AppLocker’a Genel Bakış
Uygulama Hedefi: Windows 8.1, Windows Server 2012 R2, Windows Server 2012, Windows 8 Enterprise
BT uzmanları için hazırlanan bu teknik genel bakış AppLocker’ın bir açıklamasını sağlar. Bu bilgiler, kuruluşunuzun AppLocker uygulama denetim ilkelerinden yararlanıp yararlanamayacağına dair karar vermenize yardımcı olur. AppLocker, kullanıcıların hangi uygulamaları ve dosyaları çalıştırabileceğini yöneticilerin denetlemesine yardımcı olur. Bunlar yürütülebilir dosyaları, komut dosyalarını, Windows® Installer dosyalarını, dinamik bağlantı kitaplıklarını (DLL’ler), paketlenmiş uygulamaları ve paketlenmiş uygulama yükleyicilerini içerir.
İpucu
Bu kitaplıktan sayfaları dijital olarak kaydetmek veya yazdırmak için, Dışarı aktar'a tıklayın (sayfanın sağ üst köşesinde) ve yönergeleri izleyin.
AppLocker ne yapar?
AppLocker kullanarak şunları yapabilirsiniz:
Yayımcı adı (dijital imzadan türetilmiş), ürün adı, dosya adı ve dosya sürümü gibi uygulama güncelleştirmeleri boyunca kalıcı olan dosya özniteliklerine dayalı kurallar belirtin. Dosya yoluna ve karmaya dayalı kurallar da oluşturabilirsiniz.
Bir güvenlik grubun veya tek bir kullanıcıya bir kural atayın.
Kurallar için özel durumlar oluşturun. Örneğin, Kayıt Defteri Düzenleyicisi (Regedit.exe) dışındaki tüm Windows ikili dosyaları, tüm kullanıcıların çalıştırmasına olanak sağlayan bir kural oluşturabilirsiniz.
İlkeyi dağıtmak ve zorlamadan önce etkisini anlamak için sadece denetim modunu kullanın.
Bir hazırlama sunucusunda kurallar oluşturun, bunları test edin sonra üretim ortamınıza dışa aktarın ve Grup İlkesi Nesnesine içe aktarın.
AppLocker için Windows PowerShell cmdlet’lerini kullanarak AppLocker kurallarını oluşturmayı ve korumayı basitleştirin.
AppLocker, yönetim yükünü ve kullanıcıların onaylanmamış uygulamaları çalıştırması sonucu oluşan Yardım Masası çağrılarının sayısını azaltarak kuruluşun işlem kaynaklarının yönetim maliyetini azaltmaya yardımcı olur. Applocker aşağıdaki güvenlik senaryolarını ele alır:
Uygulama envanteri
AppLocker, tüm uygulama erişim etkinliğinin kayıtlı olduğu olay günlüklerinde, ilkesini sadece denetim modunda zorlama özelliğine sahiptir. Bu olaylar daha detaylı analizler için toplanabilir. Windows PowerShell cmdlet'leri bu verileri programlı olarak analiz etmenize de yardımcı olur.
İstenmeyen yazılımlara karşı koruma
AppLocker, izin verilen uygulamalar listesinden çıkardığınız uygulamaların çalışmasını engelleme özelliğine sahiptir. AppLocker kuralları üretim ortamında zorlandığında, izin verilen kurallarda yer almayan her uygulamanın çalışması engellenir.
Lisans uyumluluğu
AppLocker, lisanssız yazılımların çalışmasını engellemek ve lisanslı yazılımların kullanımını yetkili kullanıcılar ile sınırlamak için kurallar oluşturmanıza yardımcı olur.
Yazılım Standartlaştırma
AppLocker ilkeleri, sadece desteklenen veya izin verilen uygulamaların bir iş grubundaki bilgisayarlarda çalışmasına izin vermek üzere yapılandırılabilir. Bu, daha tekdüzen bir uygulama dağıtımına izin verir.
Yönetilebilirlik geliştirmesi
AppLocker, önceki Yazılım Kısıtlama İlkeleri’ne kıyasla yönetilebilirlikte bir çok geliştirme içerir. İlkeleri içe ve dışa aktarma, birden fazla dosyadan otomatik kurallar oluşturma, sadece denetim modunda dağıtım ve Windows PowerShell cmdlet’leri, Yazılım Kısıtlama İlkeleri üzerine sunulan geliştirmelerden sadece birkaçıdır.
AppLocker ne zaman kullanılır?
Çoğu kuruluşta, bilgi en değerli varlıktır ve bu bilgiye sadece izin verilen kullanıcıların erişimi olmasını sağlamak zorunluluktur. Active Directory Rights Management Services (AD RMS) ve erişim denetimi listeleri (ACL’ler) gibi Erişim denetimi teknolojileri, kullanıcıların neye erişim izni olduğunu denetlemeye yardımcı olur.
Ancak, bir kullanıcı bir işlemi çalıştırdığında, bu işlemin verilere erişim düzeyi kullanıcının sahip olduğu ile aynıdır. Sonuç olarak, bir kullanıcı bilerek veya bilmeyerek kötü amaçlı bir yazılım çalıştırırsa, hassas bilgiler kolayca silinebilir veya kuruluş dışına aktarılabilir. AppLocker, kullanıcıların veya grupların çalıştırma iznine sahip olduğu dosyaları kısıtlayarak bu tür güvenlik ihlallerini azaltmaya yardım olabilir.
Yazılım yayımcıları, yönetimsel olmayan kullanıcılar tarafından yüklenebilen daha fazla uygulama oluşturmaya başlıyor. Bu, bir kuruluşun yazılı güvenlik ilkesini tehlikeye atabilir ve kullanıcıların uygulamaları yükleyememesine dayanan geleneksel uygulama denetimi çözümlerini aşabilir. AppLocker, yöneticilerin bir izin verilen dosyalar ve uygulamalar listesi oluşturmasına izin vererek bu gibi kullanıcı başına uygulamaların çalıştırılmasını engellemeye yardım olur. AppLocker, DLL’leri de denetleyebildiği için kimin ActiveX denetimlerini yükleyebildiğini ve çalıştırabildiğini denetlemek de yararlıdır.
AppLocker, Windows tabanlı bilgisayarlarını yönetmek için şu anda Grup İlkesi kullanan kuruluşlar için idealdir. AppLocker, yazma ve dağıtım için Grup İlkesi’ni kullandığı için AppLocker kullanmayı planlıyorsanız Grup İlkesi ile tecrübeli olmanız yardımcı olur.
Aşağıdakiler AppLocker’ın kullanılabileceği senaryolara verilen örneklerdir:
Kuruluşunuzun güvenlik ilkesi sadece lisanslı yazılım kullanımını gerektirir, bu yüzden kullanıcıların lisanssız yazılım kullanmasını engellemeniz ve lisanslı yazılım kullanımını sadece yetkili kullanıcılar ile sınırlandırmanız gerekir.
Bir uygulama kuruluşunuz tarafından artık desteklenmemektedir, bu yüzden uygulamanın herkes tarafından kullanılmasını engellemeniz gerekir.
Ortamınıza istenmeyen yazılım sunulma olasılığı yüksektir, bu yüzden bu tehdidi azaltmanız gerekir.
Kuruluşunuzda bir uygulamanın lisansı iptal edilmiş ya da sona ermiştir, bu yüzden uygulamanın herkes tarafından kullanılmasını engellemeniz gerekir.
Yeni bir uygulama veya bir uygulamanın yeni bir sürümü dağıtılmıştır, bu yüzden kullanıcıların eski sürümü çalıştırmasını engellemeniz gerekir.
Kuruluş içinde belirli yazılım araçlarına izin verilmemektedir veya sadece belirli kullanıcıların bu araçlara erişime sahip olması gerekir.
Tek bir kullanıcının veya küçük bir kullanıcı grubunun diğer tüm kullanıcılar için reddedilen belirli bir uygulama kullanması gerekir.
Kuruluşunuzdaki bazı bilgisayarlar farklı yazılım kullanımı ihtiyaçları olan kişiler tarafından paylaşılmaktadır ve belirli uygulamaları korumanız gerekir.
Diğer ölçülere ek olarak, uygulama kullanımı ile hassas bilgilere erişimi denetlemeniz gerekir.
AppLocker, kuruluşunuzda bulunan dijital varlıkları korumanıza, ortamınıza kötü amaçlı yazılım sunulma olasılığı azaltmanıza ve uygulama denetiminin yönetimini ve uygulama denetim ilkelerinin bakımını geliştirmenize yardımcı olur.
Sürümler, birlikte çalışabilirlik ve işlevsellikte farklılıklar
Desteklenen sürümler ve birlikte çalışabilirlik hakkında dikkat edilmesi gerekenler
AppLocker ilkeleri, sadece Windows işletim sisteminin destek sürümlerini çalıştıran bilgisayarlarda yapılandırılabilir ve bu bilgisayarlara uygulanabilir. Daha fazla bilgi için bkz. AppLocker Kullanımı için Gereksinimler.
Sürümler arasındaki işlevsel farklılıklar
Aşağıdaki tablo, AppLocker’da bulunan önemli özelliklerin veya işlevlerin her birini işletim sistemi sürümlerindeki farklılıklara göre listeler:
| Özellik veya işlev | Windows Server 2008 R2 ve Windows 7 | Windows Server 2012 R2, Windows Server 2012, Windows 8.1, ve Windows 8 |
|---|---|---|
| Paketlenmiş uygulamalar ve paketlenmiş uygulama yükleyicileri için kuralları ayarlama özelliği. | Hayır | Evet |
| AppLocker ilkeleri Grup İlkesi kullanılarak korunur ve bir AppLocker ilkesini sadece bilgisayarın yöneticisi güncelleştirebilir. | Evet | Evet |
| AppLocker, yöneticilerin yardım almak için kullanıcıları bir web sayfasına yönlendirebilmesi için hata iletilerini özelleştirmeye izin verir. | Evet | Evet |
| Yazılım Kısıtlama İlkeleri ile birlikte çalışma özelliği (ayrı GPO’lar kullanarak). | Evet | Evet |
| AppLocker, yönetime ve bakıma yardımcı olmak için Windows PowerShell cmdlet’lerinin küçük bir kümesini destekler. | Evet | Evet |
| AppLocker kuralları listelenen dosya biçimlerini denetleyebilir. | - .exe - .com - .ps1 - .bat - .cmd - .vbs - .js - .msi - .msp - .dll - .ocx |
- .exe - .com - .ps1 - .bat - .cmd - .vbs - .js - .msi - .msp - .mst - .dll - .ocx - .appx |
Yazılım Kısıtlama İlkeleri ve AppLocker içinde bulunan uygulama denetimi işlevlerini karşılaştırmak ve bu iki özelliği kullanmak hakkında bilgi için bkz. AppLocker ve yazılım kısıtlama ilkeleri aynı etki alanında kullanın.
Sistem gereksinimleri
AppLocker ilkeleri, sadece Windows işletim sisteminin desteklenen sürümlerini çalıştıran bilgisayarlarda yapılandırılabilir ve bu bilgisayarlara uygulanabilir. Grup İlkesi, AppLocker ilkelerini içeren Grup İlkesi Nesneleri’ni dağıtmak için gerekir. Daha fazla bilgi için bkz. AppLocker Kullanımı için Gereksinimler.
AppLocker kuralları etki alanı denetleyicilerinde oluşturulabilir.
Not
Paketlenmiş uygulamalar ve paketlenmiş uygulama yükleyicileri için kuralları yazma ve zorlama özelliği Windows Server 2008 R2 ve Windows 7 sürümlerinde kullanılamaz.
AppLocker’ı yükleme
AppLocker, Windows’un kurumsal düzeyde sürümlerinde dahildir. AppLocker kurallarını tek bir bilgisayar veya bir bilgisayar grubu için yazabilirsiniz. Tek bir bilgisayar için, Yerel Güvenlik İlkesi düzenleyicisini (secpol.msc) kullanarak kuralları yazabilirsiniz. Bir bilgisayar grubu için, Grup İlkesi Yönetim Konsolu (GPMC) kullanarak bir Grup İlkesi Nesnesi içinde kuralları yazabilirsiniz.
Not
GPMC, Windows’u sadece Uzak Sunucu Yönetim Araçları’nı yükleyerek çalıştıran istemci bilgisayarlarda kullanılabilir. Windows Server çalıştıran bilgisayarda Grup İlkesi Yönetimi özelliğini yüklemeniz gerekir.
Sunucu Çekirdeği üzerinde AppLocker kullanma
Windows PowerShell, AppLocker cmdlet’lerini ve bir GPO içinde yönetiliyorsa Grup İlkesi PowerShell cmdlet’lerini kullanarak Sunucu Çekirdeği yüklemelerinde AppLocker’ı yönetmek için kullanılabilir. Daha fazla bilgi için bkz. AppLocker PowerShell Komut Başvurusu.
Sanallaştırma hakkında dikkat edilmesi gerekenler
Daha önce listelenen tüm sistem gereksinimlerini karşıladığı sürece Windows’un bir sanallaştırılmış örneğini kullanarak AppLocker ilkelerini yönetebilirsiniz. Grup İlkesi’ni sanallaştırılmış bir örnek içinde de çalıştırabilirsiniz. Ancak, sanallaştırılmış örnek kaldırılır veya başarısız olursa oluşturduğunuz ve koruduğunuz ilkeleri kaybetme riskini alırsınız.
Güvenlik hakkında dikkat edilmesi gerekenler
Uygulama denetim ilkeleri, yerel bilgisayarda hangi programların çalışma izni olduğunu belirtir.
Kötü amaçlı yazılımların bürünebileceği şekillerin çeşitliliği, kullanıcıların neyi çalıştırmanın güvenli olduğunu bilmesini zorlaştırabilir. Kötü amaçlı bir yazılım etkinleştirildiğinde, bir sabit disk sürücüsünde bulunan içeriğe zarar verebilir, bir hizmet reddi (DoS) saldırısı yaparak ağı isteklerle doldurabilir, İnternete gizli bilgileri gönderebilir veya bir bilgisayarın güvenliğini tehlikeye atabilir.
Karşı önlem, kuruluşunuzdaki son kullanıcı bilgisayarlarında uygulamanız için sağlam bir tasarım oluşturmak ve ardından ilkeleri bir üretim ortamında dağıtmadan önce bir laboratuvar ortamında detaylı olarak test etmektir. Bilgisayarlarınızda hangi yazılımların çalışma izni olduğunu kontrol edebildiğiniz için AppLocker uygulama denetimi stratejinizin parçası olabilir.
Kusurlu bir uygulama denetimi ilkesi uygulaması, gerekli uygulamaları devre dışı bırakabilir veya kötü amaçlı veya istenmeyen yazılımların çalışmasına izin verebilir. Bu nedenle, kuruluşların bu gibi ilkeleri yönetmek ve sorunlarını gidermek için yeterli kaynak ayırması önemlidir.
Belirli güvenlik sorunları hakkında ek bilgi için bkz. AppLocker için Güvenlik Hakkında Dikkat Edilecek Noktalar.
Uygulama denetim ilkeleri oluşturmak için AppLocker’ı kullandığınızda aşağıdaki güvenlik hususlarını bilmeniz gerekir:
AppLocker ilkerini ayarlamaya kimin hakkı var?
İlkelerin zorlandığını nasıl doğruluyorsunuz?
Hangi olayları denetlemeniz gerekiyor?
Güvenlik planlamanızda başvuru için, aşağıdaki tablo AppLocker özelliği yüklü olan bir istemci bilgisayar için taban çizgisi ayarlarını tanımlar:
| Ayar | Varsayılan değer |
|---|---|
| Oluşturulan hesaplar | Yok |
| Kimlik doğrulama yöntemi | Geçerli değil |
| Yönetim arabirimleri | Microsoft Yönetim Konsolu eklentisini, Grup İlkesi Yönetimi’ni ve Windows PowerShell’i kullanarak AppLocker yönetilebilir |
| Açılan bağlantı noktaları | Yok |
| Gereken en az ayrıcalıklar | Yerel bilgisayarda yönetici; Etki Alanı Yöneticisi veya Grup İlkesi Nesneleri’ni oluşturmanıza, düzenlemenize ve dağıtmanıza olanak sağlayan herhangi bir hak kümesi |
| Kullanılan protokoller | Geçerli değil |
| Zamanlanmış Görevler | Appidpolicyconverter.exe, isteğe bağlı olarak çalışmak üzere zamanlanmış bir görevdir. |
| Güvenlik İlkeleri | Hiçbiri gerekli değil AppLocker güvenlik ilkeleri oluşturur. |
| Gerekli Sistem Hizmetleri | Uygulama Kimliği hizmeti (appidsvc) LocalServiceAndNoImpersonation altında çalışır. |
| Kimlik bilgilerini depolama | Yok |
AppLocker ilkelerinin korunması
AppLocker ilke yönetimi hakkında bilgi aşağıdaki konularda sağlanır:
Ayrıca bkz.
| Kaynak | Windows Server 2008 R2 ve Windows 7 | Windows Server 2012 R2, Windows Server 2012, Windows 8.1, ve Windows 8 |
|---|---|---|
| Ürün değerlendirmesi | Sık Sorulan Sorular AppLocker Adım Adım Kılavuzu |
Sık Sorulan Sorular AppLocker Adım Adım Kılavuzu |
| Yordamlar | AppLocker Çalışma Kılavuzu | AppLocker yönetme AppLocker ile paketlenmiş uygulamaları yönetme |
| Komut dosyası oluşturma | AppLocker Windows PowerShell cmdlet'lerini kullanma | AppLocker Windows PowerShell cmdlet'leri |
| Teknik içerik | AppLocker Teknik Başvurusu | AppLocker Teknik Başvurusu |
| Tasarım, planlama ve dağıtım | AppLocker İlkeleri Tasarım Kılavuzu AppLocker İlkeleri Dağıtım Kılavuzu |
AppLocker İlkeleri Tasarım Kılavuzu AppLocker İlkeleri Dağıtım Kılavuzu |