AppLocker е нова технология в Windows 7, която позволява на системния администратор да блокира изпълнението на определени изпълними файлове на компютърни мрежи. AppLocker е разширение на технологията за политика за ограничаване на софтуера (използва се в Windows XP / Vista), но последната може да блокира изпълнението на програми въз основа само на името на файла, пътя и файловия хеш. AppLocker има възможност да блокира изпълними файлове въз основа на техния цифров подпис, в резултат на което можете да блокирате програми въз основа на името на програмата, версията и доставчика. Това означава, че ако производителят актуализира версията на програмата, правилата на AppLocker ще продължат да блокират актуализираното приложение, като по този начин ще намалят натоварването на системния администратор. Също така, например, можете да създадете правило на AppLocker въз основа на версията на софтуера, като по този начин можете да разрешите стартирането само на определени предварително определени софтуерни версии. Друго предимство на AppLocker е, че сега няма значение откъде тръгва програмата (дори от карта с памет), AppLocker при всички случаи ще блокира стартирането на програмата.
Можете да използвате тази техника, за да блокирате изпълнението на определени програми с помощта на AppLocker, за да блокирате изпълнението на всеки изпълним файл, освободен от Microsoft или трети разработчици. В този пример ще се опитаме да забраним използването на браузъра Google Chrome, използвайки груповата политика и технологията на AppLocker (приемам този браузър чисто като пример, а не поради неприязън към него, както може би мнозина смятат 🙂).
1. Отворете GPO, който е приложен към целевите компютри. Отидете на Конфигурация на компютъра> Политики> Настройки на Windows> Настройки за защита> Политики за управление на приложенията и изберете „Конфигуриране на прилагане на правила“
2. В секцията Изпълними правила, отметнете опцията „Конфигуриран“ и изберете „Прилагане на правила“, след което щракнете върху „ОК“.
3. Щракнете с десния бутон върху „Изпълними правила“ и създайте ново правило „Създаване на ново правило“.
4. Кликнете върху „Напред“
5. Изберете „Отказ“ и „Напред“
6. Като условие изберете „Издател“ (издател) и щракнете върху „Напред“
Забележка: Опциите „Path“ и „File hash“ съответстват на правилата, прилагани в политиките за ограничаване на софтуера в Windows XP / Vista.
7. Кликнете върху „Преглед“
8. Изберете изпълним от Google Chrome „chrome.exe“ и кликнете върху „Отвори“
9. В този пример ще сме доволни от настройките по подразбиране, така че просто щракнете върху „Напред“.
Забележка: Ако искате да блокирате конкретна версия на програмата, след това поставете отметка „Използване на персонализирани стойности“ и в съответното поле „Версия на файла“ задайте номера на версията, чиято употреба искате да блокирате с това правило.
10: Кликнете върху „Напред“
11: И накрая, създайте правило - „Създаване“
13: Ако искате правилата на AppLocker да се прилагат към компютрите на администратора, в десния прозорец изберете правилото за „BUILTIN \ Administrators“ и го изтрийте
14: Отговорът е „Да“
Сега нашите правила за AppLocker са конфигурирани и изглеждат така:
Последното нещо, което трябва да направим, е да активираме AppLocker на целевите компютри.
15. В същата групова политика отидете на Конфигурация на компютъра> Политики> Настройки на Windows> Настройки за защита> Системни услуги и щракнете двукратно върху услугата „Идентификация на приложението“.
Идентичност на приложението е приложение, което преди да стартира всеки изпълним файл, го сканира, разкривайки неговото име, хеш и подпис. В случай, че тази услуга е деактивирана, AppLocker няма да работи.
16: Изберете „Дефиниране на тази настройка на политиката“ и „Автоматично“, след което щракнете върху „OK“
Разделът за системните услуги ще изглежда така:
Това е всичко. След прилагане на това правило, ако потребител се опита да стартира забранено приложение (в нашия случай това е Google Chrome), се появява следният диалогов прозорец: