Merhabalar ;
Bu dökümanımda sizlere Applocker nedir ve nasıl yapılandırıldığından bahsediyor olacağım. Applocker nedir sorusuna cevap vermekle başlarsak ,Applocker bize kullanıcı veya grup bazlı uygulamaları veya programları yasaklama imkanı verir.Yasaklama yaptığı gibi izin de verme imkanınız var tabi ki Örneğin işletmenizde kullanıcılarınız çok fazla film izlediğini varsayalım ve mediaplayer yasaklamak istiyorsunuz , Applocker sayesinde bunu yapmanız mümkün veya herhangi bir programın yalnızca belirli sürümüne izin verebiliriz.Biz örneğimizde paint programının yasaklanmasını görüyor olacağız zaten diğer uygulamalar içinde temeldeki mantık aynı .
İlk olarak Dashboard açıyoruz ;
Daha sonra Tools sekmesi altında yer alan Group Policy Management açıyoruz.
Ben örneğim için TAT adında OU yarattım ve örneğim için kullanacağım bilgisayarımı TAT OU altına taşıdım. Daha sonra ise Create a GPO in this domain, and Link it here
seçiyorum.
Computer Configuration tanımlayacağız. Bunun için şu adımları izlemeliyiz ;
Policies > Windows Settings > Security Settings > Application Control Policies > Applocker
Uzantısı exe olan bir programı yasaklayacağımız için Executables Rules tanımlıyoruz.
Create New Rule dedikten sonra bize yapacağımız işlemi soruyor,biz yasaklama yapmak istediğimiz için Deny seçiyoruz ve bu yasaklama kimlere uygulanacak onu belirliyoruz. Herkese uygulanmasını istediğim için Everyone seçiyorum.
Bu adımda karşımıza üç seçenek geliyor ;
Publisher : Uygulama bir yayıncıya bağlıysa bu seçenek tercih edilebilir. (Microsoft, Adobe gibi)
Path : Bu seçenek genelde ,eğer yasaklanacak bir klasör ise tercih edilir.
File Hash : Belirli bir dosyaya veya klasöre kural uygulamak isterseniz tercih edebilirsiniz.
Publisher kısmında yayıncının kim olduğunu görüyoruz. Browse ile neyi yasaklayacaksak onu seçiyoruz. Paint ( C:\Windows\\System32\mspaint.exe). Publisher olarak devam etmenin güzel bir avantajı ise kuralı esnetip daraltabiliyor olmamızdır. Ben bütün paint versiyonları yasaklanmasını istediğim için sol taraftaki imleci yukarı çıkardım ve File Versions : * oldu veya alt versiyon üst versiyonları olarak da yasaklama kapsamımı değiştirebilirdim. Bunun bize ne avantajı olur dersek ,şöyle düşünelim işletmemizde kullandığımız bir program olsun ve bu programın yeni versiyonu çıktı fakat yazılım açığının çok fazla olduğu biliniyor.Sizde özellikle o versiyonun çalışmasını istemiyorsanız burada belirleyebilirsiniz.
Daha sonra kuralımızın başarılı şekilde tanımlandığını görüyoruz
Son yapmamız gereken ise Applocker için olan bir servisi tetiklemek olacak ; bunun için
Services.msc > Application Identity açıyoruz. Startup Type Manuel’ den Automatic konumuna getirip servisi başlatıyoruz. ( GPO ile bunu yapılandırmak daha mantıklı )
Bildiğiniz üzere GPO oluşturduğunuzda Client makinaların bunu algılaması gerekmektedir. Bunun için gpupdate /force komutunu kullanıyoruz , fakat bu kural bilgisayara atandığı için Client makinamızı Restart etmemiz gerekiyor.
Client makinamı Restart ettim ve paint programını çalıştırmak istediğimde programın bloke edildiğini söylüyor.
Umuyorum Faydası dokunmuştur
Hasan DİMDİK
