المقال المثبتمواضيع عامةمواضيع ومقالات

مقال: نظره على Windows app locker

تم أرشفة هذا المحتوى


Windows applocker هي الميزة التي قدمت في Windows 7  و Windows Server 2008 R2 كوسيلة للحد من استخدام التطبيقات  الغير مرغوب فيها .

يزود applocker الإداريين بميزة  تحديد المستخدمين الذين يمتلكون القدرة على  تشغيل تطبيقات محددة.

وقد تم تصميم AppLocker ليحل محل البرنامج المقيدة ذات سياسات الخصوصية .

وهو يعتبر أداة قوية لجعل بيئات العمل أكثر أمانا. ولكن غالبا ما تسمع شكاوى أنه ليس مرنا بما فيه الكفاية بالنسبة لمعظم المنظمات. من ناحية أخرى فإنه الأداة التي يمكن استخدامها من قبل المستخدمين المنزلين المتطورين على حد سواء.

 

secpol

ما هو الأساس الذي تقوم عليه القواعد الخاصة بنا؟:


 

من جهة، Windows  AppLocker يعمل فقط على أنواع معينة من الملفات وليس جميعها . يمكن انشاء  قواعد الملفات مع هذه الملحقات:

  • exe  and com  :Executables
  • Js, ps1, vbs, cmd and bat  :Scripts
  • msi and msp  :Windows installer files
  • dll and ocx :Dynamic-link libraries   (يجب تمكين مجموعة القواعد هذه حيث انها لا تكون ممكنة افتراضيا)
  • aappx  :Packaged  app Rules  windows 8 &  10 only

   يمكن ان تعتمد القواعد على العديد من  خصائص الملفات، على سبيل المثال اسم الملف او  اسم المنتج  أو ” تم توقيعه من قبل.. “. وحتى  عن طريق ال   file-hash إذا كان الملف ليس موقعاً . ومن ناحية أخرى، يمكن للقواعد الاستناد إلى مجموعات المستخدمين أو على المستخدمين الفرديين.  الأنواع الأساسية  من القواعد يمكن تعريفها ب  black- white -lists ، ولكن مع استخدام الاستثناءات يمكن تحويلها بسهولة إلى شيء أكثر  قوة من ذلك بقليل

 

blockedmanually

 طرق الإستخدام :


   كما قد وجد بعض مسؤولي النظام ، أنه  يمكنك على الفور فرض القواعد الخاصة بك والحصول على واجهة بعض المستخدمين  المستائين للغاية ألذين لم يعد بإمكانهم استخدام برامجهم المفضلة بعد الآن  . وتخطي التعرض  لهذه الحوادث يكون  من  خلال فرض مجموعة من القواعد ذات وسيلة واحدة للاستخدام، وهناك أيضا ما يسمى Audit” mode” : عندما يتم تعيين مجموعة القواعد الى

 Audit Only” mode”، بدلا من فرض القواعد فإن المعلومات المتعلقة بالقاعدة والتطبيق  يتم كتابتها  في سجل أحداث AppLocker. وعلى حد سواء  يتم استخدام Audit” mode”  في محاولات التنبؤ بتأثير  القواعد قبل فرضها وللكشف عن التطبيقات القيد الاستخدام. معرفة اي  التطبيقات نشطة أزال الحجاب عن الكثير من النشاطات  وحتى أنه ادى إلى اكتشاف البرامج الضارة النشطة  

قواعد الإنشاء :


      AppLocker Microsoft Management  ” MMC” Consol snap-in   هي وحدة التحكم المخصصة لإنشاء القواعد. لفتح الأداة الإضافية snap-in يمكنك تشغيل “secpol.msc” وانتقل إلى “سياسات التحكم في التطبيق” وحدد “AppLocker”. الآن يمكنك تحديد نوع  القواعد الذي ترغب في إنشائه عن طريق تحديد الفئة في الجهة اليمنى

filetypes

بالنقر بزر الماوس الأيمن في حقل النتائج يمكنك اختيار “إنشاء قاعدة جديدة”.

newrule

امثلة:


دعونا ننشئ قاعدة كمثال على ذلك. سنستخدم البرنامج الخبيث الذي يصف هنا نقطة الانطلاق وسنحاول منعه من التشغيل. يرجى ملاحظة أن القواعد يتم فرضها افتراضيا، وإذا كنت جديدا على ذلك، قم بتجربته  في Audit mode  أولا. سيكون هدفنا هو منع الملفات التنفيذية التي تبقيها البرمجيات الخبيثة في ملف  “C:\a“. الخطوات المذكورة هنا تأتي بعد اختيار “إنشاء قاعدة جديدة” تحت عنوان “قواعد للتنفيذ

يمكنك بسرعة قراءة شاشة  “Before you start ” . بما اننا نحاول وقف البرامج الضارة فلن “نثبت التطبيقات التي نرغب في إنشاء قواعد لها  على هذا الكمبيوتر”، انقر فوق “Next” عند الانتهاء من القراءة.

 

example1

 

في شاشة “permissions ” نحن بصدد التحقق من “Deny” و “Everyone ” لأننا نريد أن يتوقف شيء بغض النظر عمن يعطي ألاوامر لذلك

 

example2

 

انقر على زر “Next” للانتقال إلى شاشة “conditions “، حيث سوف نتحقق من  “path” وننقر على زر “Next”

 

example3

 

وبما أننا لم نقم بتثبيت البرامج الضارة سيكون علينا ملئ المسار يدويا. ونصيحتنا هي النقر فوق ” “…Browse Folders ” واختيار “القرص المحلي   ”  (:C)”. ثم اضف يدويا “a \”  ما بين المسارات الناتجة، بحيث يبدو المسار الكامل كهذا القبيل:      “٪ OSDRIVE٪ \ A \ *”. وهذا يعني أن كل ملف قابل للتنفيذ في المجلد “a” أو أي من مجلداته الفرعية سيتم إيقاف تشغيله.

 

example4

 

انقر على زر “Next” و افعل الشيء نفسه في شاشة “Exceptions ” حيث اننا  لن نضيف أي استثناءات

 

example5

 

في  شاشة “Name anf Description ” يمكنك تسمية القاعدة مما يجعل استكشافها أسهل إذا كان لديك الكثير من القواعد وحتى انه يتم حظر أي  شيء غير مرغوب فيه. انقر فوق “Create ” لاستكمال عملية إنشاء القاعدة الجديدة

 

example6

 

إذا كانت هذه القاعدة الأولى لك فسوف يسألك  إذا كنت ترغب في إنشاء قواعد افتراضية أيضا. لهذا ينصح  بها لأنها مصممة لمنعك من إخراج  نفسك من البرامج والتطبيقات التي قد تحتاجها.

 

example7

 

وسوف نرى الآن القواعد التي تم إنشاؤها حديثا في شاشة “Local Security Policy ”

 

example8

 

ولكن الأمر لم ينته بعد. لفرض القواعد فإن تطبيق Identityservice  يحتاج إلى التشغيل. إذا لم يكن نشطا،  قم بتشغيل “services.msc” اعثر على الخدمة و”ابدأها” . إذا كنت تريد يمكنك النقر بزر الماوس الأيمن فوق الخدمة، واختر “properties ” وحدد “Automatic   “كنوع بدء التشغيل”. وهذا سيوفر عليك الجهد من الحاجة إلى القيام بذلك يدويا في كل مرة. ولوضع اللمسات الأخيرة تحتاج إلى تشغيل الأمر “GPUPDATE” من شاشة “Run” أو من “Commands promote ” لتحديث السياسات.

 

example9

 

بعد تشغيل مثبت البرمجيات الخبيثة يمكن أن نرى في  “Eventviewer” > “Applications and Services Logs” > Microsoft” > “Windows” > “AppLocker” > “EXE and DLL”

أنه على الرغم من اننا تركنا المثبت يضع جميع ملفاته  في a folder فقد تم منع العنصر الرئيسي “WINCHECKFE.EXE” من التشغيل. 

 

 

blocked1

 

blocked2

 

الملخص:


تحدثنا بإختصار عن الإمكانيات  التي يوفرها applocker Windows  . وقمنا بمناقشة الخيارات و short-comings ، على أمل ان  نعطيك فكرة ما إذا كان يمكنك استخدامها. وأيضا قدمنا  مثالاً خطوة بخطوة  عن كيفية إنشاء واستخدام القاعدة.

ترجمة لمقال : Windows AppLocker: An Introduction

isecur1ty

مجتمع عربي للهاكر الأخلاقي وخبراء الحماية يركّز على مفهوم اختبار الاختراق وجديد أخبار الحماية

مقالات ذات صلة

تعليق واحد

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

زر الذهاب إلى الأعلى