Desktop systémy Microsoft Windows

Podobné dokumenty
Desktop systémy Microsoft Windows

Desktop systémy Microsoft Windows

Správa stanic a uživatelského desktopu

Desktop systémy Microsoft Windows

Desktop systémy Microsoft Windows

Desktop systémy Microsoft Windows

Desktop systémy Microsoft Windows

Komu je tato kniha určena? Jak je kniha uspořádána? Konvence použité v té to knize. Část i základy Microsoft Windows XP Professional

Serverové systémy Microsoft Windows

Desktop systémy Microsoft Windows

Desktop systémy Microsoft Windows

Podzim Boot možnosti

Active Directory organizační jednotky, uživatelé a skupiny

Ope p r e a r čn č í s ys y té t m é y y Windo d w o s Stručný přehled

Desktop systémy Microsoft Windows

Registr práv a povinností

Serverové systémy Microsoft Windows

Windows 2008 R2 - úvod. Lumír Návrat

Řízení přístupu ke zdrojům Auditování a právní odpovědnost Vlastní nastavení, personalizace Více relací zároveň

INSTALACE SOFTWARE PROID+ NA MS WINDOWS

Téma 3: Správa uživatelského přístupu a zabezpečení I. Téma 3: Správa uživatelského přístupu a zabezpečení I

Instalace certifikátu

Správa zařízení Scan Station Pro 550 a Servisní nástroje zařízení Scan Station

Místo plastu lidská dlaň

Konfigurace Windows 7

Důvěryhodná výpočetní základna v prostředí rozsáhlých IS státní správy

Desktop systémy Microsoft Windows

ČSOB Business Connector

Middleware eop. Instalační příručka pro práci s eop v prostředí MS Windows

Manuál pro práci s kontaktním čipem karty ČVUT

Registr práv a povinností

Gymnázium a Střední odborná škola, Rokycany, Mládežníků 1115

Doporučené nastavení prohlížeče MS Internet Explorer 7 a vyšší pro Max Homebanking PS s využitím čipové karty

Aplikace a služba Money Dnes Publisher v deseti krocích

Desktop systémy Microsoft Windows

Serverové systémy Microsoft Windows

Testovací protokol USB Token Cryptomate

Programové vybavení OKsmart pro využití čipových karet

Desktop systémy Microsoft Windows

Stručný Obsah. IntelliMirror, 1. část: Přesměrování složek, Soubory offline, Správce synchronizace a Diskové kvóty 349

Obsah. 1. Co byste měli vědět před spuštěním instalace Spuštění instalace Průběh instalace Odinstalování, změna instalace...

Po přihlášení do Osobní administrativy v Technologie a jejich správa vybereme položku Certifikáty bezdrátové sítě (Eduroam).

Middleware eop. Instalační příručka pro práci s eop v prostředí MS Windows

Konfigurace pracovní stanice pro ISOP-Centrum verze

ČÁST 1 ÚVOD. Instalace operačního systému 21 Aktualizace operačního systému 57 Příkazový řádek 77 Windows Script Host 103 ČÁST 2 ŘEŠENÍ

Windows Server 2003 Active Directory GPO Zásady zabezpečení

APS 400 nadministrator

Návod pro Windows 7.

INSTALAČNÍ MANUÁL. TME gadget

Bezpečn č os o t t dat

Po přihlášení do Osobní administrativy v Technologie a jejich správa vybereme položku Certifikáty bezdrátové sítě (Eduroam).

Kerio VPN Client. Kerio Technologies

Obsah. Úroveň I - Přehled. Úroveň II - Principy. Kapitola 1. Kapitola 2

Kerio VPN Client. Kerio Technologies

Proč počítačovou sí? 9 Výhody sítí 9 Druhy sítí 9. Základní prvky sítě 10 Vybavení počítače 10 Prvky sítě mimo PC 10 Klasické dělení součástí sítí 10

Desktop systémy Microsoft Windows

Testovací protokol. webový generátor PostSignum. sada PIIX3; 1 GB RAM; harddisk 20 GB IDE OS: Windows Vista Service Pack 2 SW: Internet Explorer 9

HP ProtectTools Uživatelská příručka

HP ProtectTools Uživatelská příručka

Předpoklady správného fungování formulářů

Uživatelská dokumentace

Instalace pluginů pro formuláře na eportálu ČSSZ

I.CA SecureStore Uživatelská příručka

Testovací protokol USB token etoken PRO 32K

Úvod 17 ČÁST 1. Kapitola 1: Principy návrhu doménové struktury služby Active Directory 21

1. Obecná konfigurace autentizace osob. 2. Konfigurace klienta Windows Vista

Google Apps. Administrace

Bezpečná autentizace přístupu do firemní sítě

9. Sítě MS Windows. Distribuce Windows. Obchodní označení. Jednoduchý OS pro osobní počítače, pouze FAT, základní podpora peer to peer sítí,

Vzdálené připojení do sítě ČEZ VPN Cisco AnyConnect

Serverové systémy Microsoft Windows

Národní elektronický nástroj. Principy práce s certifikáty v NEN

Šachmatky Resortní část

Desktop systémy Microsoft Windows

Edu-learning pro školy

MS Windows 7. Milan Myšák. Příručka ke kurzu. Milan Myšák

O b s a h ÚVOD. Kapitola 1 HARDWAROVÉ PRVKY SÍTÍ

Fides Software Storage Administrator

Aktivace RSA ověření

Testovací protokol čipová karta etoken PRO SmartCard 32K

Návod na nastavení sítě Eduroam v prostorách 3.LF

POČÍTAČOVÉ SÍTĚ A KOMUNIKACE

Testovací protokol čipová karta Oberthur Id-One Cosmo V5.4

Část 1. Instalace, plánování a správa. Část 2. Vyhledávání prostředků, instalace klientů a vzdálené řízení. Část 3. Správa softwaru a balíčků.

Instalace Windows 2012 Správa účtů počítačů

ZÁKLADNÍ POKYNY PRO INSTALACI PROID+ Z INSTALAČNÍHO MÉDIA

Sběr informačních povinností regulovaných subjektů. Návod na instalaci certifikátů a nastavení prohlížeče. Verze: 2.1

Úvod Ovládáme základní nástroje 17

INSTALACE SW PROID+ V OS WINDOWS

Software602 FormApps Server

Návod pro připojení do pevné sítě na kolejích, učebnách a v kancelářích Univerzity Pardubice

Certifikační autorita EET Modelové postupy vytvoření souboru žádosti o certifikát

TACHOTel manuál 2015 AURIS CZ

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Návod na nastavení připojení k bezdrátové síti eduroam

PKI a čipové karty. Poskytovatel certifikačních služeb MPSV

registrace Fyzické (tj. MAC) adresy

Téma 11: Instalace a práva programů. Téma 11: Instalace a práva programů

1. Administrace služby Bezpečný Internet přes webovou aplikaci WebCare GTS

Obnova certifikátu. Úvod. Proč obnovit certifikát? Kdy obnovit certifikát? Které certifikáty obnovit? Jak obnovit certifikát na kartě ProID+ esign?

Transkript:

Desktop systémy Microsoft Windows IW1/XMW1 2016/2017 Jan Fiedor ifiedor@fit.vutbr.cz Fakulta Informačních Technologií Vysoké Učení Technické v Brně Božetěchova 2, 612 66 Brno Revize 8. 11. 2016 8. 11. 2016 Jan Fiedor UITS FIT VUT Brno 1 / 45

Autentizace a autorizace, UAC, omezování aplikací Řízení uživatelských účtů (UAC) 8. 11. 2016 Jan Fiedor UITS FIT VUT Brno 2 / 45

Řízení uživatelských účtů (UAC) Řízení uživatelských účtů UAC (User Account Control) Umožňuje zvyšování (elevaci) oprávnění Zvyšuje bezpečnost systému Explicitní souhlas / zadání pověření (credentials) Úkony, které vyžadují zvýšení oprávnění graficky odlišeny ikonou štítu Dvě úrovně nastavení Základní nastavení v ovládacích panelech Pokročilé nastavení v zásadách skupiny 8. 11. 2016 Jan Fiedor UITS FIT VUT Brno 3 / 45

Řízení uživatelských účtů (UAC) Výzvy k zadání souhlasu a pověření 8. 11. 2016 Jan Fiedor UITS FIT VUT Brno 4 / 45

Řízení uživatelských účtů (UAC) Zvyšování (elevace) oprávnění Proces zpřístupnění oprávnění správce uživateli Všichni přihlášení uživatelé (včetně správců) běží s oprávněními standardního uživatele Vždy pouze pro konkrétní úkon (např. spuštění programu, změnu nastavení systému, ) Oprávnění pro ostatní úkony musí být zvýšeny zvlášť Režim schválení správce (Admin Approval mode) Správce musí explicitně potvrdit zvýšení oprávnění Potvrzení formou souhlasu nebo zadání pověření 8. 11. 2016 Jan Fiedor UITS FIT VUT Brno 5 / 45

Řízení uživatelských účtů (UAC) Standardní uživatel Přístupový token s oprávněními správce (jiný uživatel) Zvýšení oprávnění (Zadání pověření) Správa počítače (compmgmt.msc) Přihlášení Spuštění Přístupový token s oprávněními standardního uživatele Plocha (explorer.exe) 8. 11. 2016 Jan Fiedor UITS FIT VUT Brno 6 / 45

Řízení uživatelských účtů (UAC) Správce v režimu schválení správce Přístupový token s oprávněními správce Zvýšení oprávnění (Zadání pověření či potvrzení) Správa počítače (compmgmt.msc) Přihlášení Spuštění Přístupový token s oprávněními standardního uživatele Plocha (explorer.exe) 8. 11. 2016 Jan Fiedor UITS FIT VUT Brno 7 / 45

Řízení uživatelských účtů (UAC) Zabezpečená plocha (Secure Desktop) Zabraňuje modifikaci plochy (obrazovky) v době, kdy je zobrazena výzva k zvýšení oprávnění Plocha je v této době nepřístupná (zobrazen snímek) Uživatel musí do 150 sekund reagovat na výzvu Po 150 sekundách je zvýšení oprávnění automaticky zamítnuto a zabezpečená plocha zrušena 8. 11. 2016 Jan Fiedor UITS FIT VUT Brno 8 / 45

Řízení uživatelských účtů (UAC) Základní nastavení 8. 11. 2016 Jan Fiedor UITS FIT VUT Brno 9 / 45

Řízení uživatelských účtů (UAC) Možnosti základního nastavení Vždy upozorňovat Upozorňovat pouze pokud se programy pokusí provést změny v počítači Povolit provádění změn v systému Windows nástroji pocházejícími ze systému Windows (jsou podepsány) Upozorňovat pouze pokud se programy pokusí provést změny v počítači (nestmívat plochu) Nikdy neupozorňovat Povolovat pro správce resp. zamítat pro standardního uživatele všechny žádosti o zvýšení oprávnění 8. 11. 2016 Jan Fiedor UITS FIT VUT Brno 10 / 45

Řízení uživatelských účtů (UAC) Pokročilé nastavení Spuštění příkazem gpedit.msc nebo vyhledáním Upravit zásady skupiny (nachází se v Ovládacích panelech v sekci Nástroje pro správu) 8. 11. 2016 Jan Fiedor UITS FIT VUT Brno 11 / 45

Řízení uživatelských účtů (UAC) Zásady ovlivňující chování UAC (1) Chování výzvy ke zvýšení oprávnění pro správce v Režimu schválení správce Zvýšit bez zobrazení výzvy Vyzvat k zadání souhlasu (na zabezpečené ploše) Vyzvat k zadání pověření (na zabezpečené ploše) Vyzvat k souhlasu pro binární soubory neurčené pro systém Windows (výchozí nastavení) Požadovat souhlas pouze v případě, že zvýšení oprávnění vyžaduje aplikace, jenž není součástí systému Windows Spustit všechny správce v Režimu schválení správce Zakázáním dojde k vypnutí UAC pro všechny správce Ve výchozím nastavení povoleno 8. 11. 2016 Jan Fiedor UITS FIT VUT Brno 12 / 45

Řízení uživatelských účtů (UAC) Zásady ovlivňující chování UAC (2) Režim schválení správce pro integrovaný účet správce Povoluje Režim schválení správce pro uživatele Administrator Účet Administrator je ve výchozím nastavení zakázán Ve výchozím nastavení zakázáno (tedy automatické zvyšování oprávnění bez jakékoliv výzvy) Chování výzvy ke zvýšení oprávnění pro standardní uživatele Automaticky zamítnout požadavky na zvýšení Vyzvat k zadání pověření (na zabezpečené ploše) Výchozí nastavení různé (u serverů většinou zadat pověření, u edicí Enterprise zamítnout, u Professional zadat pověření) 8. 11. 2016 Jan Fiedor UITS FIT VUT Brno 13 / 45

Řízení uživatelských účtů (UAC) Zásady ovlivňující chování UAC (3) Při zobrazení výzvy ke zvýšení oprávnění přepnout na zabezpečenou plochu Při povolení vynucuje použití zabezpečené plochy při výzvách k zadání souhlasu / pověření Při zakázání lze pořád vynutit použití zabezpečené plochy v nastavení chování výzev pro správce / standardní uživatele Ve výchozím nastavení povoleno Zjistit instalace aplikací a zobrazit výzvu ke zvýšení oprávnění Umožňuje instalátorům aplikací požadovat zvýšení oprávnění Ve výchozím nastavení povoleno 8. 11. 2016 Jan Fiedor UITS FIT VUT Brno 14 / 45

Řízení uživatelských účtů (UAC) Zásady ovlivňující chování UAC (4) Povolit aplikacím UIAccess zobrazení výzvy ke zvýšení oprávnění bez použití zabezpečené plochy Povolením mohou uživatelé UIAccess aplikací (např. vzdálené pomoci) reagovat na výzvy ke zvýšení oprávnění Ve výchozím nastavení zakázáno Zvýšit oprávnění pouze u aplikací UIAccess, které jsou nainstalovány v zabezpečených umístěních Zakázání umožňuje každé aplikaci požadovat spuštění s úrovní integrity UIAccess (aplikace musí být ovšem pořád podepsána důvěryhodnou certifikační autoritou) Výchozí nastavení je povoleno 8. 11. 2016 Jan Fiedor UITS FIT VUT Brno 15 / 45

Řízení uživatelských účtů (UAC) Zásady ovlivňující chování UAC (5) Zvýšit oprávnění pouze u podepsaných a ověřených spustitelných souborů Všechny nepodepsané aplikace, případně aplikace podepsané nedůvěryhodným vydavatelem, nemůžou vyžadovat zvyšování oprávnění (automaticky zamítnuto) Ve výchozím nastavení zakázáno Virtualizovat chyby zápisu do souboru a registru do umístění jednotlivých uživatelů Povolení povolí přesměrování zápisů do chráněných adresářů a větví registru do profilu uživatele Ve výchozím nastavení povoleno 8. 11. 2016 Jan Fiedor UITS FIT VUT Brno 16 / 45

Autentizace a autorizace, UAC, omezování aplikací Autentizace a autorizace 8. 11. 2016 Jan Fiedor UITS FIT VUT Brno 17 / 45

Autentizace a autorizace Základní pojmy Autentizace (authentication) Ověření identity uživatele důvěryhodnou autoritou (lokální bezpečnostní autoritou (LSA, Local Security Authority), řadičem domény, ) Vytváří se tzv. přístupový token (access token) Autorizace (authorization) Prokázání identity uživatele pro zpřístupnění určitého prostředku (souboru, adresáře, tiskárny, ) Ověření oprávnění uživatele resp. skupin uložených v předloženém přístupovém tokenu 8. 11. 2016 Jan Fiedor UITS FIT VUT Brno 18 / 45

Autentizace a autorizace Možnosti autentizace ve Windows 10 Zadáním pověření (uživatelského jména a hesla) Heslo může být standardní, obrázkové nebo PIN Čipovou kartou (smart card) Dvoufaktorová autentizace pokud je použit i PIN Windows Hello (otisk prstu, rozpoznání obličeje) Vlastním způsobem vytvořením odpovídajícího poskytovatele pověření (credential provider) Možnost kombinace rozdílných metod autentizace Vícefaktorová autentizace, výrazně zvyšuje bezpečnost 8. 11. 2016 Jan Fiedor UITS FIT VUT Brno 19 / 45

Autentizace a autorizace Nastavení hesel a uzamykání účtů 8. 11. 2016 Jan Fiedor UITS FIT VUT Brno 20 / 45

Autentizace a autorizace Možnosti řešení zapomenutí hesla Použití disku pro resetování hesla uživatelem Data pro resetování hesla uložena na disketě nebo USB úložném zařízení (v nechráněné podobě) Zachování všech osobních certifikátů (včetně EFS certifikátů) a hesel uložených ve Správci pověření Resetování hesla správcem Ztráta osobních certifikátů (včetně EFS certifikátů) a hesel uložených ve Správci pověření 8. 11. 2016 Jan Fiedor UITS FIT VUT Brno 21 / 45

Autentizace a autorizace Zálohování EFS certifikátů Export do.pfx souboru Chráněn heslem Obsahuje veřejný i privátní klíč 3 možnosti exportu Přes průvodce Spravovat šifrovací certifikáty souborů Přes MMC konzoli Certifikáty (certmgr.msc) Příkazem cipher /x <název> 8. 11. 2016 Jan Fiedor UITS FIT VUT Brno 22 / 45

Autentizace a autorizace Správce pověření Uchovává přihlašovací jména a hesla pro přístup k síťovým prostředkům (a webovým stránkám) Možnost synchronizace s účtem Microsoft Hesla nelze zobrazit Umožňuje zálohu a obnovu pověření Migrace uložených pověření na jiný počítač Zálohuje i některé certifikáty (ne certifikáty pro EFS) Záloha chráněná heslem Zálohování i obnova vždy přes zabezpečenou plochu 8. 11. 2016 Jan Fiedor UITS FIT VUT Brno 23 / 45

Autentizace a autorizace Čipové karty Obsahují certifikáty použitelné pro autentizaci Možnost zneplatnění (revoke) certifikátu při odcizení Nativní podpora (ovladače) v systému Windows Jednoduchá integrace do Active Directory Podpora virtuálních čipových karet Certifikáty jsou uloženy na TPM čipu namísto karty Nastavení přes zásady skupiny Možnosti zabezpečení, část Interaktivní přihlašování 8. 11. 2016 Jan Fiedor UITS FIT VUT Brno 24 / 45

Čipové karty Zásady čipových karet Požadovat čipovou kartu Při povolení se není možné autentizovat bez použití čipové karty Ve výchozím nastavení zakázáno Chování při odebrání čipové karty Žádná akce (výchozí nastavení) Uzamknout pracovní stanici Vynutit odhlášení Odpojit v případě relace Vzdálené plochy 8. 11. 2016 Jan Fiedor UITS FIT VUT Brno 25 / 45

Autentizace a autorizace Spouštění programů pod jiným účtem Nástroj runas [/profile /noprofile] [/savecred /smartcard] /user:<jméno> "<program>" Spuštěný program běží pod zadaným uživatelem Přístup k prostředkům realizován tímto uživatelem Možnost načtení / nenačtení profilu uživatele Při načtení lze přistupovat k šifrovaným datům (EFS) daného uživatele (certifikáty jsou uloženy v profilu) Nenačtení profilu urychluje spuštění programu, ale program nemusí pracovat správně 8. 11. 2016 Jan Fiedor UITS FIT VUT Brno 26 / 45

Spouštění programů pod jiným účtem Pověření a oprávnění Zadané pověření lze uložit ve Správci pověření Přepínač /savecred pro uložení i použití pověření Pověření lze dodat na čipové kartě (smart card) Přepínač /smartcard (nelze uložit přes /savecred) Všechny spouštěné programy běží s oprávněními standardního uživatele Nelze zobrazovat výzvy k zadání souhlasu / pověření Není možné provést zvýšení oprávnění jinak než plně automaticky 8. 11. 2016 Jan Fiedor UITS FIT VUT Brno 27 / 45

Autentizace a autorizace, UAC, omezování aplikací Omezování aplikací 8. 11. 2016 Jan Fiedor UITS FIT VUT Brno 28 / 45

Omezování aplikací Zásady omezení softwaru Podpora od Windows XP a Windows Server 2003 Celkem 5 různých typů pravidel (podle priority) 1) Pravidla algoritmu hash 2) Pravidla certifikátu 3) Pravidla cesty 4) Pravidla zóny sítě 5) Výchozí pravidla Priorita podle specifičnosti pravidel Více specifická pravidla mají vždy vyšší prioritu 8. 11. 2016 Jan Fiedor UITS FIT VUT Brno 29 / 45

Zásady omezení softwaru Výchozí pravidla Vždy může být aktivní pouze jedno Výběr pod uzlem Úrovně zabezpečení Celkem 3 výchozí pravidla Nepovoleno Aplikace, jenž nejsou explicitně povoleny nesmí běžet Standardní uživatel Aplikace, jenž nevyžadují oprávnění správce mohou běžet Bez omezení Aplikace, jenž nejsou explicitně zakázány mohou běžet 8. 11. 2016 Jan Fiedor UITS FIT VUT Brno 30 / 45

Zásady omezení softwaru Nastavení v zásadách skupiny 8. 11. 2016 Jan Fiedor UITS FIT VUT Brno 31 / 45

Zásady omezení softwaru Pravidla cesty Umožňují specifikovat soubory, adresáře či klíče registru (cesty ke klíčům registru) Podpora zástupných znaků * a? Podpora systémových proměnných (%SystemRoot%) Klíče registru musí být uzavřeny mezi znaky % Závislé na umístění souboru Lze obejít přesunutím (přejmenováním) souboru Pravidla obsahující více specifickou cestu mají vždy vyšší prioritu 8. 11. 2016 Jan Fiedor UITS FIT VUT Brno 32 / 45

Zásady omezení softwaru Pravidla algoritmu hash Umožňují specifikovat pouze soubory Generování digitálního otisku (hash) souboru Generován na základě binárního obsahu Unikátní pro každý soubor (i pro každou jeho verzi) Mění se při jakékoliv změně souboru Potřeba úpravy při každé aktualizaci souboru Nezávislost na umístění souboru 8. 11. 2016 Jan Fiedor UITS FIT VUT Brno 33 / 45

Zásady omezení softwaru Pravidla certifikátu Umožňují specifikovat pouze certifikáty Identifikují soubory podepsané zadaným certifikátem Nezávislost na umístění souboru Žádná potřeba úpravy při aktualizaci souboru Soubor je pořád podepsán stejným certifikátem Nutnost ověřování validity certifikátu Vyšší zatížení počítače Aplikovány na všechny soubory daného výrobce Musí být explicitně povoleny 8. 11. 2016 Jan Fiedor UITS FIT VUT Brno 34 / 45

Zásady omezení softwaru Pravidla zóny sítě Umožňují specifikovat jen.msi soubory získané přes Internet Explorer Omezování spouštění.msi souborů na základě typu sítě, z níž byly získány Důvěryhodné servery Internet Místní intranet Místní počítač Servery s omezeným přístupem 8. 11. 2016 Jan Fiedor UITS FIT VUT Brno 35 / 45

Zásady omezení softwaru Vynucení a určené typy souborů 8. 11. 2016 Jan Fiedor UITS FIT VUT Brno 36 / 45

Omezování běhu aplikací AppLocker K dispozici pouze v edici Enterprise Podpora od Windows 7 a Windows Server 2008 R2 Pro správné fungování musí běžet služba Identita Aplikace (AIS, Application Identity Service) Ve výchozím nastavení neběží (ruční start) Omezování běhu aplikací pro jednotlivé uživatele nebo skupiny Podpora automatického vytváření pravidel Průvodce pro analýzu adresářů a generování pravidel 8. 11. 2016 Jan Fiedor UITS FIT VUT Brno 37 / 45

AppLocker Typy pravidel Pravidla vydavatele Pracují s certifikáty (digitálně podepsané soubory) Lze rozlišovat na úrovni vydavatele, názvu produktu, názvu souboru nebo verze souboru (<, >, =) Pravidla hodnoty hash souboru Možnost počítat hodnotu hash pro všechny soubory v zadaném adresáři Pravidla cesty Nelze definovat systémové proměnné (jen proměnné AppLocker) ani cesty ke klíčům registru 8. 11. 2016 Jan Fiedor UITS FIT VUT Brno 38 / 45

AppLocker Kolekce pravidel Pravidla pro spustitelné soubory Aplikace na soubory s příponami.exe a.com Pravidla Instalační služby systému Windows Aplikace na soubory s příponami.msi,.msp a.mst Pravidla pro skripty Soubory s příponami.ps1,.bat,.cmd,.vbs a.js Pravidla souborů DLL (musí se nejprve povolit) Soubory s příponami.dll a.ocx Pravidla pro zabalené aplikace 8. 11. 2016 Jan Fiedor UITS FIT VUT Brno 39 / 45

AppLocker Pravidla pro zabalené aplikace Omezují běh apps (aplikací pro Modern UI) Soubory s příponou.appx Odlišnosti od ostatních pravidel Lze definovat pouze pravidla vydavatele Mohou reagovat jen na název vydavatele, název aplikace (package name) a verzi aplikace (package version) Všechny apps musí být digitálně podepsány Omezují jak běh aplikace, tak její instalaci Týkají se celé aplikace (všech jejích souborů) Nelze omezovat konkrétní.exe nebo.dll soubory aplikace 8. 11. 2016 Jan Fiedor UITS FIT VUT Brno 40 / 45

AppLocker Výchozí pravidla Je možné generovat automaticky pro jednotlivé typy (kolekce) souborů Povolují spouštění souborů kdekoliv pro správce Pro spustitelné soubory, skripty a soubory DLL Povolují spouštění souborů obsažených v adresářích Windows a Program Files pro všechny uživatele Pro soubory Instalační služby systému Windows Povolují spouštění souborů obsažených v adresáři Windows\Installer a všech digitálně podepsaných souborů kdekoliv pro všechny uživatele 8. 11. 2016 Jan Fiedor UITS FIT VUT Brno 41 / 45

AppLocker Nastavení v zásadách skupiny 8. 11. 2016 Jan Fiedor UITS FIT VUT Brno 42 / 45

AppLocker Priorita pravidel a výjimky 1) Blokující pravidla (akce Odepřít) 2) Povolující pravidla (akce Povolit) 3) Integrované blokující pravidlo Nelze změnit Blokuje spouštění všech souborů Výjimky z pravidel Mohou být ve formě pravidla vydavatele, cesty i hash Lze definovat pro blokující i povolující pravidla Lze definovat jen u pravidel vydavatele a cesty 8. 11. 2016 Jan Fiedor UITS FIT VUT Brno 43 / 45

AppLocker Auditování Monitorování aplikace AppLocker pravidel Informace uloženy v protokolu AppLocker (Protokoly aplikací a služeb Microsoft Windows) Ukládají se informace Název pravidla SID cílového uživatele nebo skupiny Cesta k souboru Akce (spuštění povoleno nebo odepřeno) Typ pravidla (vydavatel, hodnota hash, cesta) 8. 11. 2016 Jan Fiedor UITS FIT VUT Brno 44 / 45

AppLocker Nastavení auditování a povolení DLL 8. 11. 2016 Jan Fiedor UITS FIT VUT Brno 45 / 45

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář