• Windows 7
  • Windows 7 - AppLocker, osa 1
  • Windows 7 RC
  • Windows 7 Beta - Ensivaikutelma
• Windows Server 2008
  • Windows Server 2008 R2 Remote Desktop Services
  • Laajenna yksinkertaistamalla - Hyper-V
  • Windows Server 2008 Failover Clustering -Asennus ja konfigurointi, osa 2
  • Windows Server 2008 Failover Clustering -Asennus ja konfigurointi, osa 1
  • Windows Server 2008 - KB961260 ja Server Manager Refresh Error
  • Windows Server 2008 - Peruskonfigurointi
  • Windows Server 2008 - Asennus
• Citrix XenApp ja XenDesktop
  • Citrix XenDesktop virtuaalityöpöytä – Käyttö
  • Citrix XenDesktop Express Edition - virtuaalityöpöydän julkaisu
  • Citrix XenDesktop Express Edition -asennus
  • Web Interface - XenApp Web Site - Konfigurointi, osa 2
  • Web Interface - XenApp Web Site - Konfigurointi, osa 1
  • Citrix XenApp - Web Interface - Asennus
  • Citrix XenApp 5.0 - Lisenssipalvelimen asennus
  • Citrix XenApp - Hallintaoikeudet
  • Citrix XenApp 5.0 – Asennus
• Windows 8
  • Windows 8 – ensikosketus

Windows 7 - AppLocker, osa 1 »

Sovellusten käytön rajoittaminen on yksi monista osa-alueista, joka tulee suunnitella huolellisesti rakennettaessa ns. "kovennettua" työasemaa tai palvelinta tai suunniteltaessa korkeat tietoturvaominaisuudet vaativaa ympäristöä. Microsoftin Windows 7:ssa ja Windows Server 2008 R2:ssa sovellusten käytön rajoittamiseen löytyy avuksi uusi ominaisuus nimeltä "AppLocker", joka korvaa aiemmista Windows-versioista tutun "Software Restriction Policies" ominaisuuden.

Lyhyesti kuvattuna AppLocker on ominaisuus, jolla voidaan hallita sitä, voivatko käyttäjät suorittaa työaseman tai palvelimen tiettyjä (erikseen määriteltyjä) tiedostoja. Ominaisuuden avulla voidaan mm. sallia tai evätä esim. .exe -tiedostojen, skriptien, Windows Installer -tiedostojen tai DLL:n käyttö.

Käyttökohteet

Työkalulle, jolla voidaan vaikuttaa siihen mitä koneella voidaan suorittaa ja kenen toimesta, löytyy runsaasti käyttökohteita. Näitä voivat olla esimerkiksi tietyn sovelluksen tai sovellusversion salliminen / kieltäminen tai tietyn asennuksen salliminen / kieltäminen. Yksi saattaa rajoittaa sovellusten käyttöä lisensointisyistä ja toinen skriptien suoritusta tietoturvasyistä. Kuten sanottu, käyttökohteet ja hyödyntämismahdollisuudet ovat moninaiset.

Mikäli tavoitteena on konfiguroida työasema siten, että yhdellä käyttäjällä tai ryhmällä on käytettävissä kaikki Windows 7:n sovellukset ja vastaavasti toisella on pääsy vain minimaaliseen määrään sovelluksia, on AppLocker tämän toteuttamiseen sopiva työkalu.

AppLocker  -artikkelin ensimmäisessä osassa tutustutaan yleisesti tähän uuteen ominaisuuteen ja testataan sen perustoiminnallisuutta yksittäisellä Windows 7 RC Ultimate työasemalla. (Asetukset ovat hallittavissa myös keskitetysti Active Directoryn ja Group Policien kautta, mutta siitä lisää jossakin toisessa artikkelissa.)

AppLockerin käyttöönotto

Ennen AppLockerin laajempaa käyttöönottoa tulee suorittaa huolellinen evaluointijakso, koska suoritettavien tiedostojen käyttöä rajoittamalla on hyvinkin mahdollista saada käyttöjärjestelmän ja sen ohjelmistot epävakaaseen tai jopa toimimattomaan tilaan.

Varsinaisia AppLockerin asetuksia päästään tarkastelemaan ja konfiguroimaan "Administrative Tools - Local Security Policy - Application Control Policies" valintojen kautta.

Kuten hallintatyökalun "Configure Rule Enforcement" kohdassa kerrotaan, tulee "Application Identity" palvelun olla käynnissä, jotta "AppLocker" policyt astuvat voimaan. Käynnistetään siis kyseinen palvelu ja määritellään se käynnistymään jatkossa automaattisesti, jotta konfiguroidut asetukset ovat voimassa myös työaseman bootin jälkeen.

Kun "Application Identity" palvelun määritykset ovat kunnossa, siirrytään konfiguroimaan AppLockerin perusominaisuuksia valitsemalla "Configure rule enforcement".

"AppLocker Properties" näkymän valinnoilla voidaan määritellä se, mille tiedostotyypeille asetukset ovat saatettu voimaan. Perusvalintoina ovat:  "Executable rules:", "Windows Installer rules:" ja "Script rules:".

Kaikki edellä mainitut voidaan erikseen asettaa joko sääntöjen seurantatilaan (Audit only) tai säännöt käyttöönottavaan tilaan (Enforce rules). Ensin mainittu nimensä mukaisesti kirjaa logiin sellaisen tapahtuman, jossa konfiguroitu sääntö toteutuu ja jälkimmäinen pakottaa konfiguroidut säännöt voimaan.

Audit only ja Executable rules

Tarkoituksena on aluksi tutustua AppLocker  -ominaisuuteen ja sen toimintaan ajatuksella: "Mitä tapahtuisi, jos laittaisin tämän asetuksen päälle", joten edetään tässä kohtaa "Audit only" valinnalla ja asetetaan se suoritettaville tiedostoille.

AppLocker on nyt asetettu seuraamaan "Executable Rules" kohdassa määriteltyjen tiedostojen käyttöä, joten seuraavaksi tutustutaan näiden sääntöjen konfigurointimahdollisuuksiin.

Valintoina ovat "Create New Rule...", "Automatically Generate Rules..." ja "Create Default Rules". Valitaan viimeksi mainittu ja katsotaan mitä ovat nämä oletussäännöt.

Oletussäännöt ja niiden muokkaus

Oletussäännöt loivat valinnat, jotka sallivat kaikille käyttäjille kaikkien ohjelmien suorittamisen sekä "Program Files" että "Windows" kansiorakenteesta. Perustason tietoturvaa konfiguroitaessa on tämä usein myös tahtotila, joten oletusvalinnat lienevät perustellut.

Tällä kertaa haluamme kuitenkin nähdä mitä tapahtuisi, jos oletusohjelmien käyttöä rajoitettaisiin. Tämän vuoksi muutamme "Program Files" kansiorakenteeseen kohdistuvan sallivan (Allow) säännön kieltäväksi (Deny:ksi) ja kohdistamme tämän kaikkien käyttäjien (Everyone) sijaan yksittäisen Windows 7 RC koneen paikalliseen testikäyttäjään "App".

Ohjelmien käyttöä rajoittava sääntö näkyy hallintakonsolissa tutulla punaisella merkinnällä.

Seuraavaksi kirjaudutaan "App" tunnuksella ja suoritetaan muutamia ohjelmia, jotta saadaan edellä luotuja sääntöjä kohtaavia tapahtumia aikaiseksi. (App-tunnuksella käynnistettiin mm. Word, Excel ja Notepad.)

AppLocker:n logit

AppLocker kirjoittaa tapahtumansa Event Viewer:sta löytyvään omaan AppLocker logiinsa.

Aiemmin "App" tunnuksella suoritettujen ohjelmien listalla olivat mm. Word, Excel ja Notepad. Logista löytyy sekä informatiivisia tapahtumia että varoituksia ja odotetusti mm. "winword.exe":stä on generoitu varoitus: " %PROGRAMFILES%\MICROSOFT OFFICE\OFFICE12\WINWORD.EXE was allowed to run but would have been prevented from running if the AppLocker policy were enforced.".

Mikäli olisimme määritelleet perusvalinnaksi "Audit only":n sijaan "Enforce rules", olisi winword.exe:n suorittaminen estetty ja näin ollen "App" testikäyttäjä ei olisi voinut käyttää Word:iä.

AppLockerin generoima informatiivinen tapahtuma löytyy "notepad.exe":stä ja se on muotoa: "%SYSTEM32%\NOTEPAD.EXE was allowed to run.".

Tässä kohtaa notepad.exe:n suorittaminen kohtasi oletussäännön, joka salli .exe -tiedostojen suorittamisen %WINDIR% kansiorakenteesta ja siksi siis käytön sallimisesta kirjattiin ilmoitus logiin.

Tähänastisten testien pohjalta voidaan AppLockerin todeta toimivan odotetulla ja loogisella tavalla, sillä "Audit only" valinta kirjasi kaikki AppLocker sääntöihin sopivat tapahtumat logiin, mistä ne olivat paikannettavissa helposti.

Tässä artikkelin ensimmäisessä osassa raapaistiin hieman AppLockerin pintaa, mutta jo seuraavassa osassa otetaan rajoitukset oikeasti käyttöön, luodaan mukautettuja sääntöjä ja testataan sovellusten toimintaa rajoitetummassa ympäristössä.

Takaisin Windows 7-sivulle