AppLocker в Windows 7. Блокуємо сторонні браузери

AppLocker це нова технологія в Windows 7, що дозволяє системному адміністратору блокувати виконання певних виконуваних файлів на комп'ютерах мережі. AppLocker - це розширення технології Software Restriction Policy (використовуваної в Windows XP / Vista), проте остання могла блокувати виконання програм, грунтуючись лише на імені файлу, шляхи і хеша файлу. У AppLocker з'явилася можливість блокування виконуваних файлів, грунтуючись на їх цифрового підпису, в результаті можна блокувати програми, грунтуючись на імені програми, версії і вендорів. Це означає, що якщо виробник оновить версію програми, то правила AppLocker продовжать блокувати оновлене додаток, знижуючи тим самим навантаження на системного адміністратора. Також, наприклад, можна створити правило AppLocker, засноване на версії ПЗ, тим самим можна дозволити запуск тільки певних заздалегідь дозволених версій програм. Ще одна перевага AppLocker полягає в тому, що тепер не має значення звідки запускається програма (хоч з карти пам'яті), AppLocker в будь-якому випадку буде блокувати запуск програми.

Дану методику блокування виконання певних програм за допомогою AppLocker можна використовувати для блокування виконання будь-якого виконуваного файлу, випущеного Microsoft або сторонніми розробниками. В даному прикладі ми спробуємо заборонити використання браузера Google Chrome за допомогою групової політики і технології AppLocker (це браузер я беру чисто для прикладу, а не через нелюбов до нього, як багато можливо подумали 🙂).

1. Відкрийте об'єкт групової політики, яка застосовується на цільові комп'ютери. Відкрийте розділ політики Computer Configuration> Policies> Windows Settings> Security Settings> Application Control Policies і виберіть опцію "Configure rule enforcement"

2. У розділі Executable rules відзначте опцію "Configured" і виберіть "Enforce rules", потім натисніть "OK".

3. Клацніть правою кнопкою миші по "Executable Rules" і створіть нове правило "Create New Rule."

4. Натисніть "Next"

5. Виберіть "Deny" і "Next"

6. Як умова (condition) виберіть "Publisher" (видавець) та натисніть "Next"

Примітка: Опції "Path" і "File hash" відповідають правилам, застосовуваним в політиках Software Restriction в Windows XP / Vista.

7. Натисніть кнопку "Browse"

8. Виберіть виконуваний файл Google Chrome "chrome.exe" і натисніть "Open"

9. В даному прикладі, ми задовольнимося настройками за замовчуванням, тому просто натисніть "Next".

Примітка: Якщо ви хочете заблокувати певну версію програми, тоді відзначте "Use custom values" і у відповідному полі "File version" задайте номер версії, використання якої ви хочете заблокувати даної політикою.

10: Тиснемо "Next"

11: І, нарешті, створюємо правило - "Create"

13: Якщо ви хочете, щоб правила AppLocker застосовувалися і до комп'ютерів адміністраторів, то в правій панелі виділіть правило для "BUILTIN \ Administrators" і видалити його

14: На запит відповідаємо "Yes"

Тепер наші правила AppLocker налаштовані і виглядають приблизно так:

Останнє, що нам потрібно зробити - активувати роботу AppLocker на цільових комп'ютерах

15. У тій же самій груповій політиці перейдіть в гілку Computer Configuration> Policies> Windows Settings> Security Settings> System Services і двічі клацніть по службі "Application Identity".

Application Identity - це програма, яка перед запуском будь-якого виконуваного файлу виконує його сканування, виявляючи його ім'я, хеш і сигнатуру. У тому випадку, якщо ця служба відключена, AppLocker працювати не буде.

16: Виберіть "Define this policy setting" і "Automatic", потім натисніть "OK"

Секція системних служб буде виглядати так:

От і все. Після застосування цієї політики, якщо користувач спробує запустити заборонене додаток (в нашому випадку це Google Chrome), з'явиться таке діалогове вікно: