מאפשר שליטה עמוקה על כל רובד ורובד בסביבת העבודה של המשתמש.
מכיל מעל 1000 הגדרות ואפשרויות קונפיגורציה.
ניתן להוריד מהאינטרנט Administrative
Files אשר יוסיפו הגדרות ל-Group Policies. הקבצים הם בעלי סיומת .admx לאחר הוספה הם יופיעו ב-Administrative
Templates (כגון ל Office).
כניסה להגדרות נעשית ע"י הקלדת gpedit.msc בשורת ה-Run.
פק' gpupdate /force בשורת ה-Run מחיל את הגדרות ה-Group Policies במידי ללא
צורך בביצוע Restart למחשב או ליוזר.
הגדרות שניתן לבצע:
1)
Software Settings – שליטה על
התוכנות, התקנת תוכנות מרחוק ועוד. שייך בעיקר לשרתים.
2)
Windows Settings – הגדרות
של מערכת ההפעלה בדגש על אבטחת מידע.
3)
Administrative Templates – הגדרות
שונות.
הגדרות אלו ניתן להחיל על:
1)
Computer Configuration – מחיל את
ההגדרות על המחשב החל מרגע הפעלתו ללא תלות ביוזר המתחבר אליו.
2)
User Configuration – מחיל את
ההגדרות על יוזר בודד בעת הוא מתחבר למחשב (LOG-ON) וללא תלות במחשב.
כניסה להגדרות:
1)
Computer Configuration
2)
Windows Settings
3)
Security settings
Software Restrictions
כלי זה מאפשר לנו לשלוט על התוכנות שיהיו נגישות במחשב.
הכלי מחולק ל-2 תיקיות:
א.
Security Levels – יקבע האם
מותר או אסור להיכנס לתוכנות באופן גורף
i.
Disallowed – הכול
אסור
ii.
Basic User – הכול
מותר אבל ההפעלה תעשה כמשתמש פשוט
iii.
Unrestricted – הכול
מותר (Default). זהו גם ה-Best Practice.
ב.
Additional Rules – יגדיר חריגות.
i.
עכבר ימני על Additional
Rules
ii.
בחירה באחד האפשרויות הבאות:
1.
Certificate Rule - לא שייך להגדרות ב Client.
2.
Hash Rule – חריגה
המוגדרת לפי קובץ ספציפי (לדוגמא – איסור שימוש בקובץ CALC.EXEׂ). מתחקה אחרי
התוכנה.
יתרון: הקובץ ייאסר
אפילו אם נשנה את מיקומו ואפילו אם היינו מסירים אותו מהמחשב ומתקינים את התוכנה
מחדש.
חיסרון: שינוי גרסאות
יעקוף את החסימה.
3.
Path Rule – אוסרת
תוכנה לפי הנתיב שלה.
יתרון: התוכנות
שבנתיב יחסמו גם אם הגרסה תשנה וגם אם נתקין גרסה חדשה באותו נתיב.
חיסרון: העברת התוכנה
לנתיב אחר עוקפת את החסימה.
4.
Network Zone Rule – עובד
בשילוב Internet
Explorer. מונע הורדות והתקנות
תוכנה דרך אינטרנט אקספלורר בלבד. כל חוק וחוק יכול להשפיע על Security Zone שונה.
ג.
דומה בעיקרו ל-Software
Restrictions בכך שהוא מאפשר מניעת
עבודה של תוכנות.
ד.
הוא בעל ממשק GUI בבסיסי.
ה.
ה-Default הוא הכול אסור.
ו.
אפשר לקבוע אישורים/איסורים לפי קבוצות משתמשים באופן ספציפי בעוד שב Software Restriction זה גורף.
ז.
הרעיון של התוכנה דומה בעיקרו ל-Software Restriction בכך שהוא מאפשר מניעת
עבודה של תוכנות. ועדיין, אנו רואים כמה הבדלים קריטיים בין שתי התוכנות:
i.
בעוד שב-Software
Restriction הדיפולט הוא שכל התוכנות
הן נותרות לשימוש ואנחנו קובעים אלו תוכנות לאסור – ב-Applocker הדיפולט הוא בדיוק הפוך
ואנחנו קובעים אלו תוכנות להתיר.
ii.
חוקים ב-software
Restriction משפיעים על כל המחשב בעוד
שחוקים ב-Applocker יכולים להשפיע להדיא רק על קבוצות או אפילו
משתמשים בודדים.
iii.
Software Restriction אינו תלוי ב-service כדי לפעול, בעוד ש-AppLocker תלוי בהפעלת Application Identity Service כדי לעבוד.
iv.
ב-Software
Restriction החוקים הם יחידניים, בעוד
שב-Applocker ניתן לקבוע הן סט חוקים דיפולטיים והן סט חוקים אוטומטיים!
ח.
ניתן לחלק את האיסורים לקבוצות:
i.
Executable Rules – חוקים,
לאסור ולהתיר קבצי .exe
ii.
Windows Installer Rules – קבצי
התקנה של מייקרוסופט .msi
iii.
Script Rules – איסור
הפעלת Scripts
טרם הפעלה של AppLocker חובה לבצע את הפעולות הבאות:
א.
בשורת ה-Run להקליד services.msc
ב.
עכבר ימני על Service:
Application Identity
ג.
שינוי Startup type ל-Automatic
ד.
לחיצה על Start ב-Service
Status
טרם הוספת הגדרות:
א.
עכבר ימני על Executable
Rules בתוך AppLocker
ב.
Create Default Rules – הגדרת
הרשאות Default כדי לאפשר למחשב לעבוד למרות שבעת הפעלת ה-AppLocker יש איסור על כלל התוכנות.
ג.
ב-AppLocker יש ללחוץ Configure Rule Enforcement – הפעלת
החוקים
ד.
בחירתה באחת האופציות:
i.
Enforce Rules – הפעל את
כלל החוקים.
ii.
Audit Only – בדוק את
אופן פעילות החוקים ללא ביצועם בפועל.
יצירת חוק חדש:
א.
עכבר ימני על אחד מהחוקים (Executable,
Windows, Script)
ב.
Create New Rule
ג.
עבודה לפי ה-Wizard
תחת Conditions ב-Wizard ישנם מס' מאפיינים:
i.
Publisher – הגבלה
לתוכנות עם חתימה דיגיטלית
ii.
Path – בדומה ל-Software Restrictions. תחת Path ישנו Exceptions. תפקידו שאם נתנו לתיקייה
הרשאות גישה אני בפנים יכול למנוע גישה לפריט בודד.
iii.
Hash – בדומה ל-Software Restrictions
יצירת קובץ חוקים אוטומטי:
מייצרים
קובץ חוקים Allow בלבד. ה-Default הוא לתת לבעלי Publisher. מאגד אישור להרבה תוכנות
במכה אחת.
א.
עכבר ימני על אחד מהחוקים (Executable,
Windows, Script)
ב.
Automatically Generate Rules
ג.
עבודה לפי ה-Wizard
UAC (User Account Control):
א.
תכלית – כאשר אני מבצע Log-On למערכת עם משתמש שיש לו הרשאות גבוהות (כמו Admin), המערכת תכנס לכל מקום
אשר מוגדר כמאובטח (סימן מגן) עם הרשאות של משתמש פשוט.
ב.
מכיוון שלמקומות מאובטחים אנו חייבים להיכנס עם הרשאות גבוהות אז
התוצאה תהיה הופעת מסך שמבקש אישור להיכנס לתוכנה עם הרשאות גבוהות.
ג.
הפעולה הזאת נועדה כדי לעצור וירוסים. עצירת הוירוסים נעשית ע"י
כך שבזמן שחלון UAC עולה על ה-Services מוקפאים מאחורה ולכן
הוירוס לא יכול לעבוד מאחורי הקלעים ולהשפיע על חלון UAC.
ד.
גישה להגדרות:
i.
Gpedit.msc בשורת ה-Run
ii.
Computer Configuration
iii.
Windows Settings
iv.
Security Settings
v.
Local Policies
vi.
Security Options
ה.
מונחים:
i.
Admin Approval Mode – המצב שבו
המערכת מפעילה את חלון UAC כדי לאפשר כניסה לתוכנה עם הרשאות גבוהות.
ii.
Elevation Prompt – החלון
עצמו שמופיע.
iii.
Secured Desktop – המצב שבו
הכול מוקפא בזמן ש-Elevation
Prompt מוצג.
iv.
UI (User Interface) – ממשק משתמש.
ו.
הגדרות UAC ב-gpedit:
i.
הפעלת ה-UAC בעבור ה-Built-in Admin. הדיפולט: Disabled.
ii.
האם תוכנות UIAccess יקבלו אישור שבזמן הפעלת UAC הדבר יתבצע ללא ה-Secured Desktop. הדיפולט: Disabled.
iii.
התנהגות UAC בעבור Administrators. הדיפולט: בקש אישור (Consent) בעבור Non-Windows Binaries. (למשל: התקנת תוכנות).
iv.
התנהגות UAC בעבור משתמשים שאינם Administrators, או בשם אחר: Standard Users. הדיפולט: דרישה למתן
סיסמה של משתמש המורשה כניסה.
v.
בזמן התקנת תוכנות הפעל את UAC. הדיפולט: Enabled.
vi.
אפשר התקנת תוכנות רק במידה והם חתומות דיגיטלית. הדיפולט: Disabled.
vii.
אפשר גישה באמצעות UAC בעבור תוכנות UIAccess אך ורק אם הן מותקנות
בתיקייה שנחשבת כמאובטחת. למשל: Program
Files. הדיפולט: Enabled.
viii.
Run All Administrators in Admin Approval Mode – האם UAC יפעל או לא. הדיפולט: Enabled. כדי שההגדרה תעבוד
חייבים Restart!
ix.
האם להפעיל את Secured
Desktop בזמן שחלון UAC יקפוץ. הדיפולט: Enabled.
x.
לא איכפת לנו. הדיפולט: Enabled.
User Rights Assignment:
א.
גישה להגדרות:
i.
Gpedit.msc
ii.
Computer configuration
iii.
Windows settings
iv.
Security Settings
v.
Local Settings
vi.
User Rights Assignment
ב.
הגדרות ב-gpedit:
i.
Allow log on locally – אשר למי
מותר להיכנס למחשב.
ii.
Deny log on locally – מנע
כניסה למחשב.
iii.
Shut down the system – אשר למי
מותר לבצע כיבוי מבוקר למחשב.
iv.
Take ownership of file or other objects – מאפשר ב-Default לקבוצת Administrators להיכנס למרכז הבקרה (ACL) של קובץ או תיקייה כדי
לקחת בעלות (Ownership) וע"י כך באפשרותו להגדיר אפשרות כניסה
לקובץ או לתיקייה (גם אם לפני לא היה לו גישה).
