Software Restriction Policy

**Chaos™** · 29.09.07, 10:21

Software Restriction Policy

Bu yazýmýzda Software Restriction Policy’leri inceleyeceðiz. Software Restriction Policy’ler yardýmýyla bilgisayarlarda hangi programlarýn çalýþýp hangilerinin çalýþamayacaðýna karar verebilirsiniz. Bu özelliði lokal bilgisayarda kullanabileceðiniz gibi Site, Domain yâda OU (Organizational Unit) ‘ya baðlayacaðýnýz bir GPO’da yapacaðýnýz tanýmlamalarla yaptýðýnýz tüm ayarlarýn bu scope’larda da geçerli olmasýný saðlayabilirsiniz. Internet kullanýmýnýn artmasý beraberinde virüslerin ve trojan’larýn etkisinin de artmasýna ve dolayýsýyla bu virüslerden ve trojan’lardan etkilenen bilgisayar sayýsýnýn artmasýna sebep olmuþtur. Bu konuda en çok sýkýntýyý çekenler ise network yöneticileridir. Çünkü sistemlere bulaþan virüslerin ve trojan’larýn sisteme vermiþ olduklarý zararlarýn yanýnda bunlarýn sistemlerden temizlenmesi de ciddi bir zaman kaybýna sebep olmaktadýr. Ýþte bu noktada biz sistem yöneticilerinin imdadýna Software Restriction Policy’ler yetiþiyor. Network genelinde çalýþmasýný istemediðimiz uygulamalarý, oluþturacaðýmýz Software Restriction Policy yardýmýyla tanýmlayarak zararlý programlarýn çalýþmasýný engelleyebiliriz.
Group Policy’de Software Restriction Policy’leri Computer Configuration yâda User Configuration ‘ýn altýnda tanýmlayabilirsiniz. Computer Configuration’da yaptýðýnýz deðiþiklikler o Group Policy’in etki ettiði tüm bilgisayarda etkili olacaktýr. Ayný þekilde User Configuration kýsmýnda oluþturacaðýnýz Software Restriction Policy’ler ise o Group Policy’in etkilediði tüm kullanýcýlarda etkili olacaktýr. Varsayýlan olarak Þekil-1’de görüldüðü gibi yeni tanýmlanmýþ bir GPO’da herhangi bir Software Restriction Policy tanýmlý halde gelmez.

Þekil-1:Baþlangýçta herhangi bir Software Restriction Policy tanýmlý halde gelmez.
Software Restriction Policy oluþturmak için ilgili GPO’daki Computer Configuration yâda User Configuration (hangisinin altýnda oluþturacaðýnýz sizin ihtiyaçlarýnýza baðlý olarak deðiþebilir) kýsmýnda bulunan Software Restriction Policies’e sað týklayýp açýlan menüden New Software Restriction Policies’i seçiyoruz. Bu iþlemden sonra Software Restriction Policies’in altýnda Security Levels ve Additional Rules isimli iki yeni konteynýr oluþur. Security Levels konteynýrýnda yapacaðýnýz ayarlarla sistemin güvenlik seviyesini belirliyorsunuz. Burada sitemin güvenlik seviyesi olarak seçebileceðiniz iki seçenek mevcuttur. Bunlar;

Unrestricted: Sisteminizin güvenlik seviyesi olarak bu seçeneði seçerseniz bilgisayarlardaki tüm programlarýn çalýþmasýna izin vermiþ olursunuz. Bu durumda çalýþmasýný engellemek istediðiniz programlarý Additional Rules kýsmýnda tanýmlamanýz gerekir. Software Restriction Policy’i ilk oluþturduðunuzda varsayýlan güvenlik seviyesi olarak Unrestricted seçilir.
Disallowed: Sisteminizin güvenlik seviyesi olarak bu seçeneði seçerseniz bilgisayarlardaki hiç bir programýn çalýþmasýna izin verilmez. Eðer sizin bu bilgisayarlarda çalýþtýrýlmasýný istediðiniz programlar varsa bunlarý Additional Rules kýsmýnda tanýmlamanýz gerekir.

Software Restriction Policies’in varsayýlan güvenlik seviyesini deðiþtirmek için Security Levels konteynýrýnda listelenen seviyelerden varsayýlan yapýlmak istenilen seviye üzerine mouse ile sað týklanýp açýlan menüden “Set as default” seçilmelidir.
Sisteminizin güvenlik seviyesini belirledikten sonra sýra bu güvenlik seviyesinin dýþýnda tutulacak uygulamalarý belirleyeceðimiz kurallarý tanýmlamaya geldi. Bu kurallarýn temel amacý yasaklanacak yâda kullanýmýna izin verilecek uygulamalarýn nasýl tanýmlanacaðýný belirlemektir. Software Restriction Policies içinde kullanýlmak üzere dört farklý kural tanýmlayabilirsiniz. Bunlar;

Hash rules
Certificate rules
Path rules
Internet zone rules

Þimdi tanýmlayabileceðimiz bu kurallarý detaylý olarak inceleyelim.

Hash Rule: Yasaklanacak yâda kullanýmýna izin verilecek uygulamayý tanýmlamak için uygulamanýn içeriðini hash deðeri ve uygulamanýn boyutu kullanýlýr. Uygulamanýn hash deðerini hesaplarken Hash algoritmalarý kullanýlýr. Software Restriction Policies içinde hash algoritmasý olarak MD5 yâda SHA-1 kullanýlabilir. Eðer uygulamanýn hash deðerini Software Restriction Policies kendisi hesaplayacaksa MD5 algoritmasýný kullanýr. Eðer uygulama dijital olarak imzalanmýþsa bu imza içerisinde uygulamaya ait hash deðeri ve bu hash deðerinin MD5 mý yoksa SHA-1 kullanýlarak mý hesaplandýðý yer alacaktýr.

Bu þekilde tanýmlanan bir uygulama bilgisayarlar tarafýndan çalýþtýrýlmak istendiðinde uygulamanýn hash deðeri ile policy’de tanýmlý hash deðeri karþýlaþtýrýlýr ve hash deðerleri aynýysa o policy’de belirlenen aksiyon alýnýr Yani uygulamanýn çalýþtýrýlýp çalýþtýrýlmayacaðýna karar verilir. Hash deðeri uygulamanýn kendisi baz alýnarak hesaplandýðý için uygulamanýn yerinin deðiþtirilmesi yâda isminin deðiþtirilmesi hiç bir þekilde policy’i devre dýþý býrakamayacaktýr. Policy ancak uygulamanýn kendisinin deðiþtirilmesiyle devre dýþý kalabilir.
Yeni bir Hash rule oluþturmak için Additional Rules kýsmýna sað týklayýp açýlan menüden New Hash Rule seçeneðini seçiyoruz. Karþýmýza Þekil-2’deki pencere çýkacaktýr.

Þekil-2: Yeni bir Hash Rule oluþturuyoruz.
Bu penceredeki Browse butonuna basýp hash deðeri hesaplanacak uygulamayý gösterdiðinizde bu dosyanýn hash deðerinin otomatik olarak hesaplandýðýný görürsünüz. File hash kýsmýna yazýlan bu hash deðerinin haricinde iki deðiþkenin daha burada yer aldýðýný görüyoruz. Aslýnda File hash kýsmýnda bulunan ve birbirlerinden “:” iþaretiyle ayrýlan alanlardan ilki dosyanýn hash deðerini, ikinci kýsým dosyanýn byte olarak boyutunu ve sonuncusu da kullanýlan hash algoritmasýnýn ID’sini belirtir. Örneðin bizim oluþturduðumuz kuraldaki File hash kýsmýnda yazan deðer 2b9adce1cfc34f9b2253 fc64b6fc0515:1713755 :32771 þeklinde. Burada ICQLite.exe programýnýn hash deðerinin 2b9adce1cfc34f9b2253 fc64b6fc0515 olduðunu, boyutunun 1713755 byte olduðunu ve kullanýlan hash algoritmasýnýn ID’sinin 32771 olduðunu (ki bu ID MD5’ýn ID’sidir) söyleyebiliriz. Bu penceredeki File information kýsmýnda uygulamanýn kendisi hakkýnda bilgiler bulabilirsiniz. Security level kýsmý ise bu hash deðerine sahip uygulamanýn çalýþmasýna izin verip vermeyeceðinizi belirleyeceðiniz seçeneklerin bulunduðu kýsýmdýr. Eðer buradaki seçeneklerde Disallowed’ý seçerseniz uygulamanýn çalýþtýrýlmamasýný saðlamýþ olursunuz. Unrestricted seçilirse uygulama çalýþtýrýlabilir demektir.
NOT
Hash kurallarý sadece Designated File Types listesinde tanýmlý olan uzantýlara sahip dosyalar için tanýmlanabilir. Designated File Types listesi hakkýnda geniþ bilgiyi yazýnýn ilerleyen bölümlerinde bulabilirsiniz.

Certificate Rule: Yasaklanacak yada kullanýmýna izin verilecek uygulamayý tanýmlamak için uygulamayý geliþtiren firmanýn güvenilen bir CA (Certification Authority)’den aldýðý ve kodlarý imzalamak için kullandýðý digital sertifika kullanýlýr. Program geliþtiriciler bu sertifikayý third-party CA’lerden örneðin VeriSign, Globalsign gibi firmalardan alabilecekleri gibi Windows Server 2000/2003 yüklü bir bilgisayarda kurulu olan CA’den de alabilirler. Ve aldýklarý bu sertifikayý kullanarak geliþtirdikleri yazýlýmlarý imzalayabilirler. Sizde bu firmalarýn sertifikalarýný kullanarak bu firmalar tarafýndan yazýlan uygulamalarýn çalýþmasýna yada çalýþmamasýna karar verebilirsiniz.

NOT
Software Restriction Policy içinde varsayýlan olarak Certificate Rule’larý kullanamazsýnýz. Bu durumu deðiþtirmek için aþaðýdaki policy’de deðiþiklik yapmanýz gerekmektedir.

- Computer Configuration-> Windows Settings-> Security Settings-> Local Policies-> Security Options konteynýrýna gidin
- Buradaki System settings: Use Certificate Rules on Windows Executables for Software Restriction Policies’e çift týklayarak Þekil-3’deki pencereyi açýn.

Þekil-3: Software Restriction Policy içinde Certificate Rule’larý kullanabilmeniz için tanýmlamanýz gereken policy.

Bu penceredeki Define these policy settings seçeneðini seçip Enable’ý iþaretleyin.

Yeni bir Certificate Rule oluþturmak için Additional Rules kýsmýna sað týklayýp açýlan menüden New Certificate Rule seçeneðini seçiyoruz. Karþýmýza Þekil-4’deki pencere çýkacaktýr.

Þekil-4:Yeni bir Certificate Rule oluþturmak için kullanacaðýnýz pencere
Bu penceredeki Browse butonuna basarak yazýlýmlarý imzalamak için kullandýðýnýz sertifikayý gösteriyorsunuz. Details butonuna basarsanýz bu sertifika hakkýnda daha detaylý bilgilere sahip olabileceðiniz bir pencere ile karþýlaþýrsýnýz. Security level kýsmýnda ise bu sertifika kullanýlarak imzalanan yazýlýmlarýn çalýþmasýna izin verip vermeyeceðinizi belirtiyorsunuz. Örneðin ben oluþturmuþ olduðum “Deneme amacli sertifika (turkmcse.com)” sertifikasýný kullanarak bilgisayarýmda bulunan ve Visual Basic Scripting ile yazýlan bir script’i imzaladým. Ardýndan oluþturduðum Certificate Rule ile bu sertifika tarafýndan imzalanan uygulamalarýn çalýþmalarýný yasakladým. Ve bu script’i çalýþtýrdýðýmda Þekil-5’deki mesaj ile karþýlaþtým.

Þekil-5: Certificate Rule ile yasaklanan bir sertifika tarafýndan imzalanmýþ uygulamanýn çalýþtýrýlmasýyla karþýmýza yukarýdaki mesaj çýktý.

NOT
Dijital sertifikalarla yazýlýmlarý imzalama konusunda test yapmak için “Authenticode for Internet Explorer 5.0” paketini kullanabilirsiniz. Bu paketi Microsoft’un sitesindeki http://msdn.microsoft.com/downloads/default.aspx sayfasýndan ücretsiz indirebilirsiniz.
Bu yöntem yani uygulamalarýn çalýþýp çalýþmayacaklarýna karar verirken Certificate Rule’larý kullanmak, yazýlýmlarý üreten firmalarýn ürettikleri yazýlýmlarý imzalayýp imzalamadýklarýyla doðru orantýlý olarak efektiklik kazanýr. Eðer yasaklamak yada kullanýmýna izin vermek istediðiniz yazýlýmlar, o yazýlýmý üreten firma tarafýndan imzalanmamýþsa Software Restriction Policies içindeki diðer kurallarla bu uygulamayý tanýmlayabilirsiniz.

Path Rule: Yasaklanacak yada kullanýmýna izin verilecek uygulamayý

tanýmlamak için uygulamanýn bilgisayarda kurulu olduðu yolu belirtiyoruz. Tanýmlayacaðýnýz Path Rule içerisinde eðer bir klasör belirtmiþseniz bu klasörün içindeki ve bu klasörün altýndaki tüm diðer klasörlerin içinde bulunan uygulamalarý tanýmlamýþ olursunuz. Ayrýca Path Rule içerisinde hem local hemde UNC yol tanýmý yapabilirsiniz. Yeni bir Path Rule oluþturmak için Additional Rules kýsmýna sað týklayýp açýlan menüden New Path Rule seçeneðini seçiyoruz. Karþýmýza Þekil-6’deki pencere çýkacaktýr.

Þekil-6: Yeni bir Path Rule oluþturmak için kullandýðýmýz pencere
Bu penceredeki Patuh kýsmýna kullanýmýný yasaklayacaðýmýz yada kullanýmýna izin vereceðimiz uygulamanýn yolunu yazýyoruz. Dikkat ederseniz ben örneðinizde sistemin kurulu olduðu yeri belirtmek için %SystemRoot% deðiþkenini kullandým. Deðiþkenleri kullanarak Path Rule tanýmlamak size bir hayli esneklik saðlayacaktýr. Mesela örneðimizde %SystemRoot% deðiþkeni yerine C:\Windows yazsaydým bu durumda iþletim sistemlerini D:\ partitionuna kuran kiþilere tanýmladýðýmýz bu kural etki etmeyecekti. Bu durumun önüne geçmek için Path Rule tanýmlarýnda genellikle deðiþkenler kullanýlýr. %SystemRoot% deðiþkenini haricinde en çok kullanýlan deðiþkenler %ProgramFiles%,%User Profile%, %windir%, %appdata%, and %temp% deðiþkenleridir. Kullanýlabilecek deðiþkenlerin tam listesini internetten bulabilirsiniz.
Path Rule içerisinde “?” ve “*” karakterlerini de kullanarak kural tanýmlayabilirsiniz. Örneðin Path Rule içerisinde \\Server??\yazilimla r þeklinde bir yol belirtirseniz bu kural tanýmý içerisine hem \\Server01\yazilimla r hemde \\Server02\yazilimla r girer. Bunun haricinde bir klasörün altýndaki ayný uzantýya sahip tüm dosyalarý yada klasörün altýmdaki tüm dosyalarý belirtmek için “*” karakterini kullanabilirsiniz. Örneðin “c:\*.vbs” tanýmý tüm c:\ partition’u altýndaki vbs uzantýlý dosyalarý belirtirken “c:\win*” þeklindeki bir tanýmlama hem c:\Winnt hem de c:\Windows’u tanýmlar.
Bazý yazýlýmlar kurulacaklarý yerin seçimini kullanýcýya býrakýrlar. Böyle bir durumda bu uygulamayý Path Rule içerisinde tanýmlarken problemlerle karþýlaþabilirsiniz. Örneðin varsayýlan olarak Program Files klasörünün altýna kurulan bir uygulamayý kullanýcý baþka bir klasörün altýna kurmuþ olabilir. Ve siz Path Rule içerisinde Program Files klasörünü kullanarak bir taným yaparsanýz bu kullanýcý için yapmýþ olduðunuz taným baþarýsýz olacaktýr. Kurulacaklarý klasörleri kullanýcýlara seçtiren uygulamalarýn büyük çoðunluðu kurulduklarý yerin bilgisini registry’de tutarlar. Bu özelliði kullanarak Path Rule tanýmýný yaparsak kullanýcýlarýn hangi klasöre kurduklarýný önceden bilmeye gerek kalmadan ilgili kuralý tanýmlayabiliriz. Bunun için oluþturacaðýmýz Path Rule “Registry Path Rule” ismiyle alýnýr. Örneðin network’deki bilgisayarlarda Kazaa++’ýn kullanýmýný Registry Path Rule kullanarak gerçekleþtirmek istiyorsak ilk önce Kazaa++’ýn bilgisayardaki hangi klasöre kurulduðunu belirten registry kaydýný buluyoruz. Bunun için regedit.exe uygulamasýný çalýþtýrarak HKEY_LOCAL_MACHINE\S OFTWARE\Kazaa\k-lite alt anahtarýna gidiyoruz. Ve bu alt anahtarýn içindeki “Installdir” kaydý Kazaa++’in bilgisayardaki hangi klasörde yüklü olduðunu gösteriyor. Bu bilgiler ýþýðýnda bulduðumuz bu registry yolunu kullanarak yeni bir Path Rule tanýmlýyoruz. Tanýmlayacaðýmýz bu Path Rule’daki Path kýsmýna registry’deki kaydýn tam yolunu baþýna ve sonuna % iþareti koyarak %HKEY_LOCAL_MACHINE\ SOFTWARE\Kazaa\k-lite\Installdir% þeklinde
yazýyoruz. Artýk bu tanýmlamadan sonra kullanýcýlar Kazaa++’ý hangi klasöre kurarlarsa kursunlar sizin tanýmlamýþ olduðunuz kural geçerli olacaktýr.
NOT
Kullanýcýlar Path Rule tanýmlayarak yasakladýðýnýz programlarý baþka bir klasöre taþýyarak çalýþtýrabilirler. Bunun önüne geçmek için o dosyalarýn yada programlarýn izinlerini bu tür durumlara imkân tanýmayacak þekilde ayarlamanýz gerekmektedir.
DÝKKAT
Eðer siz varsayýlan Security Level’ini Disallowed olarak belirlemiþseniz bu durumda iþletim sisteminin çalýþmasýný etkilememek için aþaðýdaki registry path rule’lar otomatik olarak oluþturulur ve bu kurallar Unrestricted olarak iþaretlenir. Buradaki amaç tamamen sistemin kendi kendisini devre dýþý býrakmasýný önlemektir.
● %HKEY_LOCAL_MACHINE\ SOFTWARE\Microsoft\W indows NT\
CurrentVersion\Syste mRoot%
● %HKEY_LOCAL_MACHINE\ SOFTWARE\Microsoft\W indows NT\
CurrentVersion\Syste mRoot%\*.exe
● %HKEY_LOCAL_MACHINE\ SOFTWARE\Microsoft\W indows NT\
CurrentVersion\Syste mRoot%\System32\*.ex e
● %HKEY_LOCAL_MACHINE\ SOFTWARE\Microsoft\W indows\
CurrentVersion\Progr amFilesDir%

Oluþturduðunuz kurallar içinde ayný uygulamayý tanýmlayan birden fazla kural olabilir. Bu durumda en spesifik kural geçerli olur. Aþaðýda kural içerisinde kullanýlabilecek path tanýmlarý yüksek öncelikliden düþük öncelikliye doðru sýralanmýþtýr.
● Drive:\Folder1\Folde r2\FileName.Extensio n
● Drive:\Folder1\Folde r2\*.Extension
● *.Extension
● Drive:\Folder1\Folde r2\
● Drive:\Folder1\
Örneðin aþaðýdaki gibi iki tane kuralýnýz olsun;
Kural
Path Tanýmý
Güvenlik Seviyesi
1.Kural
*.vbs
Disallowed
2.Kural
\\Server01\Scripts\l ogon.vbs
Unrestricted
Yukarýda tanýmlý kurallarý göz önüne aldýðýmýzda 2.Kural’ýn daha spesifik olduðunu görüyoruz. Bu durumda kullanýcýlar “logon.vbs”yi çalýþtýrabilecek fakat diðer vbs uzantýlý scriptleri çalýþtýramayacaklard ýr.

Zone Rule: Bu kural çeþidinde yazýlýmlarýn çalýþtýrýlýp çalýþtýrýlmayacaðýna

karar verilirken bu yazýlýmýn Internet Explorer’da tanýmlý hangi zone kategorisi içinde bulunan siteden download edildiðine bakýlýr. Sadece .msi paketleri için kullanýlabilir.
Kurallarýn Öncelikleri
Tanýmladýðýnýz Software Restriction Policy içindeki kurallar belirli bir sýraya göre iþlenir. Bu iþleme sonucunda bir programý en spesifik þekilde tanýmlayan kural geçerli olur. Kurallarýn iþlenme sýrasý ;

Hash rule
Certificate rule
Path rule
Internet zone rule
Default rule

Group Policy içinde Software Restriction Policies konteynýrýna týkladýðýnýzda Enforcement, Designated File Types ve Trusted Publishers olmak üzere üç farklý seçenek görürsünüz. Þimdi bu seçeneklerin ne iþe yaradýðýný inceleyelim.
Enforcement: Þekil-7’deki Enforcement Properties baþlýklý penceredeki “Apply software restriction policies to the following” kýsmýndaki “All software files except libraries (such as DLLs)” seçeneðini seçerseniz uygulanan policy DLL’ler ve diðer kütüphane dosyalarýna uygulanmaz. Microsoft tarafýndan tavsiye edilen ve varsayýlan seçenek budur. Eðer policy’nin tüm dosyalara uygulanmasýný istiyorsanýz bu durumda “All software files” seçeneðini seçin. Bu penceredeki “Apply software restriction policies to the following users” kýsmýndaki seçenekler yardýmýyla Software Restriction policy’lerin Local Administrator kullanýcýsýna etki edip etmeyeceðini belirliyoruz. Eðer “All users” seçeneðini seçerseniz tüm kullanýcýlar bu policy’lerden etkilenecektir. Lokal Administrator kullanýcýsýnýn etkilenmemesi için “All users except local Administrator” seçeneðini seçin.

Þekil-7:Enforcement Properties baþlýklý pencere
NOT
Eðer oluþturduðunuz Software Restriction Policies ile kendi kendinizi kýsýtladýysanýz bu durumda bilgisayarýnýzý kapatýp Safe Mode’da açýn ve bilgisayar lokal Administrator kullanýcýsý olarak giriþ yapýn. Ardýndan tanýmladýðýnýz Software Restriction Policies ‘de gerekli deðiþiklikleri yapýp sistemi yeniden baþlatýn.

Designated File Types: Þekil-8’deki “Designated File Types Properties” baþlýklý penceredeSoftware Restriction Policy’lerin uygulandýðý dosya tipleri listelenir. Buradaki Designated File kavramý çalýþtýrýlabilir dosyalarý ifade eder. Eðer Software Restriction Policy uygulamak istediðiniz dosya tipi bu listede yoksa bu penceredeki File extension kýsmýna o uygulamanýn kullandýðý dosya uzantýsýný yazýp Add butonuna basmanýz yeterli olacaktýr. Desteklenen dosya tiplerini listesini Tablo-1’de bulabilirsiniz.

Þekil-8: Software Restriction Policy’lerin hangi dosya tiplerine uygulanacaðýnýn belirlendiði pencere
Tablo-1:Varsayýlan Default Designated File Tipleri
Dosya Uzantýsý
Açýklama
. ADE
Microsoft Access Project Extension
. ADP
Microsoft Access Project
. BAS
Visual Basic® Class Module
. BAT
Batch File
. CHM
Compiled HTML Help File
. CMD
Windows NT® Command Script
. COM
MS-DOS® Application
. CPL
Control Panel Extension
. CRT
Security Certificate
. EXE
Application
. HLP
Windows Help File
. HTA
HTML Applications
. INF
Setup Information File
. INS
Internet Communication Settings
. ISP
Internet Communication Settings
. JS
JScript® File
. JSE
JScript Encoded Script File
. LNK
Shortcut
. MDB
Microsoft Access Application
. MDE
Microsoft Access MDE Database
. MSC
Microsoft Common Console Document
. MSI
Windows Installer Package
. MSP
Windows Installer Patch
. MST
Visual Test Source File
. PCD
Photo CD Image
. PIF
Shortcut to MS-DOS Program
. REG
Registration Entries
. SCR
Screen Saver
. SCT
Windows Script Component
. SHS
Shell Scrap Object
. URL
Internet Shortcut (Uniform Resource Locator)
. VB
VBScript File
. VBE
VBScript Encoded Script File
. VBS
VBScript Script File
. WSC
Windows Script Component
. WSF
Windows Script File
. WSH
Windows Scripting Host Settings File

Trusted Publishers: Þekil-9’daki “Trusted Publishers Properties” baþlýklý penceredeki seçenekler yardýmýyla Active X kontrolleri ve diðer imzalý içerikler ile alakalý ayarlarý yapabilirsiniz. Bu penceredeki “Allow the following users to select trusted publisher” kýsmýndaki seçenekler ile kimlerin güvenilen yayýncýlara karar verebileceðini belirliyorsunuz. “Before trusting a publisher, check the following to determine if the certificate is revoked” kýsmýndaki seçenekler yardýmýyla da publisher’ýn sertifikasýnýn geçerli olup olmadýðýnýn nasýl kontrol edileceði belirliyoruz.

Þekil-9:”Trusted Publisher Properties” baþlýklý pencere

Kullanýcýnýn çalýþtýrmak istediði uygulama eðer Software Restriction Policy tarafýndan yasaklanmýþsa kullanýcýnýn bu uygulamayý çalýþtýrdýðý bilgisayardaki System loglarýna Þekil-10’daki gibi bir olay kaydedilecektir. Buradaki Event ID deðerinin ne anlama geldiðini Tablo-2’den öðrenebilirsiniz.

Þekil-10:System loglarý yardýmýyla kullanýcýnýn Software Restriction Policy tarafýndan yasaklanmýþ bir uygulamayý çalýþtýrmak istediðini anlayabilirsiniz.
Event ID Deðeri
Anlamý
865
Uygulamanýn çalýþmasý varsayýlan güvenlik seviyesi tarafýndan engellenmiþtir.
866
Uygulamanýn çalýþmasý bir Path Rule tarafýndan engellenmiþtir.
867
Uygulamanýn çalýþmasý bir Certificate Rule tarafýndan engellenmiþtir.
868
Uygulamanýn çalýþmasý bir Zone Rule tarafýndan engellenmiþtir.

Yayýnlanýþ Tarihi 03 Eylül 2007 Pazartesi 00:48 Yayýnlayan: Halil OZTURKCI

29.09.07, 10:21	#1 (permalink)
Chaos™ Server Op Bilgileri Join Date: Sep 2006 Kullanýcý No: 1 Posts: 4,895 Teþekkürler Durumu : 261 Karizma Rep Puaný : 747887 Rep Seviyesi : Ýletiþim	Software Restriction Policy Software Restriction Policy Bu yazýmýzda Software Restriction Policy’leri inceleyeceðiz. Software Restriction Policy’ler yardýmýyla bilgisayarlarda hangi programlarýn çalýþýp hangilerinin çalýþamayacaðýna karar verebilirsiniz. Bu özelliði lokal bilgisayarda kullanabileceðiniz gibi Site, Domain yâda OU (Organizational Unit) ‘ya baðlayacaðýnýz bir GPO’da yapacaðýnýz tanýmlamalarla yaptýðýnýz tüm ayarlarýn bu scope’larda da geçerli olmasýný saðlayabilirsiniz. Internet kullanýmýnýn artmasý beraberinde virüslerin ve trojan’larýn etkisinin de artmasýna ve dolayýsýyla bu virüslerden ve trojan’lardan etkilenen bilgisayar sayýsýnýn artmasýna sebep olmuþtur. Bu konuda en çok sýkýntýyý çekenler ise network yöneticileridir. Çünkü sistemlere bulaþan virüslerin ve trojan’larýn sisteme vermiþ olduklarý zararlarýn yanýnda bunlarýn sistemlerden temizlenmesi de ciddi bir zaman kaybýna sebep olmaktadýr. Ýþte bu noktada biz sistem yöneticilerinin imdadýna Software Restriction Policy’ler yetiþiyor. Network genelinde çalýþmasýný istemediðimiz uygulamalarý, oluþturacaðýmýz Software Restriction Policy yardýmýyla tanýmlayarak zararlý programlarýn çalýþmasýný engelleyebiliriz. Group Policy’de Software Restriction Policy’leri Computer Configuration yâda User Configuration ‘ýn altýnda tanýmlayabilirsiniz. Computer Configuration’da yaptýðýnýz deðiþiklikler o Group Policy’in etki ettiði tüm bilgisayarda etkili olacaktýr. Ayný þekilde User Configuration kýsmýnda oluþturacaðýnýz Software Restriction Policy’ler ise o Group Policy’in etkilediði tüm kullanýcýlarda etkili olacaktýr. Varsayýlan olarak Þekil-1’de görüldüðü gibi yeni tanýmlanmýþ bir GPO’da herhangi bir Software Restriction Policy tanýmlý halde gelmez. Þekil-1:Baþlangýçta herhangi bir Software Restriction Policy tanýmlý halde gelmez. Software Restriction Policy oluþturmak için ilgili GPO’daki Computer Configuration yâda User Configuration (hangisinin altýnda oluþturacaðýnýz sizin ihtiyaçlarýnýza baðlý olarak deðiþebilir) kýsmýnda bulunan Software Restriction Policies’e sað týklayýp açýlan menüden New Software Restriction Policies’i seçiyoruz. Bu iþlemden sonra Software Restriction Policies’in altýnda Security Levels ve Additional Rules isimli iki yeni konteynýr oluþur. Security Levels konteynýrýnda yapacaðýnýz ayarlarla sistemin güvenlik seviyesini belirliyorsunuz. Burada sitemin güvenlik seviyesi olarak seçebileceðiniz iki seçenek mevcuttur. Bunlar; Unrestricted: Sisteminizin güvenlik seviyesi olarak bu seçeneði seçerseniz bilgisayarlardaki tüm programlarýn çalýþmasýna izin vermiþ olursunuz. Bu durumda çalýþmasýný engellemek istediðiniz programlarý Additional Rules kýsmýnda tanýmlamanýz gerekir. Software Restriction Policy’i ilk oluþturduðunuzda varsayýlan güvenlik seviyesi olarak Unrestricted seçilir. Disallowed: Sisteminizin güvenlik seviyesi olarak bu seçeneði seçerseniz bilgisayarlardaki hiç bir programýn çalýþmasýna izin verilmez. Eðer sizin bu bilgisayarlarda çalýþtýrýlmasýný istediðiniz programlar varsa bunlarý Additional Rules kýsmýnda tanýmlamanýz gerekir. Software Restriction Policies’in varsayýlan güvenlik seviyesini deðiþtirmek için Security Levels konteynýrýnda listelenen seviyelerden varsayýlan yapýlmak istenilen seviye üzerine mouse ile sað týklanýp açýlan menüden “Set as default” seçilmelidir. Sisteminizin güvenlik seviyesini belirledikten sonra sýra bu güvenlik seviyesinin dýþýnda tutulacak uygulamalarý belirleyeceðimiz kurallarý tanýmlamaya geldi. Bu kurallarýn temel amacý yasaklanacak yâda kullanýmýna izin verilecek uygulamalarýn nasýl tanýmlanacaðýný belirlemektir. Software Restriction Policies içinde kullanýlmak üzere dört farklý kural tanýmlayabilirsiniz. Bunlar; Hash rules Certificate rules Path rules Internet zone rules Þimdi tanýmlayabileceðimiz bu kurallarý detaylý olarak inceleyelim. Hash Rule: Yasaklanacak yâda kullanýmýna izin verilecek uygulamayý tanýmlamak için uygulamanýn içeriðini hash deðeri ve uygulamanýn boyutu kullanýlýr. Uygulamanýn hash deðerini hesaplarken Hash algoritmalarý kullanýlýr. Software Restriction Policies içinde hash algoritmasý olarak MD5 yâda SHA-1 kullanýlabilir. Eðer uygulamanýn hash deðerini Software Restriction Policies kendisi hesaplayacaksa MD5 algoritmasýný kullanýr. Eðer uygulama dijital olarak imzalanmýþsa bu imza içerisinde uygulamaya ait hash deðeri ve bu hash deðerinin MD5 mý yoksa SHA-1 kullanýlarak mý hesaplandýðý yer alacaktýr. Bu þekilde tanýmlanan bir uygulama bilgisayarlar tarafýndan çalýþtýrýlmak istendiðinde uygulamanýn hash deðeri ile policy’de tanýmlý hash deðeri karþýlaþtýrýlýr ve hash deðerleri aynýysa o policy’de belirlenen aksiyon alýnýr Yani uygulamanýn çalýþtýrýlýp çalýþtýrýlmayacaðýna karar verilir. Hash deðeri uygulamanýn kendisi baz alýnarak hesaplandýðý için uygulamanýn yerinin deðiþtirilmesi yâda isminin deðiþtirilmesi hiç bir þekilde policy’i devre dýþý býrakamayacaktýr. Policy ancak uygulamanýn kendisinin deðiþtirilmesiyle devre dýþý kalabilir. Yeni bir Hash rule oluþturmak için Additional Rules kýsmýna sað týklayýp açýlan menüden New Hash Rule seçeneðini seçiyoruz. Karþýmýza Þekil-2’deki pencere çýkacaktýr. Þekil-2: Yeni bir Hash Rule oluþturuyoruz. Bu penceredeki Browse butonuna basýp hash deðeri hesaplanacak uygulamayý gösterdiðinizde bu dosyanýn hash deðerinin otomatik olarak hesaplandýðýný görürsünüz. File hash kýsmýna yazýlan bu hash deðerinin haricinde iki deðiþkenin daha burada yer aldýðýný görüyoruz. Aslýnda File hash kýsmýnda bulunan ve birbirlerinden “:” iþaretiyle ayrýlan alanlardan ilki dosyanýn hash deðerini, ikinci kýsým dosyanýn byte olarak boyutunu ve sonuncusu da kullanýlan hash algoritmasýnýn ID’sini belirtir. Örneðin bizim oluþturduðumuz kuraldaki File hash kýsmýnda yazan deðer 2b9adce1cfc34f9b2253 fc64b6fc0515:1713755 :32771 þeklinde. Burada ICQLite.exe programýnýn hash deðerinin 2b9adce1cfc34f9b2253 fc64b6fc0515 olduðunu, boyutunun 1713755 byte olduðunu ve kullanýlan hash algoritmasýnýn ID’sinin 32771 olduðunu (ki bu ID MD5’ýn ID’sidir) söyleyebiliriz. Bu penceredeki File information kýsmýnda uygulamanýn kendisi hakkýnda bilgiler bulabilirsiniz. Security level kýsmý ise bu hash deðerine sahip uygulamanýn çalýþmasýna izin verip vermeyeceðinizi belirleyeceðiniz seçeneklerin bulunduðu kýsýmdýr. Eðer buradaki seçeneklerde Disallowed’ý seçerseniz uygulamanýn çalýþtýrýlmamasýný saðlamýþ olursunuz. Unrestricted seçilirse uygulama çalýþtýrýlabilir demektir. NOT Hash kurallarý sadece Designated File Types listesinde tanýmlý olan uzantýlara sahip dosyalar için tanýmlanabilir. Designated File Types listesi hakkýnda geniþ bilgiyi yazýnýn ilerleyen bölümlerinde bulabilirsiniz. Certificate Rule: Yasaklanacak yada kullanýmýna izin verilecek uygulamayý tanýmlamak için uygulamayý geliþtiren firmanýn güvenilen bir CA (Certification Authority)’den aldýðý ve kodlarý imzalamak için kullandýðý digital sertifika kullanýlýr. Program geliþtiriciler bu sertifikayý third-party CA’lerden örneðin VeriSign, Globalsign gibi firmalardan alabilecekleri gibi Windows Server 2000/2003 yüklü bir bilgisayarda kurulu olan CA’den de alabilirler. Ve aldýklarý bu sertifikayý kullanarak geliþtirdikleri yazýlýmlarý imzalayabilirler. Sizde bu firmalarýn sertifikalarýný kullanarak bu firmalar tarafýndan yazýlan uygulamalarýn çalýþmasýna yada çalýþmamasýna karar verebilirsiniz. NOT Software Restriction Policy içinde varsayýlan olarak Certificate Rule’larý kullanamazsýnýz. Bu durumu deðiþtirmek için aþaðýdaki policy’de deðiþiklik yapmanýz gerekmektedir. Computer Configuration-> Windows Settings-> Security Settings-> Local Policies-> Security Options konteynýrýna gidin Buradaki System settings: Use Certificate Rules on Windows Executables for Software Restriction Policies’e çift týklayarak Þekil-3’deki pencereyi açýn. Þekil-3: Software Restriction Policy içinde Certificate Rule’larý kullanabilmeniz için tanýmlamanýz gereken policy. Bu penceredeki Define these policy settings seçeneðini seçip Enable’ý iþaretleyin. Yeni bir Certificate Rule oluþturmak için Additional Rules kýsmýna sað týklayýp açýlan menüden New Certificate Rule seçeneðini seçiyoruz. Karþýmýza Þekil-4’deki pencere çýkacaktýr. Þekil-4:Yeni bir Certificate Rule oluþturmak için kullanacaðýnýz pencere Bu penceredeki Browse butonuna basarak yazýlýmlarý imzalamak için kullandýðýnýz sertifikayý gösteriyorsunuz. Details butonuna basarsanýz bu sertifika hakkýnda daha detaylý bilgilere sahip olabileceðiniz bir pencere ile karþýlaþýrsýnýz. Security level kýsmýnda ise bu sertifika kullanýlarak imzalanan yazýlýmlarýn çalýþmasýna izin verip vermeyeceðinizi belirtiyorsunuz. Örneðin ben oluþturmuþ olduðum “Deneme amacli sertifika (turkmcse.com)” sertifikasýný kullanarak bilgisayarýmda bulunan ve Visual Basic Scripting ile yazýlan bir script’i imzaladým. Ardýndan oluþturduðum Certificate Rule ile bu sertifika tarafýndan imzalanan uygulamalarýn çalýþmalarýný yasakladým. Ve bu script’i çalýþtýrdýðýmda Þekil-5’deki mesaj ile karþýlaþtým. Þekil-5: Certificate Rule ile yasaklanan bir sertifika tarafýndan imzalanmýþ uygulamanýn çalýþtýrýlmasýyla karþýmýza yukarýdaki mesaj çýktý. NOT Dijital sertifikalarla yazýlýmlarý imzalama konusunda test yapmak için “Authenticode for Internet Explorer 5.0” paketini kullanabilirsiniz. Bu paketi Microsoft’un sitesindeki http://msdn.microsoft.com/downloads/default.aspx sayfasýndan ücretsiz indirebilirsiniz. Bu yöntem yani uygulamalarýn çalýþýp çalýþmayacaklarýna karar verirken Certificate Rule’larý kullanmak, yazýlýmlarý üreten firmalarýn ürettikleri yazýlýmlarý imzalayýp imzalamadýklarýyla doðru orantýlý olarak efektiklik kazanýr. Eðer yasaklamak yada kullanýmýna izin vermek istediðiniz yazýlýmlar, o yazýlýmý üreten firma tarafýndan imzalanmamýþsa Software Restriction Policies içindeki diðer kurallarla bu uygulamayý tanýmlayabilirsiniz. Path Rule: Yasaklanacak yada kullanýmýna izin verilecek uygulamayý tanýmlamak için uygulamanýn bilgisayarda kurulu olduðu yolu belirtiyoruz. Tanýmlayacaðýnýz Path Rule içerisinde eðer bir klasör belirtmiþseniz bu klasörün içindeki ve bu klasörün altýndaki tüm diðer klasörlerin içinde bulunan uygulamalarý tanýmlamýþ olursunuz. Ayrýca Path Rule içerisinde hem local hemde UNC yol tanýmý yapabilirsiniz. Yeni bir Path Rule oluþturmak için Additional Rules kýsmýna sað týklayýp açýlan menüden New Path Rule seçeneðini seçiyoruz. Karþýmýza Þekil-6’deki pencere çýkacaktýr. Þekil-6: Yeni bir Path Rule oluþturmak için kullandýðýmýz pencere Bu penceredeki Patuh kýsmýna kullanýmýný yasaklayacaðýmýz yada kullanýmýna izin vereceðimiz uygulamanýn yolunu yazýyoruz. Dikkat ederseniz ben örneðinizde sistemin kurulu olduðu yeri belirtmek için %SystemRoot% deðiþkenini kullandým. Deðiþkenleri kullanarak Path Rule tanýmlamak size bir hayli esneklik saðlayacaktýr. Mesela örneðimizde %SystemRoot% deðiþkeni yerine C:\Windows yazsaydým bu durumda iþletim sistemlerini D:\ partitionuna kuran kiþilere tanýmladýðýmýz bu kural etki etmeyecekti. Bu durumun önüne geçmek için Path Rule tanýmlarýnda genellikle deðiþkenler kullanýlýr. %SystemRoot% deðiþkenini haricinde en çok kullanýlan deðiþkenler %ProgramFiles%,%User Profile%, %windir%, %appdata%, and %temp% deðiþkenleridir. Kullanýlabilecek deðiþkenlerin tam listesini internetten bulabilirsiniz. Path Rule içerisinde “?” ve “” karakterlerini de kullanarak kural tanýmlayabilirsiniz. Örneðin Path Rule içerisinde \\Server??\yazilimla r þeklinde bir yol belirtirseniz bu kural tanýmý içerisine hem \\Server01\yazilimla r hemde \\Server02\yazilimla r girer. Bunun haricinde bir klasörün altýndaki ayný uzantýya sahip tüm dosyalarý yada klasörün altýmdaki tüm dosyalarý belirtmek için “” karakterini kullanabilirsiniz. Örneðin “c:\.vbs” tanýmý tüm c:\ partition’u altýndaki vbs uzantýlý dosyalarý belirtirken “c:\win” þeklindeki bir tanýmlama hem c:\Winnt hem de c:\Windows’u tanýmlar. Bazý yazýlýmlar kurulacaklarý yerin seçimini kullanýcýya býrakýrlar. Böyle bir durumda bu uygulamayý Path Rule içerisinde tanýmlarken problemlerle karþýlaþabilirsiniz. Örneðin varsayýlan olarak Program Files klasörünün altýna kurulan bir uygulamayý kullanýcý baþka bir klasörün altýna kurmuþ olabilir. Ve siz Path Rule içerisinde Program Files klasörünü kullanarak bir taným yaparsanýz bu kullanýcý için yapmýþ olduðunuz taným baþarýsýz olacaktýr. Kurulacaklarý klasörleri kullanýcýlara seçtiren uygulamalarýn büyük çoðunluðu kurulduklarý yerin bilgisini registry’de tutarlar. Bu özelliði kullanarak Path Rule tanýmýný yaparsak kullanýcýlarýn hangi klasöre kurduklarýný önceden bilmeye gerek kalmadan ilgili kuralý tanýmlayabiliriz. Bunun için oluþturacaðýmýz Path Rule “Registry Path Rule” ismiyle alýnýr. Örneðin network’deki bilgisayarlarda Kazaa++’ýn kullanýmýný Registry Path Rule kullanarak gerçekleþtirmek istiyorsak ilk önce Kazaa++’ýn bilgisayardaki hangi klasöre kurulduðunu belirten registry kaydýný buluyoruz. Bunun için regedit.exe uygulamasýný çalýþtýrarak HKEY_LOCAL_MACHINE\S OFTWARE\Kazaa\k-lite alt anahtarýna gidiyoruz. Ve bu alt anahtarýn içindeki “Installdir” kaydý Kazaa++’in bilgisayardaki hangi klasörde yüklü olduðunu gösteriyor. Bu bilgiler ýþýðýnda bulduðumuz bu registry yolunu kullanarak yeni bir Path Rule tanýmlýyoruz. Tanýmlayacaðýmýz bu Path Rule’daki Path kýsmýna registry’deki kaydýn tam yolunu baþýna ve sonuna % iþareti koyarak %HKEY_LOCAL_MACHINE\ SOFTWARE\Kazaa\k-lite\Installdir% þeklinde yazýyoruz. Artýk bu tanýmlamadan sonra kullanýcýlar Kazaa++’ý hangi klasöre kurarlarsa kursunlar sizin tanýmlamýþ olduðunuz kural geçerli olacaktýr. NOT Kullanýcýlar Path Rule tanýmlayarak yasakladýðýnýz programlarý baþka bir klasöre taþýyarak çalýþtýrabilirler. Bunun önüne geçmek için o dosyalarýn yada programlarýn izinlerini bu tür durumlara imkân tanýmayacak þekilde ayarlamanýz gerekmektedir. DÝKKAT Eðer siz varsayýlan Security Level’ini Disallowed olarak belirlemiþseniz bu durumda iþletim sisteminin çalýþmasýný etkilememek için aþaðýdaki registry path rule’lar otomatik olarak oluþturulur ve bu kurallar Unrestricted olarak iþaretlenir. Buradaki amaç tamamen sistemin kendi kendisini devre dýþý býrakmasýný önlemektir. ● %HKEY_LOCAL_MACHINE\ SOFTWARE\Microsoft\W indows NT\ CurrentVersion\Syste mRoot% ● %HKEY_LOCAL_MACHINE\ SOFTWARE\Microsoft\W indows NT\ CurrentVersion\Syste mRoot%\.exe ● %HKEY_LOCAL_MACHINE\ SOFTWARE\Microsoft\W indows NT\ CurrentVersion\Syste mRoot%\System32\.ex e ● %HKEY_LOCAL_MACHINE\ SOFTWARE\Microsoft\W indows\ CurrentVersion\Progr amFilesDir% Oluþturduðunuz kurallar içinde ayný uygulamayý tanýmlayan birden fazla kural olabilir. Bu durumda en spesifik kural geçerli olur. Aþaðýda kural içerisinde kullanýlabilecek path tanýmlarý yüksek öncelikliden düþük öncelikliye doðru sýralanmýþtýr. ● Drive:\Folder1\Folde r2\FileName.Extensio n ● Drive:\Folder1\Folde r2\.Extension ● .Extension ● Drive:\Folder1\Folde r2\ ● Drive:\Folder1\ Örneðin aþaðýdaki gibi iki tane kuralýnýz olsun; Kural Path Tanýmý Güvenlik Seviyesi 1.Kural .vbs Disallowed 2.Kural \\Server01\Scripts\l ogon.vbs Unrestricted Yukarýda tanýmlý kurallarý göz önüne aldýðýmýzda 2.Kural’ýn daha spesifik olduðunu görüyoruz. Bu durumda kullanýcýlar “logon.vbs”yi çalýþtýrabilecek fakat diðer vbs uzantýlý scriptleri çalýþtýramayacaklard ýr. Zone Rule:* Bu kural çeþidinde yazýlýmlarýn çalýþtýrýlýp çalýþtýrýlmayacaðýna karar verilirken bu yazýlýmýn Internet Explorer’da tanýmlý hangi zone kategorisi içinde bulunan siteden download edildiðine bakýlýr. Sadece .msi paketleri için kullanýlabilir. Kurallarýn Öncelikleri Tanýmladýðýnýz Software Restriction Policy içindeki kurallar belirli bir sýraya göre iþlenir. Bu iþleme sonucunda bir programý en spesifik þekilde tanýmlayan kural geçerli olur. Kurallarýn iþlenme sýrasý ; Hash rule Certificate rule Path rule Internet zone rule Default rule Group Policy içinde Software Restriction Policies konteynýrýna týkladýðýnýzda Enforcement, Designated File Types ve Trusted Publishers olmak üzere üç farklý seçenek görürsünüz. Þimdi bu seçeneklerin ne iþe yaradýðýný inceleyelim. Enforcement: Þekil-7’deki Enforcement Properties baþlýklý penceredeki “Apply software restriction policies to the following” kýsmýndaki “All software files except libraries (such as DLLs)” seçeneðini seçerseniz uygulanan policy DLL’ler ve diðer kütüphane dosyalarýna uygulanmaz. Microsoft tarafýndan tavsiye edilen ve varsayýlan seçenek budur. Eðer policy’nin tüm dosyalara uygulanmasýný istiyorsanýz bu durumda “All software files” seçeneðini seçin. Bu penceredeki “Apply software restriction policies to the following users” kýsmýndaki seçenekler yardýmýyla Software Restriction policy’lerin Local Administrator kullanýcýsýna etki edip etmeyeceðini belirliyoruz. Eðer “All users” seçeneðini seçerseniz tüm kullanýcýlar bu policy’lerden etkilenecektir. Lokal Administrator kullanýcýsýnýn etkilenmemesi için “All users except local Administrator” seçeneðini seçin. Þekil-7:Enforcement Properties baþlýklý pencere NOT Eðer oluþturduðunuz Software Restriction Policies ile kendi kendinizi kýsýtladýysanýz bu durumda bilgisayarýnýzý kapatýp Safe Mode’da açýn ve bilgisayar lokal Administrator kullanýcýsý olarak giriþ yapýn. Ardýndan tanýmladýðýnýz Software Restriction Policies ‘de gerekli deðiþiklikleri yapýp sistemi yeniden baþlatýn. Designated File Types: Þekil-8’deki “Designated File Types Properties” baþlýklý penceredeSoftware Restriction Policy’lerin uygulandýðý dosya tipleri listelenir. Buradaki Designated File kavramý çalýþtýrýlabilir dosyalarý ifade eder. Eðer Software Restriction Policy uygulamak istediðiniz dosya tipi bu listede yoksa bu penceredeki File extension kýsmýna o uygulamanýn kullandýðý dosya uzantýsýný yazýp Add butonuna basmanýz yeterli olacaktýr. Desteklenen dosya tiplerini listesini Tablo-1’de bulabilirsiniz. Þekil-8: Software Restriction Policy’lerin hangi dosya tiplerine uygulanacaðýnýn belirlendiði pencere Tablo-1:Varsayýlan Default Designated File Tipleri Dosya Uzantýsý Açýklama . ADE Microsoft Access Project Extension . ADP Microsoft Access Project . BAS Visual Basic® Class Module . BAT Batch File . CHM Compiled HTML Help File . CMD Windows NT® Command Script . COM MS-DOS® Application . CPL Control Panel Extension . CRT Security Certificate . EXE Application . HLP Windows Help File . HTA HTML Applications . INF Setup Information File . INS Internet Communication Settings . ISP Internet Communication Settings . JS JScript® File . JSE JScript Encoded Script File . LNK Shortcut . MDB Microsoft Access Application . MDE Microsoft Access MDE Database . MSC Microsoft Common Console Document . MSI Windows Installer Package . MSP Windows Installer Patch . MST Visual Test Source File . PCD Photo CD Image . PIF Shortcut to MS-DOS Program . REG Registration Entries . SCR Screen Saver . SCT Windows Script Component . SHS Shell Scrap Object . URL Internet Shortcut (Uniform Resource Locator) . VB VBScript File . VBE VBScript Encoded Script File . VBS VBScript Script File . WSC Windows Script Component . WSF Windows Script File . WSH Windows Scripting Host Settings File Trusted Publishers: Þekil-9’daki “Trusted Publishers Properties” baþlýklý penceredeki seçenekler yardýmýyla Active X kontrolleri ve diðer imzalý içerikler ile alakalý ayarlarý yapabilirsiniz. Bu penceredeki “Allow the following users to select trusted publisher” kýsmýndaki seçenekler ile kimlerin güvenilen yayýncýlara karar verebileceðini belirliyorsunuz. “Before trusting a publisher, check the following to determine if the certificate is revoked” kýsmýndaki seçenekler yardýmýyla da publisher’ýn sertifikasýnýn geçerli olup olmadýðýnýn nasýl kontrol edileceði belirliyoruz. Þekil-9:”Trusted Publisher Properties” baþlýklý pencere Kullanýcýnýn çalýþtýrmak istediði uygulama eðer Software Restriction Policy tarafýndan yasaklanmýþsa kullanýcýnýn bu uygulamayý çalýþtýrdýðý bilgisayardaki System loglarýna Þekil-10’daki gibi bir olay kaydedilecektir. Buradaki Event ID deðerinin ne anlama geldiðini Tablo-2’den öðrenebilirsiniz. Þekil-10:System loglarý yardýmýyla kullanýcýnýn Software Restriction Policy tarafýndan yasaklanmýþ bir uygulamayý çalýþtýrmak istediðini anlayabilirsiniz. Event ID Deðeri Anlamý 865 Uygulamanýn çalýþmasý varsayýlan güvenlik seviyesi tarafýndan engellenmiþtir. 866 Uygulamanýn çalýþmasý bir Path Rule tarafýndan engellenmiþtir. 867 Uygulamanýn çalýþmasý bir Certificate Rule tarafýndan engellenmiþtir. 868 Uygulamanýn çalýþmasý bir Zone Rule tarafýndan engellenmiþtir. Yayýnlanýþ Tarihi 03 Eylül 2007 Pazartesi 00:48 Yayýnlayan: Halil OZTURKCI __________________ Gül Efendim . . . . . .

Thread Tools
Show Printable Version Email this Page
Display Modes
Linear Mode Switch to Hybrid Mode Switch to Threaded Mode

Currently Active Users Viewing This Thread: 1 (0 members and 1 guests)