如果您是Windows使用者,很可能已經聽說過Microsoft AppLocker。此白名單程式允許Windows使用者通過將可執行程式限制為特定的路徑,雜湊值或已簽名的應用程式列表來保護自己免受基於磁碟的惡意軟體的侵害。然而,一名新球員加入了比賽,AaronLocker。
什麼是AaronLocker?
AaronLocker以其同名開發人員Aaron Margosis的名字命名,是Windows AppLocker傳統實現的包裝器。它完全透過PowerShell(5.0及更高版本)編寫,包含少量指令碼,可以根據更具體的要求輕鬆定製。總體目標是使Windows AppLocker實現更加健壯,實用和可維護,同時仍然保持免費。 AaronLocker甚至還包含一些額外的指令碼,使其可用於從excel檔案中的Microsoft AppLocker捕獲策略和事件資料。Wonderfull!
AaronLocker檔案可以從以下連結至github下載: https : //github.com/Microsoft/AaronLocker/
AaronLocker戰略
AaronLocker根據特定策略實施Microsoft AppLocker。除非管理員明確允許,否則不允許執行非管理使用者新增到電腦中的的程式或指令碼。這由使用者許可權和位置同時控制。目錄中的程式(例如程式檔案目錄只能由管理員訪問)被認為是有效的並且允許執行。除非另有授權,否則限制其他使用者存取維護其他的目錄
執行你的第一個AaronLocker指令碼
本教程是在執行PowerShell v5.1的Windows 10作業環境上進行的,並透過了指令碼執行。我們從以下連結下載了Sysinternals AccessChk.exe : https : //docs.microsoft.com/en-us/sysinternals/downloads/sysinternals-suite 。 AccessChk已新增到Windows 10的 機器上 ,以允許AaronLocker確定目錄是否是使用者可寫的。而 AaronLocker.zip包被解壓縮到C:\目錄, AccessChk.exe被放在同一個AaronLocker目錄中。
開始使用AaronLocker定製
AaronLocker規則構建過程的第一步是新增任何適用的自定義項。所有自定義指令碼都可以在github的AaronLocker包中下載的CustomizationInputs資料夾中找到。只需將適當的排除項放在適當的檔案中即可。例如,任何已知的可信簽署者都將新增到TrustedSigners.ps1 。
在本教程中,我們將按路徑管理AaronLocker的使用策略。首先確保允許任何安全路徑通過將它們新增到檔案GetSafePathsToAllow.ps1來執行。確保新增到此目錄的所有路徑只能由管理員修改。
接下來,我們將通過修改檔案UnsafePathToBuildRulesFor.ps1來新增任何不安全路徑的列表。這是我們的白名單發生的地方。在這種情況下,我們選擇將C:\ Test目錄列入白名單。
如果您不確定哪些目錄需要列入白名單,則可以使用ScanDirectories.ps1指令碼來標識安全目錄。例如,下面的PowerShell命令在C:\ Users下建立了一個安全目錄列表。
使用createpolicies.ps1建立AppLocker策略。指令碼執行後,可以在outputs目錄中找到新的策略集。包括審計和強制策略集。
在本地啟用策略
最後,我們將在本地應用該策略。首先,執行ConfigureForAppLocker.ps1 。此指令碼將應用程式標識(AppIdSvc)服務配置為自動啟動,啟動服務,並將AppLocker事件日誌大小配置為每個1GB。
接下來,執行指令碼ApplyPolicyToLocalGPO.ps1 。這會將最新的AaronLocker生成的策略應用於本地組策略。預設情況下,將立即強制執行該策略。要應用審計模式策略,請將-AuditOnly開關新增到命令列。
測試AaronLocker政策
要測試新策略,我們必須首先使用使用者帳戶登入。我們將從我們阻止執行的C:\ Test目錄執行一個應用程式。瞧!我們的執行被阻止了。
現在,讓我們確保允許適當的目錄。為此,我們將測試C:\ Windows目錄中的可執行檔案。具體來說,我們將執行calc.exe。它執行!我們已經驗證了我們的第一個AaronLocker政策。
轉自IPSWITCH官方部落格