AppLocker'daki özel kurallarla Windows güvenliği nasıl artırılır

  • AppLocker, gelişmiş kurallar kullanarak Windows'ta hangi uygulamaların çalışabileceğini hassas bir şekilde kontrol etmenizi sağlar.
  • Uyarlanabilir güvenli bir ortam elde etmek için yayıncıya, yola ve dosya karmasına dayalı birden fazla kural türü vardır.
  • Varsayılan ve özel kuralların doğru kullanımı hataların önlenmesine yardımcı olur ve uygulama kontrolünde esnekliği artırır.
Joaquin Romero

10 minutos

Windows güvenliği

Windows sistemlerinde güvenlik, hem işletmeler hem de ev kullanıcıları için hayati önem taşımaktadır; özellikle de bilgisayarlarda çalışabilen yetkisiz yazılımların çeşitliliği ve saldırıların sayısının artması göz önüne alındığında. Tehditler sürekli olarak gelişiyor Ayrıca, bilgisayarlarınızda hangi uygulamaların çalışıp çalışamayacağını kontrol etmenizi sağlayan, riskleri azaltan ve sistem bütünlüğünü iyileştiren sağlam yöntemlere sahip olmak hayati önem taşır.

Windows'un sahip olduğu en etkili ve esnek yöntemlerden biri Uygulama kilitleyici, yazılım kullanımını yönetmek için özel kurallar oluşturmanıza olanak tanıyan profesyonel ve kurumsal sürümlerde bulunan bir araçtır. AppLocker çok yüksek düzeyde ayrıntı sunarHem kısıtlayıcı politikaların uygulanmasını hem de özel durumlar için istisnaların yaratılmasını kolaylaştıran.

AppLocker nedir ve Windows güvenliği için neden önemlidir?

AppLocker, yöneticilerin hangi uygulama ve dosyaların her kullanıcı veya grup tarafından çalıştırılabileceğini tanımlamasına olanak tanıyan, Windows'da bulunan gelişmiş bir özelliktir. Çalışma ortamlarını korumak esastır, kötü amaçlı veya yetkisiz programların yürütülmesini önleyin ve yönetilen cihazların günlük işlemlerinin yalnızca yetkili yazılımların parçası olmasını sağlayın.

İlgili makale:
Windows 7'de yedekleme nasıl yapılır?

Çalışması, aşağıdakilerin yaratılmasına dayanmaktadır: erişim kuralları Bu kurallar her ortamın gerektirdiği kadar geniş veya kısıtlayıcı olabilir. Bu kurallar örneğin, yalnızca belirli kullanıcıların belirli bir programı çalıştırmasına izin vermeyi veya risk oluşturabilecek belirli araç sürümlerini engellemeyi mümkün kılar.

AppLocker'daki kural yapısı: koleksiyonlar ve türler

W AppLocker politikaları, kural koleksiyonları halinde düzenlenir kontrol etmek istediğiniz dosya veya uygulama türüne bağlı olarak farklılık gösterir. Bu ayrım, Windows sistemlerinin çeşitli ihtiyaçlarına göre uyarlanmış, optimum düzeyde organizasyon ve yönetim sağlar.

AppLocker ile yönetilebilen ana kural koleksiyonları şunlardır:

  • Yürütülebilir dosyalar: .exe ve .com uzantılı dosyaları içerir.
  • Scripts: .ps1, .bat, .cmd, .vbs ve .js dosyaları üzerinde kontrol sağlar.
  • Windows Yükleyicileri: .msi, .msp ve .mst'yi içerir.
  • Paketlenmiş uygulamalar ve yükleyiciler: Windows'taki modern uygulamalara özgü .appx dosyalarını ifade eder.
  • DLL dosyaları: .dll ve .ocx dosyalarının yürütülmesini denetler, ancak bu koleksiyon varsayılan olarak devre dışıdır ve manuel olarak etkinleştirilmesi gerekir.

Her koleksiyon kuralları bağımsız olarak yönetirve her sistemin veya kullanıcı grubunun ihtiyaçlarına göre uygulamasını aktifleştirmek veya deaktifleştirmek mümkündür.

AppLocker ile Windows güvenliği

AppLocker'daki uygulama modları

AppLocker'ın temel özelliklerinden biri, uyumluluk modu Her koleksiyon için kuralların. Bu, kuralların nasıl uygulanacağını ve güvenlik denetimlerinin Windows'ta nasıl yönetileceğini belirler.

Kip tanım
Ayarlanmamış Yapılandırılmamış olarak işaretlenmiş bir koleksiyonda kurallar varsa, daha yüksek önceliğe sahip başka bir politika yalnızca denetimi belirtmediği sürece kurallar uygulanır. Bu ayardan kaçınılması ve açık modun seçilmesi önerilir.
Kuralları uygula Kurallar sıkı bir şekilde uygulanır: Yetkisiz dosyalar veya uygulamalar engellenir ve olay günlüğüne kaydedilir.
Sadece denetim Uygulamanın çalışmasına izin verir, ancak eylem engellenmiş gibi kaydedilir; gerçek politikayı uygulamadan önce etkilenen uygulamaları belirlemek için yararlıdır.
  Windows 11'de DPI Ayarlarını Görüntüleme

Kuruluşlar politikaları birleştirebilir ve en kısıtlayıcı mod PowerShell veya Grup İlkesi kullanarak politikaları birleştirerek, Windows güvenliğinin olası yapılandırma çakışmalarına karşı üstün gelmesini sağlar.

AppLocker'daki Kural Koşulları: Yayımcı, Yol ve Karma

Bir kuraldan etkilenen uygulamaları veya dosyaları doğru bir şekilde tanımlamak için AppLocker şunları kullanır: üç ana tip koşul:

  • Yayımcı: Dijital imzalara dayanarak, aynı üreticiden veya belirli bir üründen dosyaları tanımlamanıza olanak tanır. Sürümleri kontrol etmek veya yalnızca resmi olarak imzalanmış yazılımları kabul etmek için çok kullanışlıdır. Daha fazla sürüm yönetimi için ayrıca danışabilirsiniz Windows'ta güvenlik nasıl yönetilir.
  • yol: Dosyaları dosya sistemindeki veya ağdaki konumlarına göre kontrol eder. Belirli yollara yüklenen programları yönetmek için idealdir ve bilinen Windows klasörleri için değişkenlerin kullanılmasına izin verir.
  • Dosya karmasıHer dosya benzersiz bir kriptografik karma üretir, bu nedenle yürütme yalnızca bir sürümle sınırlandırılabilir. Dezavantajı, kuralın dosyanın her yeni sürümünde veya güncellemesinde güncellenmesi gerektiğidir.

Yayımcı: daha genel ve özel kurallar

Yayıncı tabanlı bir koşul oluşturarak AppLocker, kuralın uygulanacağı ayrıntı düzeyini tanımlayın. Bir yayıncıdan gelen tüm dosyalara izin verebilir, bunları belirli bir ürünle, belirli bir dosyayla veya hatta belirli bir sürümle sınırlayabilir, daha yüksek veya daha düşük sürümleri veya yalnızca belirli bir sürümü dahil etme seçenekleriyle kısıtlayabilirsiniz. Aşırı kısıtlayıcı olmak istemediğinizde yönetimi kolaylaştırmak için joker karakterler kullanılabilir.

Bu çok pratiktir güncellemeleri yönet: Windows'un güvenlik ihtiyaçlarına bağlı olarak eski sürümlerin engellenmesi veya kuralda ayarlanan en son sürümün her zaman izin verilmesi.

Yol: Değişkenler ve Yaygın Örnekler

AppLocker, yönetimi kolaylaştırır özel rota değişkenleri iyi bilinen dizinler için:

  • %WINDIR% (Windows klasörü)
  • %SYSTEM32% (System32 ve SysWOW64)
  • %OSDRIVE% (işletim sistemi sürücüsü)
  • %PROGRAMFILES% (32-bit ve 64-bit program klasörleri)
  • %REMOVABLE% (CD/DVD gibi çıkarılabilir medya)
  • %HOT% (USB sürücüler veya diğer çıkarılabilir aygıtlar)

Böylece, belirli kurallar oluşturmak mümkündür. Programların yalnızca bu klasörlerde çalışmasına izin ver ve geri kalanını engelleyerek güvenliği önemli ölçüde güçlendirin.

Dosya karma koşulu: mutlak kontrol

Dosya karma koşulu en doğru olanıdır ancak aynı zamanda en fazla bakım gerektirenidir. Herhangi bir güncelleme hash'i değiştirir, bu nedenle kurallar ikili dosyadaki her değişiklikten sonra gözden geçirilmeli ve güncellenmelidir. Bu, yalnızca belirli bir sürümün çalışabileceğinden emin olmak istediğinizde idealdir, ancak sürekli gelişen yazılımlar için daha az pratiktir.

Varsayılan kurallar ve sistemin engellenmemesinin önemi

Sıfırdan bir AppLocker politikası oluştururken, sistem şu olanağı sunar: varsayılan kuralları oluştur her koleksiyon için. Bu, işletim sisteminin işleyişi için kritik öneme sahip uygulama ve hizmetlerin kazara çökmesini önlemek için önemlidir.

  Windows'ta Ekolayzır: Seçenekler, Yazılım ve Önerilen Ayarlar

Varsayılan kurallar örneğin şunlara izin verir:

  • Yerel yöneticiler: Herhangi bir uygulamayı, betiği, yükleyiciyi veya DLL'yi çalıştırabilir.
  • Tüm kullanıcılar: Windows ve Program Files klasörlerinde bulunan dosyaları çalıştırabilir.

Bu kurallar, belirli ihtiyaçları karşılamak için daha kısıtlayıcı özel kuralların veya istisnaların eklenebileceği bir başlangıç ​​noktası olarak önemlidir.

Kurallarda izin verilen ve reddedilen eylemler

Her AppLocker kuralı bir eylem belirleyebilir izin vermek o negarKuralları yalnızca gerekli kurallara önce izin verilecek şekilde yapılandırmak her zaman iyi bir fikirdir, ardından istisnalar gelir, çünkü reddetme kuralları mutlaktır ve bir çakışma durumunda öncelik kazanır: Bir dosya bir reddetme kuralı tarafından engellenirse, başka hiçbir kural buna izin veremez..

Kullanıcı grupları için istisnaları ve kuralları yönetme

AppLocker özellikle güçlüdür çünkü belirli kullanıcılara veya gruplara kurallar uygulamanıza olanak tanırGenel bir politika herkesin bir uygulamayı kullanmasını engelliyorsa ancak bir departmanın erişime ihtiyacı varsa, o grup için bir istisna oluşturun. Bu model, genel Windows güvenliğini gevşetmeden teknik destek veya yönetim için gereken araçların engellenmesini önler.

DLL kuralları koleksiyonunu etkinleştirme ve yönetme

Varsayılan olarak, DLL dosyaları için kural koleksiyonu etkin değildir. Etkinleştirmek için, şuraya erişmeniz gerekir: secpol.msc, Şuraya git: AppLocker özellikleri ve DLL izlemeyi manuel olarak etkinleştirin. Nispeten basit bir işlemdir, ancak yerel yönetici hakları gerektirir.

  1. Başlat menüsünden secpol.msc'yi çalıştırın.
  2. Kullanıcı Hesabı Denetimi'ndeki işlemi onaylayın.
  3. Uygulama Denetim Politikaları'nda AppLocker'a erişin ve Özellikler'i açın.
  4. Gelişmiş sekmesinde DLL koleksiyonunu etkinleştirme seçeneğini belirleyin ve değişiklikleri kabul edin.

Kural oluşturma ve düzenleme: sihirbazlar ve gelişmiş seçenekler

Kural yönetimini kolaylaştırmak için AppLocker iki sihirbaz sunar:

  • El Kurallar oluşturmak için sihirbaz Tüm ayrıntılı nitelikleri seçerek kuralları tek tek eklemenize olanak tanır.
  • El Kuralları otomatik olarak oluşturmak için sihirbaz Bir klasörü veya yüklü uygulamaları inceler ve toplu olarak izin kuralları oluşturur. Büyük dağıtımlar için veya yalnızca geçerli yazılıma izin verilmesini sağlamak için idealdir.

Kurallar daha sonra konsoldan düzenlenebilir, eylemi, etkilenen kullanıcıları, istisnaları veya belirli dosyaları değiştirebilir.

Modern uygulamalar ve kurumsal ortamlar için kuralları özelleştirme

AppLocker geleneksel yürütülebilir dosyalarla sınırlı değildir; ayrıca şunları oluşturmanıza da olanak tanır: modern paketlenmiş uygulamalar için kurallar Microsoft Store'dakiler gibi. Bu uygulamalara kurallar uygulayarak, bir kullanıcı veya grup seçebilir ve yayıncıya (geliştirici), paket adına ve sürüme göre uygulamaları reddedebilir veya izin verebilirsiniz. En iyi uygulama, bir uygulamanın tüm sürümlerini kapsamak olacaktır. Sihirbazda seçiciyi yukarıya taşıyarak istenmeyen bir sürümün kurulmasını veya çalıştırılmasını önleyebilirsiniz.

Bu düzeyde ayrıntı farklı profillerin bir arada bulunduğu ortamlarda önemlidir, RDS sunucuları, ofisler veya paylaşılan bilgisayarlar gibi. Tipik bir örnek, yalnızca bir departmanın belirli bir araca erişmesine izin vermek (örneğin, Kayıt Defteri Düzenleyicisi), diğer kullanıcıların ise onu çalıştırmasına asla izin verilmemesidir.

  Windows için En İyi Psikolojik Korku RPG'leri

Pratik senaryolar: örnek bir politika oluşturma

Kullanımını örneklendirmek için, bir politika tasarlanabilir: Not Defteri'ni yalnızca bir RDS sunucusundaki kullanıcı grubuna kilitleyin, başkalarının kullanımına izin verir. Bu süreç şunları içerir:

  1. “Uygulama Kimliği” hizmetinin aktif olduğundan emin olun.
  2. Gerekirse yeni bir Grup İlkesi (GPO) oluşturun ve hizmet başlatma ilkesini ayarlayın.
  3. “Reddet” seçeneğini belirleyerek yürütülebilir kuralı ve engellenecek kullanıcı grubunu yapılandırın.
  4. Yayımcıyı (Microsoft) belirtin ve joker karakteri * kullanarak tüm sürümlerin kapsandığından emin olun.
  5. İstisnasız bitir ve kuralı oluştur.
  6. Politikaları güncellemek ve bunların çalıştıklarını etkilenen bir kullanıcıyla doğrulayarak doğrulamak için gpupdate /force komutunu çalıştırın.

Terminal sunucu ortamları söz konusu olduğunda, tavsiye edilir politika döngü geri işlemeyi etkinleştir (Döngü İşleme) kuralın yalnızca sunucuya uygulanması ve istemcileri etkilememesi, daha fazla kontrol sağlanması ve dağıtım hatalarının önlenmesini sağlar.

AppLocker'daki bilinen sınırlamalar, riskler ve geçici çözümler

Herhangi bir Windows güvenlik çözümü gibi, AppLocker da kusursuz değildir. Yöntemleri baypas, gibi araçların kullanımı gibi BgBilgisi sistem entegrasyonunu ve özel alanlardan VBS betiklerini yükleme yeteneğini kullanarak yasaklanmış betikleri yürütmek. Bu teknikler, kısıtlayıcı bir politika yürürlükte olsa bile kod yürütülmesine izin verebilir.

İşin püf noktası, BgInfo'yu AppLocker'ın doğrudan denetimi dışında çalışan yasaklanmış bir betiği yükleyecek şekilde yapılandırmak. Bu tür bir atlama, kaçınma yöntemleri zamanla geliştikçe sistemin her zaman güncel tutulması, AppLocker'ı diğer önlemlerle birleştirme ve günlükleri denetleme ihtiyacını gösterir.

Diğer gelişmiş hususlar ve en iyi uygulamalar

  • W dosya karma koşulları ve belirli sürümlerle ilişkili yayıncı kuralları güncellemeden sonra ısrar etmeyin, bu yüzden sürekli bakıma ihtiyaç duyarlar. Uygun yönetim için lütfen şuraya bakın: .
  • Tüm uygulamalar, dijital imzalar gerektirdiğinden yayıncı tabanlı kuralları desteklemez. İmzalanmamış yazılımlar için yol veya karma koşulları kullanılmalıdır.
  • Yürütülebilir (.exe) dosyalar için bir koleksiyon ayarlarsanız, yaygın çökmeleri önlemek için paketlenmiş uygulamalar ve yükleyiciler için de kurallar oluşturmalısınız.
  • Bir uygulama engellendiğinde kullanıcıya gösterilen mesajı, destek için bir URL de dahil olmak üzere özelleştirebilirsiniz.
  • Başlangıçta katı kuralların uygulanması destek taleplerini artırabilir, bu nedenle kalıcı kısıtlamaları uygulamadan önce yalnızca denetim amaçlı bir süreç yürütülmesi önerilir.
İlgili makale:
Windows'ta Dikkate Alınacak 10 Etkili Güvenlik Uygulaması

AppLocker, Grup İlkesi Düzenleyicisi'nden (kurumsal ortamlar için) veya bireysel bilgisayarlardaki Yerel Güvenlik İlkesi konsolundan yönetilebilir. MMC eklentisi merkezi yönetimi kolaylaştırır ve özel kuralları düzenlemeyi ve dağıtmayı basitleştirir. Bilgi paylaşın ve diğer kullanıcıların Windows'taki güvenliklerini iyileştirmelerine yardımcı olun.