Windows Server

Active Directory Ortamında AppLocker Kullanımı

Merhaba, bu makalede Domain ortamında AppLocker kullanarak uygulama kontrolü nasıl yapabiliriz beraber inceleyeceğiz.

AppLocker, yazılım kısıtlama ilkelerinin uygulama denetimi özelliklerini ve işlevselliğini geliştirir. AppLocker, dosyaların benzersiz kimliklerine dayalı olarak uygulamaların çalışmasına izin vermek veya bunları reddetmek ve bu uygulamaları hangi kullanıcıların veya grupların çalıştırabileceğini belirtmek için kurallar oluşturmanıza olanak tanıır.

AppLocker’ı kullanarak şunları yapabilirsiniz:

  • Aşağıdaki uygulama türlerini kontrol edin: yürütülebilir dosyalar (.exe ve .com), komut dosyaları (.js, .ps1, .vbs, .cmd ve .bat), Windows Installer dosyaları (.mst, .msi ve .msp), ve DLL dosyaları (.dll ve .ocx) ve paket uygulamalar ve paket uygulama yükleyicileri (appx).
  • Yayıncı, ürün adı, dosya adı ve dosya sürümü dahil olmak üzere dijital imzadan türetilen dosya özniteliklerine dayalı olarak kurallar tanımlayın. Örneğin, güncellemelerle kalıcı olan yayıncı özniteliğine dayalı kurallar oluşturabilir veya bir dosyanın belirli bir sürümü için kurallar oluşturabilirsiniz.
  • Bir güvenlik grubuna veya tek bir kullanıcıya kural atayın.
  • Kurallara istisnalar oluşturun. Örneğin, Kayıt Defteri Düzenleyicisi (Regedit.exe) dışında tüm Windows işlemlerinin çalışmasına izin veren bir kural oluşturabilirsiniz.
  • İlkeyi dağıtmak ve uygulamadan önce etkisini anlamak için yalnızca denetim modunu kullanın.

Bu temel bilgierin ardında uygulayacağımız senaryoya geçebiliriz. Senaryomuz gereği domain ortamımızda bulunan clientların 7zip uygulamasını çalıştırmasını engellemek istiyoruz.

İlk olarak yeni bir policy oluşturup isim veriyoruz.

Computer Configuration – Policies – Windows Settings – Security Settings – Application Control” altında “AppLocker” geliyoruz.

İlk olarak Executable rules’e sağ tıklıyoruz ve Create Default Rules’u seçiyoruz. Bu bize default bir “Allow” kural seti oluşturuyor.

Biz yeni bir rule seti oluşturmak istediğimiz için “Create New Rule” seçeneği ile devam ediyoruz.

Engelleme yapacağımız için “Deny” ile devam ediyoruz.

Burada farklı seçenekler bizi karşılıyor.

Publisher rules: Bir uygulamayı dijital imzasına ve genişletilmiş özniteliklerine göre tanımlar. Dijital imza, uygulamayı oluşturan şirket (yayıncı) hakkında bilgiler içerir. Uygulamanın parçası olduğu ürünün adını ve uygulamanın sürüm numarasını içerir.

Path rules: Uygulamayı bilgisayarın dosya sistemindeki veya ağdaki konumuna göre tanımlar.

File hash: Dosyanın HASH’ine göre tanımlanır.

Bizim senaryomız gereği “Path” ile devam ediyoruz.

7-Zip’in path bilgisini giriyoruz.

Bu işlemlerin ardından, “AppLocker“‘a tekrar geliyoruz ve “Configure rule enforcement”‘a tıklıyoruz.

Gelen ekranda hangi seçenek altında kural yazdıysak o seçenek üzerinde işlem yapmamız gerekiyor. Burların altında da iki seçenek bizi karşılıyor. “Enforce rules” ve “Audit

Enforce rules: Kuralın uygulanmasını sağlar.

Audit: Event Viewer altına log düşmesini sağlar.

Bizim senaryomuzda “Executable rules” altına “Enforce rules” seçeneğini seçiyoruz.

Bir diğer yapmamız gereken ayar ise “Computer Configuration – Policies – Windows Settings – Security Settings – System Services” altında “Application Identity” servisini “Automatic” olarak ayarlıyoruz.

Bu işlemlerin ardından policy hazır hale geliyor. Bu aşamadan sonra uygulamak istediğimiz bilgisayar OU’a policy’i linkliyoruz.

Bizim örneğimizde Windows 10 üzerinden testleri yaptığımız için Windows 10 üzerinde 7-Zip’i çalıştırdığımızda uygulamanın başarılı bir şekilde engellendiğini görüyoruz.

Genel olarak AppLocker kullanımı bu şekilde ancak senaryolar ve uygulamalar çok daha fazla çeşitlendirilebilir. Makaleyi burada bitiriken faydalı olmasını dilerim. Keyifli okumalar.

İlgili Makaleler

9 Yorum

  1. Eline sağlık. Çok aktif kullandığım bir çözümdür. Katkı sağlamak için siber güvenlik açısından faydası adına bir kaç tecrübemi paylaşmak isterim.

    – Applocker ile portable uygulamaların çalışması kontrol altına alınabilir. Portable uygulamalar genelde user seviseyinde çalışabilir. Bazı yazılımlar ise user seviyesinde makineye kurulabilir. White list ile sadece izin verilen uygulamaların çalıştırılması ve kurulması sağlanabilir.
    – .js, .ps1, .inf .vbs, .cmd ve .bat gibi uzantılar user seviyesinde engellenebilir.

    Bu iki işlem ile ciddi oranda virüs tehtitlerine karşı tedbir alınabilir. Applocker kullanmaya başladığımdan beri virüs nedir bilmem diyebilirim 🙂 Tabi, Antivirüs + Applocker olursa dahada güzel olur.

    Applocker iyi yönetilemez ise başa dertlerde açabilir. Test ortamında iyice mantığını kavradıktan sonra canlıya almak tavsiyemdir.

  2. Aynı anlattığınız gibi örneğin chrome.exe üzerinden yasaklama denedim.

    Reddet / Everyone / hem yol, hem yayımcı şeklinde seçtim.

    chrome.exe ismini değiştirirse yinede çalışmasın diye. Fakat chrome açılıyor. asdas.exe yaptım açıldı, tekrar chrome.exe ye çevirdim yine açıldı nerede hata yapıyor olabiliriz?

  3. Applocker da Windows İnstaller, Script, ve Program apps a default kurallar yazmadığım da Win 10 pc ler de başlat ve ara açılmıyor. Sormak istediğim default kural yazdığımda Everyone olarak kurallar geliyor, Bunlar domain user ların program kurmasına yada script çalıştırmasına izin verir mi yoksa rahatmı olmalıyım

  4. Merhaba,
    Makalede olduğu gibi ayarları yaptım. Quickassist programı için ayar yaptım. Fakat Microsoft uygulamaların hepsini engelledi. Acil bir şekilde iptal etmek zorunda kaldım. Acaba tam olarak neden kaynaklandır sorun.
    Teşekkrüler

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu