztett attribútumok alapján azonosítja. A digitális aláírás az alkalmazást kiadó cégre (a gyártóra) vonatkozó információt tartalmaz. A kiterjesztett attribútumok (amelyek a bináris erőforrásból szerezhetők be) a termék nevét tartalmazzák, amelynek az alkalmazás része, valamint az alkalmazás verziószámát. A gyártó lehet szoftverfejlesztő cég (például a Microsoft) vagy a szervezet informatikai részlege.
| Megjegyzés |
Ha lehetséges, használjon gyártói feltételt. A gyártói feltételek létrehozásával az alkalmazások akkor is tovább működhetnek, ha azok helye megváltozik, vagy azokat frissítik. |
Ha a gyártói feltételhez referenciafájlt választ ki, a varázsló a gyártót, a terméket, a fájlnevet és a verziószámot megadó szabályt hoz létre. Ha a szabályt általánosabbá szeretné tenni, húzza lefelé a csúszkát, vagy használjon helyettesítő karaktert (*) a termék, a fájlnév és a verziószám mezőjében.
| Megjegyzés |
Ha a Szabályok létrehozása varázslóban szabály létrehozásakor egyéni értékeket szeretne megadni, jelölje be az Egyéni értékek használata jelölőnégyzetet. Ha ez a jelölőnégyzet be van jelölve, a szabály általánosságát nem szabályozhatja a csúszka segítségével. |
A fájl verziója határozza meg, hogy egy adott felhasználó futtathat-e egy adott verziót, illetve egy korábbi vagy későbbi verziót. A verziószám kiválasztása után az alábbi beállításokat adhatja meg:
- Pontosan: A szabály csak az alkalmazás adott verziójára vonatkozik.
- vagy újabb: A szabály az adott verzióra és a későbbi verziókra is vonatkozik.
- vagy régebbi: A szabály az adott verzióra és a korábbi verziókra is vonatkozik.
Az alábbi táblázatban a gyártói feltétel alkalmazási módját ismerteti.
| Beállítás | A gyártói feltétel által engedélyezett vagy letiltott elem | |
|---|---|---|
Minden aláírt fájl | A gyártó által aláírt összes fájl | |
Csak közzétevő | A megadott gyártó által aláírt összes fájl | |
Gyártó és terméknév | A megadott gyártó által aláírt termékek összes fájlja | |
Gyártó, terméknév és fájlnév | A gyártó által aláírt megadott termék megadott fájljának minden verziója | |
Gyártó, terméknév, fájlnév és fájlverzió | Pontosan: | A gyártó által aláírt megadott termék megadott fájljának meghatározott verziója |
Gyártó, terméknév, fájlnév és fájlverzió | vagy újabb: | A gyártó által aláírt megadott termék és annak újabb verziói megadott fájljának meghatározott verziója |
Gyártó, terméknév, fájlnév és fájlverzió | vagy régebbi: | A gyártó által aláírt megadott termék és annak korábbi verziói megadott fájljának meghatározott verziója |
Egyéni | Egyéni szabály létrehozásához szerkesztheti a Gyártó, a Terméknév, a Fájlnév és a Fájlverzió mező értékét. | |
Elérési út
Ez a feltétel az alkalmazást a hálózati számítógép fájlrendszerén elfoglalt helye alapján azonosítja.
Az AppLocker elérésiút-változókat használ a könyvtárakhoz a Windows rendszerben.
| Megjegyzés |
Az elérésiút-változók közül kettő a Windows környezeti változóival azonos formátumot használ, ezek mégsem környezeti változók. Az AppLocker csak AppLocker elérésiút-változókat tud értelmezni. |
Az alábbi táblázat az elérésiút-változókat részletezi.
| Könyvtár vagy meghajtó a Windows rendszerben | AppLocker elérésiút-változó | Windows környezeti változó |
|---|---|---|
Windows | %WINDIR% | %SystemRoot% |
System32 | %SYSTEM32% | %SystemDirectory% |
Windows telepítési könyvtár | %OSDRIVE% | %SystemDrive% |
Program Files | %PROGRAMFILES% | %ProgramFiles% és %ProgramFiles(x86)% |
Cserélhető adathordozó (például CD vagy DVD) | %REMOVABLE% | |
Cserélhető tárolóeszköz (például USB flash meghajtó) | %HOT% |
| Fontos! |
Mivel a feltételként megadott elérési út beállítható úgy, hogy nagy számú mappát és fájlt tartalmazzon, azt körültekintően kell megtervezni. Ha például egy elérésiút-feltételt tartalmazó engedélyezési szabályban megad egy mappát, ahová a rendszergazdai jogosultsággal nem rendelkező személyek adatokat írhatnak, a felhasználók nem jóváhagyott fájlokat másolhatnak a helyre, és futtathatják azokat. Ezért a felhasználók által normál esetben írható helyekhez (például felhasználói profilokhoz) nem célszerű elérésiút-feltételt létrehozni. |
Fájlkivonat
Ha fájlkivonatot választ feltételként, a rendszer kiszámítja az azonosított fájl titkosított kivonatát.
Alapértelmezett AppLocker-szabályok
Az AppLocker segítségével minden szabálytípushoz alapértelmezett szabályokat hozhat létre.
A végrehajtható fájlok alapértelmezett szabálytípusai:
- Az összes alkalmazás futtatásának engedélyezése a Rendszergazdák csoport tagjai számára
- A Windows mappában található alkalmazások futtatásának engedélyezése a Mindenki csoport tagjai számára
- A Program Files mappában található alkalmazások futtatásának engedélyezése a Mindenki csoport tagjai számára
A Windows Installer alapértelmezett szabálytípusai:
- Az összes Windows Installer-fájl futtatásának engedélyezése a Rendszergazdák csoport tagjai számára
- A digitálisan aláírt Windows Installer-fájlok futtatásának engedélyezése a Mindenki csoport tagjai számára
- A Windows\Installer mappában található összes Windows Installer-fájl futtatásának engedélyezése a Mindenki csoport tagjai számára
A parancsfájl alapértelmezett szabálytípusai:
- Az összes parancsfájl futtatásának engedélyezése a Rendszergazdák csoport tagjai számára
- A Program Files mappában található parancsfájlok futtatásának engedélyezése a Mindenki csoport tagjai számára
- A Windows mappában található parancsfájlok futtatásának engedélyezése a Mindenki csoport tagjai számára
A DLL-fájlok alapértelmezett szabálytípusai:
- Az összes DLL-fájl futtatásának engedélyezése a Rendszergazdák csoport tagjai számára
- A Program Files mappában található DLL-fájlok futtatásának engedélyezése a Mindenki csoport tagjai számára
- A Windows mappában található DLL-fájlok futtatásának engedélyezése a Mindenki csoport tagjai számára
További információt a következő témakörben talál: Alapértelmezett AppLocker-szabályok létrehozása.
Az AppLocker-szabály működése
Ha egy adott szabálygyűjteményhez nem tartozik AppLocker-szabály, az adott fájlformátummal rendelkező összes fájl futtatása engedélyezett. Ha azonban egy adott szabálygyűjteményhez AppLocker-szabályt hoztak létre, csak a szabályban kifejezetten engedélyezett fájlok futtathatók. Ha például létrehoz egy végrehajtható fájlokra vonatkozó szabályt, amely engedélyezi a %SystemDrive%\FilePath elérési úton található .exe fájlok futtatását, csak az adott elérési úton található végrehajtható fájlok futtatása engedélyezett.
A szabály engedélyezési vagy megtagadási művelet végrehajtására állítható be:
- Engedélyezés: Megadhatja, hogy az adott környezetben mely fájlok mely felhasználók vagy felhasználói csoportok esetében futtathatók. Kivételek megadásával a szabályból kizárni kívánt fájlokat is meghatározhat.
- Megtagadás: Megadhatja, hogy az adott környezetben mely fájlok mely felhasználók vagy felhasználói csoportok esetében not futtathatók. Kivételek megadásával a szabályból kizárni kívánt fájlokat is meghatározhat.
| Fontos! |
Az engedélyezési és megtagadási műveletek kombinációját is megadhatja. Az engedélyezési műveletek esetében azonban javasolt kivételeket megadni, mivel a megtagadási műveletek minden esetben felülírják az engedélyezési műveleteket. A megtagadási műveletek megkerülhetők. |
Szabálykivételek
Az AppLocker-szabályokat egyes felhasználókra vagy felhasználók csoportjára alkalmazhatja. Ha a szabályt felhasználók csoportjára alkalmazza, az a csoporthoz tartozó összes felhasználóra érvényes lesz. Ha az alkalmazás használatát csak a felhasználói csoport egy részének szeretné engedélyezni, létrehozhat egy speciális szabályt. „A Windows futtatásának engedélyezése mindenki számára a Beállításszerkesztő kivételével” szabály például a szervezet minden felhasználója számára engedélyezi a Windows futtatását, de senki számára nem engedélyezi a Beállításszerkesztő futtatását. A szabály egyes felhasználók (például az ügyfélszolgálati munkatársak) számára megakadályozhatja a támogatási feladatokhoz szükséges programok futtatását. A probléma megoldásához hozzon létre egy másik, az Ügyfélszolgálat felhasználói csoportra vonatkozó szabályt: „A Beállításszerkesztő futtatásának engedélyezése az Ügyfélszolgálat csoport számára”. Ha ezt követően létrehoz egy megtagadási szabályt, amely minden felhasználó számára letiltja a Beállításszerkesztő futtatását, az felülírja a második szabályt (amely az Ügyfélszolgálat felhasználói csoport számára engedélyezte azt).
Az AppLocker varázslói
Az alábbi két módszerrel hozhat létre egyéni szabályt:
- A Szabályok létrehozása varázslóban egyszerre egy szabályt hozhat létre. További információt a következő témakörben talál: AppLocker-szabály létrehozása.
- A Szabályok automatikus létrehozása varázslóban kiválaszthat egy mappát, egy felhasználót vagy felhasználói csoportot, amelyre a szabályt alkalmazni szeretné, majd egyszerre több szabályt hozhat létre az adott mappához. Ez a varázsló automatikusan csak engedélyezési szabályt hoz létre. További információt a következő témakörben talál: AppLocker-szabályok automatikus létrehozása.
További szempontok
- Az AppLocker-szabályok alapértelmezés szerint nem teszik lehetővé a felhasználók számára olyan fájlok megnyitását és futtatását, amelyeket kifejezetten nem engedélyeznek. Az engedélyezett alkalmazások listáját a rendszergazdáknak kell frissíteniük.
- Az AppLocker-feltételeknek két olyan típusa van, amely a frissítést követően is megmarad:
- Fájlkivonat-feltétel: A fájlkivonat-feltételek minden alkalmazással használhatók, mivel a szabály létrehozásakor a rendszer létrehozza az alkalmazás titkosított kivonatértékét. A kivonatérték azonban az alkalmazás adott verziójához tartozik. Ha a szervezetnél az alkalmazás több verzióját használják, minden használt és minden újonnan kiadott verzióhoz létre kell hozni fájlkivonat-feltételt.
- Adott termékverzió-beállítással rendelkező gyártói feltétel: Ha a Pontosan beállítással rendelkező gyártói feltételt hoz létre, az alkalmazás új verziójának telepítésekor a szabályt a rendszer nem őrzi meg. Új gyártói feltételt kell létrehoznia, vagy a szabályverziót úgy kell módosítania, hogy az általánosabb legyen.
- Fájlkivonat-feltétel: A fájlkivonat-feltételek minden alkalmazással használhatók, mivel a szabály létrehozásakor a rendszer létrehozza az alkalmazás titkosított kivonatértékét. A kivonatérték azonban az alkalmazás adott verziójához tartozik. Ha a szervezetnél az alkalmazás több verzióját használják, minden használt és minden újonnan kiadott verzióhoz létre kell hozni fájlkivonat-feltételt.
- Ha egy alkalmazás nem rendelkezik digitális aláírással, nem használhat hozzá gyártói feltételt.
- Az AppLocker-szabályok nem használható a Windows 7 rendszernél korábbi Windows operációs rendszert használó számítógépeken. Ilyen esetekben a szoftverkorlátozó házirendek használandók.
- Ha a csoportházirend-objektumban vannak definiálva AppLocker-szabályok, a rendszer csak azokat a szabályokat alkalmazza. A szoftverkorlázotó házirendek szabályai és az AppLocker-szabályok közötti együttműködés biztosítása érdekében a szoftverkorlátozó házirendek szabályait és az AppLocker-szabályokat eltérő csoportházirend-objektumban definiálja.
- Ha az AppLocker-szabály esetében meg van adva a Csak naplózás beállítás, a rendszer nem érvényesíti a szabályt. Ha a felhasználó futtat egy, a szabályban szereplő alkalmazást, a rendszer a szokott módon megnyitja és futtatja azt, és az alkalmazással kapcsolatos információt hozzáadja az AppLocker eseménynaplójához.
- Az alkalmazás blokkolására vonatkozó üzenetben egyéni URL-cím szerepeltethető.
- A blokkolt alkalmazások miatt kezdetben várhatóan megnövekszik az ügyfélszolgálatra beérkező hívások száma. Amikor a felhasználók megértik, hogy a nem engedélyezett alkalmazásokat nem futtathatják, a hívások száma csökkenni fog.
További hivatkozások