AppLocker – Microsoft

הסבר:

Applocker הוא כלי אבטחה מובנה במערכת ההפעלה של Microsoft (הופיע לראשונה במערכת ההפעלה Windows 7) המאפשר למנוע התקנה, הרצה והפעלה של יישומים ותוכנות.
מאחר וכלי זה מציע אפשרויות רבות ומתקדמות, הוא מתאים יותר למנהלי רשת ברשתות עסקיות, ופחות עבור המשתמש הביתי.

באמצעות Applocker ניתן למנוע הרצה של קבצי הפעלה באמצעות יצירת כללים ע"י Executable Rules , הרצה של קבצי התקנה MSI, באמצעות יצירת כללים ע"י Windows Installer Rules , הרצה של סקריפטים באמצעות יצירת כללים ע"י Script Rules ועוד.
כדי לאפשר עבודה נוחה וקלה, Microsoft יצרנו עבורנו את האפשרות להגדיר Default rules (חוקים כללים ובסיסים להגדרה), וכן האפשרות לייצר חוקים אוטומטיים באמצעות automatically generate rules.

בין האפשרויות השונות עבור כל חוק ניתן להגדיר את האפשרויות הבאות:

  • סוג הפעולה שתבוצע – לאפשר או לחסום
  • עבור אילו משתמשים או קבוצת משתמשים להחיל את החוק
  • באיזה תנאי להפעיל את החוק – ע"ב נתיב של הקובץ, ע"ב כלל הקבצים ממפרסם מסוים (לדוג': Microsoft), וכן ע"ב חתימת ה-HASH של קובץ מסוים
  • הגדרת החרגות על חוק (לדוג' הגדרנו חסימה עבור תיקייה שלמה , אך נרצה לאפשר רק קובץ מסויים)

במדריך זה נסביר איך להשתמש ב-Applocker ב-Windows10 כדי לחסום הרצה של הקובץ Anydesk עבור המשתמש הספציפי Test.
במדריך זה הוגדרו החוקים הבסיסיים בנוסף לחוק החדש שנוצר, ולכן בפועל גם הרצה של קבצים אחרים שאינם נמצאים בתיקיית Windows ו-Program Files עבור משתמשים שאינם בקבוצת ה-Administrator תיחסם (ניתן לשנות זאת ע"י שינוי החוק הבא והגדרת ההרשאות ל-Everyone).

במדריך יוסבר בראשי פרקים את תהליך ההגדרה, פירוט מלא בסרטון המצורף.

שלבי הגדרה:

א. נווט ל-Computer Configuration – Policies – Windows Settings – Security Settings – Application Control Policies – AppLocker .
ב. לחץ כפתור ימני על Applocker , ובחר במאפיינים . וודא קיום ההגדרה הבאה, ולחץ על OK לאישור.

ג. עמוד על Packaged app Rules ובחר ב-Create Default Rules.
ד.עמוד על Executable Rules ובחר ב-Create New Rule ליצירת חוק חדש.
ה. הגדר את החוק שלך בהתאם לדרישות (האם לחסום או לאפשר, עבור אילו משתמשים או קבוצות להחיל, עבור איזה קובץ או מפרסם להחיל, האם להגדיר החרגות, והגדרת שם לחוק).
ו. כעת תשאל האם ליצור את חוק ה-Default, לחץ Yes לאישור.

ז. פתח חלון CMD כ-Administrator והרץ את הפקודה הבאה להפעלת ה-Service הדרוש לזיהוי האפליקציות:

sc config appidsvc start= auto


ח. כעת, הפעל מחדש את המחשב.

סרטון ההגדרה:

הדגמה של חסימת הרצת הקובץ Anydesk ע"י משתמש Test :

שימו לב!

1. כדי להריץ את Applocker ב-Windows 10 , נדרש גרסת הפעלה מסוג Enterprise או Education .
2. יש לבצע בזהירות המתבקשת!!
3. לאחר ביצוע בדיקות (חובה!), ניתן להיעזר באמצעות ה-GPO להפצה של הגדרת ה-Applocker לתחנות והשרתים.
4. הסבר על ה-Default Rule בקישור המצ"ב:
https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender-application-control/applocker/understanding-applocker-default-rules

בהצלחה!

 

להשאיר תגובה

הזינו את פרטיכם בטופס, או לחצו על אחד מהאייקונים כדי להשתמש בחשבון קיים:

הלוגו של WordPress.com

אתה מגיב באמצעות חשבון WordPress.com שלך. לצאת מהמערכת /  לשנות )

תמונת גוגל

אתה מגיב באמצעות חשבון Google שלך. לצאת מהמערכת /  לשנות )

תמונת Twitter

אתה מגיב באמצעות חשבון Twitter שלך. לצאת מהמערכת /  לשנות )

תמונת Facebook

אתה מגיב באמצעות חשבון Facebook שלך. לצאת מהמערכת /  לשנות )

מתחבר ל-%s

מבית WordPress.com. ערכת עיצוב: Baskerville 2 של Anders Noren.

למעלה ↑

%d בלוגרים אהבו את זה: