• Artikel

TechNet - Experternas arena

Frågespalt: Windows Client

Dina frågor om Windows XP, Windows Vista och Windows 7 besvaras av Andreas Stenhall.

Hur fungerar AppLocker jämfört med Software Restriction Policies?

Fråga:

Jag har tidigare försökt att använda Software Restriction Policies och är nu nyfiken på vad AppLocker (som vad jag förstår är Software Restriction Policies 2.0) har att erbjuda. Mina erfarenheter av Software Restriction Policies är inte de bästa, men nu undrar jag vad som är nytt i AppLocker. Går det att enkelt administrera AppLocker, och fungerar det bra i praktiken?

Andreas Stenhall

Andreas Stenhall

Andreas Stenhall arbetar på Hermelin IT-partner och är inriktad på Windows klientoperativsystem. Han är MVP inom Windows Desktop Experience och bloggar på www.theexperienceblog.com. Han är även grundare av Swedish Windows Client User Group.

Du som är IT-proffs kan skicka dina frågor om Windows XP, Windows Vista och Windows 7 till fraganu@microsoft.com och få dem besvarade av Andreas här i frågespalten.

Vi kan tyvärr inte garantera att alla frågor hinner besvaras.

Svar:

För de oinvigda vill jag börja med att förklara att AppLocker mycket riktigt är en vidareutveckling av Software Restriction Policies. Med AppLocker kan du styra exakt vilken kod som får köras på maskinerna, och de regler du skapar skickas precis som tidigare ut via group policies.

Jämfört med Software Restriction Policies, som inte fungerade särskilt väl eller var tidskrävande att administrera, erbjuder AppLocker några fantastiska nyheter.

Det sker genom vitlistning av kod som får köras, vilket kan ske baserat på de digitala signaturer som applikationerna har. Du kan med andra ord exempelvis tillåta att all kod som signerats av Microsoft får köras, men ingenting annat. Att jag skriver ”kod” och inte ”applikationer” beror på att du kan styra vilka sorts exekverbara filer, installationsfiler (msi-filer + msp.filer) samt olika slags skript som får köras, vilket är riktigt bra.

Ytterligare en finess är att du på ett mycket detaljerat sätt kan skapa regler, som säger till exempel att Adobe Reader får köras men att versionsnumret måste vara 9.1.3. Du kan på så vis styra exakt vilka applikationer och vilka versioner av dessa som är tillåtna.

Vad gäller hanteringen av reglerna är det enkelt att skapa en uppsättning regler utifrån en klientdator som agerar modell. Du kan skapa dessa regler på en lokal dator och efter eventuella modifieringar – om andra applikationer eller annan kod ska tillåtas – applicera dem på samtliga eller utvalda datorer. Det går även att köra i "audit mode”, vilket gör att du kan applicera reglerna i loggningsläge och se hur de slår. Detta är bra om du vill testa innan du rullar ut policyn till användarna.

Avslutningsvis vill jag säga att regelhanteringen är rätt enkel att hantera, eftersom reglerna med fördel skapas utifrån de digitala signaturerna. Detta gör att du inte behöver lyfta ett finger när det kommer patchar eller när du uppgraderar applikationer, och detta gör AppLocker till ett riktigt bra verktyg som säkrar en dator avsevärt. Det skyddar inte bara mot skadlig kod utan även mot att användarna tankar hem och kör applikationer på sina datorer.

Med vänlig hälsning,

Andreas Stenhall
www.theexperienceblog.com

De åsikter och idéer som uttrycks i texten är skribentens egna, och delas inte nödvändigtvis av Microsoft AB eller dess representanter.