AppLocker: jak efektivně blokovat aplikace ve Windows 7

Nový operační systém Windows 7 přijde s možností blokovat spouštění aplikací ve vylepšené podobě, než jakou nabízely Windows Vista. Vyzkoušejte, jak se pracuje s novým nástrojem AppLocker.

Dopředu upozorňuji, že následující řádky jsou určeny pouze zkušeným a pozorným uživatelům Windows. Při nevhodně upraveném nastavení na základě následujícího návodu by se vám mohlo stát, že se nedostanete do systému, nebo že bude blokováno spouštění vašich oblíbených programů.

Proč vůbec blokovat aplikace? Na domácím počítači to snad ani nemá smysl, a to ani v případě, kdy se u něj střídáte s více členy rodiny. Ve firemním nasazení samozřejmě využití najdete. Applocker z Windows 7 rozšiřuje možnosti blokování programů i podle jejich výrobce, jak uvidíte dále.

Blokování programů ve Windows Vista

Abychom mohli dostatečně ocenit výhody a novinky v AppLockeru, je třeba si připomenout, jak funguje blokování aplikací ve Windows Vista. Podobně by na tom měly být i Windows XP.

Ve Windows Vista spusťte pomocí nabídky start Editor zásad místních skupin - gpedit.msc. Rozklepněte Konfigurace počítače, Nastavení systému Windows, Nastavení zabezpečení. Pravým tlačítkem klepněte na Zásady omezení softwaru a vyberte funkci Nové zásady omezení softwaru. Přibude zde několik dalších položek.

Pravým tlačítkem myši klepněte na Další pravidla. Vyberte Nové pravidlo algoritmu hash. V dialogu tlačítkem procházet vyberte spustitelný soubor, který chcete blokovat a nabídku Úroveň zabezpečení ponechejte nastavenu na hodnotě Nepovoleno. Nastavení potvrďte tlačítkem OK. Z nabídky Start spusťte program gpupdate, počkejte na dokončení aktualizace zásad zabezpečení a restartujte počítač.

Editor zásad místních skupin ve Windows Vista

Editor zásad místních skupin ve Windows Vista

Pokud se nyní pokusíte spustit vybranou aplikaci, tak se vám to nepodaří. Pravidlo zrušíte jeho smazáním z okna Editoru místních skupin. Nastavení pravidla na základě hashovaní funkce je asi nejúčinnějším. Kromě toho Windows Vista nabízí blokování dle cesty (pak soubor stačí zkopírovat jinam), nebo na základě zóny, se kterou program komunikuje v síti. Nevýhodou hashe je skutečnost, že po změně souboru, například po aktualizaci, už pravidlo nebude fungovat - struktura souboru se změní.

AppLocker ve Windows 7

Nová funkce AppLocker ve Windows 7 nabízí něco podobného, ale přidává navíc možnost blokování aplikací dle informací o vydavateli nebo podle verze softwaru. Pokud například budete chtít zablokovat všechny aplikace od Mozilly, nebude nutné jednu po druhé instalovat a poté blokovat jejich spuštění. Stačí z jednoho spustitelného souboru získat informace o příslušném vydavateli. Stejně tak můžete zablokovat spouštění starých verzí programů.

Ve Windows 7 spusťte pomocí nabídky Start ovládací panel secpol.msc - Místní zásady zabezpečení. Můžete se podívat, že jsou zde stále Zásady zabezpečení softwaru, teď nás však bude zajímat položka Zásady řízení aplikací, kterou rozklepněte a poté rozbalte v ní ukrytý AppLocker.

Podobně jako podobný nástroj ve Windows Vista používá AppLocker tři druhy pravidel - hashování, cestu a nově pravidlo podle vydavatele. Pravidla lze nastavovat pro spustitelné soubory, skripty, instalátory a systémové knihovny.

Pravým tlačítkem klepněte na Pravidla pro spustitelné soubory a vyberte funkci Vytvořit výchozí pravidla.

Nyní je potřeba spustit službu AppID Service. Ta je standardně zastavena, abyste si omylem nezavřeli cestu k používání systému. Spustíte ji tak, že pomocí nabídky Start vyvoláte správce služeb (services.msc) a spustíte službu Identita aplikace (v anglické verzi AppID).

Vraťte se do Místních zásad zabezpečení, klepněte pravým tlačítkem na Pravidla pro spustitelné soubory a vyberte funkci Vytvořit nové pravidlo. V průvodci se přepněte na Další kartu. Jako Akci zvolte Odepřít a klepněte na Další. Ponechejte definici pravidla podle Vydavatele a opět klepněte na Další. Tlačítkem Procházet vyberte Referenční soubor - například firefox.exe.

Nastavení pravidel pro AppLocker ve Windows 7

Nastavení pravidel pro AppLocker ve Windows 7

Pomocí svislého táhla nastavte, podle které informace budete chtít podobné soubory blokovat. Můžete blokovat soubory podle vydavatele, názvu produktu, názvu souboru nebo podle jejich verze.  U té se zastavím. Když zapnete volbu Použít vlastní hodnoty, můžete zadat číslo verze, kterou (a třeba všechny nižší) nepůjde spustit.

Dokončete průvodce a vytvořte nové pravidlo. Nyní zkuste spustit zablokovanou aplikaci nebo podobnou, která by měla vyhovět pravidlu na blokování.

AppLocker blokuje spouštěnou aplikaci ve Windows 7

AppLocker blokuje spouštěnou aplikaci ve Windows 7

AppLocker je zajímavou novinkou, která vylepšuje možnosti blokování aplikací podle různých pravidel. Její nastavení je však třeba volit obezřetně. Nezapomeňte, že musí být spuštěna potřebná služba Identita aplikace, jinak pravidla definovaná AppLockerem nebudou fungovat. Služba normálně nestartuje automaticky, Doporučuji ji tak nastavit až poté, co pečlivě vyzkoušíte definovaná pravidla.

Poznámka na závěr: Výše uvedený postup a popis odpovídá Windows 7 RC build 7100. Ve starších sestaveních ještě nebyl AppLocker k dispozici. Novější sestavení jsem nezkoušel, ovšem může se stát, že z nějakých důvodů může AppLocker aplikaci dovolit spuštění, i když máte pravidlo definované správně a službu AppID spuštěnou. Ve finálním sestavení systému by se to samozřejmě stát nemělo.

Buďme ve spojení, přihlaste se k newsletteru

Odesláním formuláře souhlasíte s podmínkami zpracováním osobních údajů. 
Více informací v Ochrana osobních údajů.

Autor článku: Jan Polzer

Tvůrce webů z Brna se specializací na Drupal, WordPress a Symfony. Acquia Certified Developer & Site Builder. Autor několika knih o Drupalu.
Web Development Director v Lesensky.cz. Ve volných chvílích podnikám výlety na souši i po vodě. Více se dozvíte na polzer.cz a mém LinkedIn profilu.

Komentáře k článku

návštěvník

Neví někdo z vás, kdo používá applocker, jak zakázat přístup do složky, třeba je tam text ve wordu, ale nelze zablokovat office pro další uživatele aby to neotevřel jen v mý složce, díky za odpověď.

kdyžtak email Floryk4@seznam.cz

 

Přidat komentář

Odesláním komentáře souhlasíte s podmínkami Ochrany osobních údajů

reklama
Moje kniha o CMS Drupal

 

Kniha 333 tipů a triků pro Drupal 9


Více na KnihyPolzer.cz

Sledujte Maxiorla na Facebooku

Maxiorel na Facebooku

Poslední komentáře
Hosting pro Drupal a WordPress

Hledáte český webhosting vhodný nejenom pro redakční systém Drupal? Tak vyzkoušejte Webhosting C4 za 1200 Kč na rok s doménou v ceně, 20 GB prostoru a automatické navyšováním o 2 GB každý rok. Podrobnosti zde.

@maxiorel na Twitteru

Maxiorel na Twitteru