Daftar putih aplikasi di Windows 7 dan Windows Server 2008 R2

AppLocker Microsoft, fitur kontrol aplikasi yang disertakan dalam Windows 7 dan Windows Server 2008 R2, merupakan penyempurnaan dari Software Restriction Policies (SRP) yang diperkenalkan dengan Windows XP Professional. AppLocker memungkinkan aturan eksekusi aplikasi dan pengecualiannya untuk ditentukan berdasarkan atribut file seperti jalur, penerbit, nama produk, nama file, versi file, dan sebagainya. Kebijakan kemudian dapat ditetapkan ke komputer, pengguna, grup keamanan, dan unit organisasi melalui Active Directory.

Pelaporan dibatasi pada apa yang dapat ditarik dari file log, dan membuat aturan untuk jenis file yang tidak ditentukan di AppLocker bisa jadi sulit. Tetapi kelemahan terbesar AppLocker adalah terbatas pada klien Windows 7 Enterprise, Windows 7 Ultimate, dan Windows Server 2008 R2. Windows 7 Professional dapat digunakan untuk membuat kebijakan, tetapi tidak dapat menggunakan AppLocker untuk menegakkan aturan itu sendiri. AppLocker tidak dapat digunakan untuk mengelola versi Windows sebelumnya, meskipun SRP dan AppLocker Windows XP Pro dapat dikonfigurasi dengan cara yang sama untuk mempengaruhi kebijakan di seluruh perusahaan.

[Baca ulasan Pusat Pengujian tentang solusi daftar putih aplikasi dari Bit9, CoreTrace, Lumension, McAfee, SignaCert, dan Microsoft. Bandingkan solusi daftar putih aplikasi ini berdasarkan fiturnya. ]  

AppLocker dapat dikonfigurasi secara lokal menggunakan objek Kebijakan Komputer Lokal (gpedit.msc) atau menggunakan Direktori Aktif dan Objek Kebijakan Grup (GPO). Seperti kebanyakan teknologi Microsoft Active Directory terbaru, administrator memerlukan setidaknya satu komputer Windows Server 2008 R2 atau Windows 7 yang bergabung dengan domain untuk menentukan dan mengelola AppLocker. Komputer Windows 7 akan memerlukan fitur konsol Manajemen Kebijakan Grup yang diinstal sebagai bagian dari Alat Administrasi Server Jarak Jauh (RSAT) untuk Windows 7 (dapat diunduh gratis). AppLocker mengandalkan layanan Identitas Aplikasi bawaan, yang biasanya diatur ke jenis pengaktifan manual secara default. Administrator harus mengkonfigurasi layanan untuk memulai secara otomatis.

Dalam objek kebijakan lokal atau grup, AppLocker diaktifkan dan dikonfigurasi di bawah wadah \ Konfigurasi Komputer \ Pengaturan Windows \ Pengaturan Keamanan \ Aplikasi Kontrol Kebijakan [gambar layar].

Secara default, saat diaktifkan, aturan AppLocker tidak mengizinkan pengguna untuk membuka atau menjalankan file apa pun yang tidak diizinkan secara khusus. Penguji pertama kali akan mendapatkan keuntungan dengan mengizinkan AppLocker membuat sekumpulan "aturan aman" default menggunakan opsi Buat Aturan Default. Aturan default mengizinkan semua file di Windows dan File Program untuk berjalan, bersama dengan mengizinkan anggota grup Administrator untuk menjalankan apa pun.

Salah satu peningkatan paling penting atas SRP adalah kemampuan untuk menjalankan AppLocker terhadap komputer yang berpartisipasi menggunakan opsi Automatically Generate Rules [gambar layar] untuk dengan cepat menghasilkan seperangkat aturan dasar. Dalam beberapa menit, lusinan hingga ratusan aturan dapat dibuat terhadap citra bersih yang diketahui, menghemat administrator AppLocker di mana saja dari jam kerja hingga hari kerja.

AppLocker mendukung empat jenis kumpulan aturan: Executable, DLL, Windows Installer, dan Script. Administrator SRP akan melihat bahwa Microsoft tidak lagi memiliki aturan registri atau opsi zona Internet. Setiap kumpulan aturan mencakup sekumpulan jenis file yang terbatas. Misalnya, aturan yang dapat dieksekusi mencakup 32-bit dan 64-bit .EXEs dan .COMs; semua aplikasi 16-bit dapat diblokir dengan mencegah proses ntdvm.exe dijalankan. Aturan skrip mencakup jenis file .VBS, .JS, .PS1, .CMD, dan .BAT. Kumpulan aturan DLL mencakup .DLL (termasuk pustaka yang ditautkan secara statis) dan OCX (Ekstensi Kontrol Penyematan dan Penautan Objek, alias kontrol ActiveX).

Jika tidak ada aturan AppLocker untuk kumpulan aturan tertentu, semua file dengan format file tersebut diizinkan untuk dijalankan. Namun, saat aturan AppLocker untuk kumpulan aturan tertentu dibuat, hanya file yang diizinkan secara eksplisit dalam aturan yang diizinkan untuk dijalankan. Misalnya, jika Anda membuat aturan yang dapat dijalankan yang memungkinkan file .exe di % SystemDrive% \ FilePath untuk dijalankan, hanya file yang dapat dijalankan yang terletak di jalur tersebut yang diizinkan untuk dijalankan.

AppLocker mendukung tiga jenis ketentuan aturan untuk setiap kumpulan aturan: Aturan Jalur, Aturan Hash File, dan Aturan Penerbit. Ketentuan aturan apa pun dapat digunakan untuk mengizinkan atau menolak eksekusi, dan dapat ditentukan untuk pengguna atau grup tertentu. Aturan hash Path dan File cukup jelas; keduanya menerima simbol kartu liar. Aturan penerbit cukup fleksibel dan memungkinkan beberapa bidang dari file yang ditandatangani secara digital untuk dicocokkan dengan nilai tertentu atau kartu liar. Dengan menggunakan bilah geser yang nyaman di AppLocker GUI [gambar layar], Anda dapat dengan cepat mengganti nilai tertentu dengan kartu liar. Setiap aturan baru dengan mudah memungkinkan satu atau beberapa pengecualian dibuat. Secara default, aturan Publisher akan memperlakukan versi file yang diperbarui sama seperti aslinya, atau Anda dapat menerapkan pencocokan persis.

Perbedaan penting antara AppLocker dan yang disebut kompetitor adalah bahwa AppLocker benar-benar sebuah layanan, sekumpulan API dan kebijakan yang ditentukan pengguna yang dapat dihubungkan dengan program lain. Microsoft mengkodekan Windows dan penerjemah skrip bawaannya untuk berinteraksi dengan AppLocker sehingga program tersebut (Explorer.exe, JScript.dll, VBScript.dll, dan seterusnya) dapat menerapkan aturan yang telah ditentukan oleh kebijakan AppLocker. Ini berarti AppLocker benar-benar merupakan bagian dari sistem operasi dan tidak mudah dielakkan ketika aturan ditetapkan dengan benar.

Namun, jika Anda perlu membuat aturan untuk jenis file yang tidak ditentukan dalam tabel kebijakan AppLocker, diperlukan kreativitas untuk mendapatkan efek yang diinginkan. Misalnya, untuk mencegah file skrip Perl dengan ekstensi .PL dijalankan, Anda harus membuat aturan yang dapat dijalankan yang memblokir penerjemah skrip Perl.exe. Ini akan memblokir atau mengizinkan semua skrip Perl dan membutuhkan beberapa sumber daya untuk mendapatkan kontrol yang lebih baik. Ini bukan masalah unik, karena sebagian besar produk dalam ulasan ini memiliki jenis batasan yang sama.

Konfigurasi dan aturan AppLocker dapat dengan mudah diimpor dan diekspor sebagai file XML yang dapat dibaca, aturan dapat dengan cepat dihapus dalam keadaan darurat, dan semuanya dapat dikelola menggunakan Windows PowerShell. Pelaporan dan peringatan dibatasi pada apa yang dapat ditarik dari log kejadian normal. Tetapi bahkan dengan batasan AppLocker, label harga Microsoft - gratis, jika Anda menjalankan Windows 7 dan Windows Server 2008 R2 - dapat menjadi daya tarik yang kuat untuk toko-toko Microsoft terkini.

Kisah ini, "Daftar putih aplikasi di Windows 7 dan Windows Server 2008 R2," dan ulasan tentang lima solusi daftar putih untuk jaringan perusahaan, awalnya diterbitkan di .com. Ikuti perkembangan terbaru dalam keamanan informasi, Windows, dan keamanan titik akhir di .com.