Applocker

AppLoker supone la evolución de Software Restricction policy, y está disponible en Windows 7 y W2008 R2 y nos permite decidir que aplicaciones puede usar un usuario

Si definimos directivas Applocker en una misma GPO que tiene SRP, las computadoras que tiene Windows 7 omitirán las SRP

Las reglas de AppLocker esta organizadas bajo colecciones de reglas (excutables, Windows installer y script). Las reglas de Applocker se deben pensar como un mecanismo para dar un permiso a alguien.

Es muy importante saber que si creamos una regla que permita al acceso a una cosa, implícitamente estamos denegando el acceso al resto de aplicaciones, incluido el sistema Operativo. Por eso, hay que tener mucho cuidado con las reglas AppLocker

Lo ideal es crear las reglas por defecto y luego hacer excepciones, o nuevas reglas que denieguen otras cosas, por ejemplo a todo el mundo menos al grupo helpdek

Con AppLocker podemos


 

Servicio en applocker

Para que AppLocker funcione en los clientes, el servicio Application Identity debe estar ejecutándose, y por defecto esta desactivado,


Así que, si implementamos Applocker por GPO a todos los usuarios Deberíamos implementar por GPO que se active el servicio eb security setting > system services


 

Una vez creada las reglas, cualquier aplicación que no esté implícitamente definida, ya no se podrá ejecutar. Por eso cuando se crea la primera regla (local policies) nos recomienda que se creen las reglas por defecto para que se pueda acceder a los ficheros del sistema

Como podemos ver, tenemos tres colecciones

  • Executable rules: para ejecutables
  • Windows Installer Rules: instalaciones msi
  • Script rule: ejecución de scripts

 

Reglas por defecto

En primer lugar debemos habilitar las reglas por defecto de las tres opciones, para que no nos cape el S.O a nosotros mismos o a los usuarios. Ya que creara reglas para ejecutar las aplicaciones

  • Executable rules: Como vemos nos habilita para todo el mundo que pùeda acceder a la carpeta Windows y program folders. Más adelante crearíamos las excepciones. No debemos alterar la tercera regla

 



  • Windows installer rules: nos hablita lo necesario


  • Script rules: Para scripts como pueden ser ps1, bat,vvbs, cmd, js


Aplicación de la regla

appLocker permite evaluar condiciones de los archivos ejecutables, instaladores y scripts en el momento de su ejecución

  • Publisher: analiza atributos como autor, nombre original, versión. Por ejemplo podemos denegar que se utilize una versión y sus versiones superiores en una aplicación
  • Path: lugar donde se ubica el software instalado
  • Hash: se basa en la huella de la aplicación

Crear una regla

Por ejemplo vamos a crear una regla que deniege a todo el mundo el usao de wordpad, excepto a los miembros del grupo “rrhh”

Sobre el ejecutable Ryles > new rule


Decidimos si queremos denegar o permitir. En nuestro caso es denegar a todo el munso


Seleccionamos el tipo de condición. Elegimos Publisher


Seleccionamos el fichero en el botón browse y decidimos si hacerlo por versión, nombre de archivo, etc.

  • Publisher: no funcionaría ninguna aplicación publicada por Microsoft
  • Product name: no funcionario por producto
  • File name: no funciona por nombre
  • File versión: por versión. Puede ser exacta, inferior o superior


Ahora tendríamos las excepciones basándose en Publisher, path o file hash


 

Generacion automática de reglas Applocker

Nos saldrá un asistente para crear las reglas necesarias con el nombre o path del archivo a analizar, un grupo de seguridad a quien se le aplicara la regla y en nombre a asignar al conjunto de reglas


Pasos:

En executable rules > automatic generate rules


Especificamos la carpeta a analizar y a que grupo se aplicara


Seleccionamos el tipo de regla que queremos crear


Empieza a generar la regla


Nos muestra el resumen y le damos a crear


 

Exportar AppLocker

Podemos importar/exportar estas reglas a formato XML


Be the first to comment

Leave a Reply