ÇözümPark'a hoş geldiniz. Oturum Aç | Üye Ol
 
Ana Sayfa Makale Video Forum Resimler Dosyalar Etkinlik Hizmetlerimiz Biz Kimiz

Windows Server

Device Guard Merge-CI Policy

New-Cı Policy uygulamasını oluşturduğumuz zaman Golden imajımız üzerinde yüklü bulunan uygulamalar güvenilir ve bilinir uygulamalar olarak Device Guard politikalarına eklendi ve Device Guard yaygınlaştırma işlemleri tamamlandı. Aradan belirli bir zaman geçti ve bizim imzalamış olduğumuz X yazılımının 1.2.3 versiyonu 1.2.4 olarak güncellendi.

Bu güncelleştirme sonrası Device Guard Politikaları nasıl davranacak. Device Guard, 1.2.3 olarak imzalanmış olduğumuz uygulamaya güvenmeye devam edecek ama güncellenen uygulamanın 1.2.4 versiyonuna güvenmeyecektir. Bizler 1.2.4 uygulaması için ayrı bir policy oluşturmamız gerekmektedir. Device Guard’ a göre güncelleştirme alınan uygulama başka bir yazılımdır.

Bir diğer senaryo, policy i oluşturmuş olduğumuz zaman Y yazılımını golden imaja yüklemeyi unuttuk ve Device Guard deployment işlemini gerçekleştirdik. Bu senaryo içinde aynı eylem geçerli olacak ve Y yazılımı policy içinde güvenilir olarak imzalanmadığı için Device Guard eklemediğimiz, unuttuğumuz her bir yazılıma güvenilmeyecektir.

Yapacak olduğumuz işlem yeni bir Policy daha oluşturup her iki policy  Merge-CIPolicy Power Shell komutlarıyla birleştirmek olacaktır.

clip_image002

 

Merge-CIPolicy işlemlerini yapabilmek için ben aynı referans makinemi kullanıyorum. Fakat aradan zaman geçti ve mevcut referans makinenize ulaşamıyorsunuz. Problem değil. New-CIPolicy uygulamış olduğumuz makinenin gereksinimlerinde bir tane Windows 10 ENT işletim sistemi kurmamız ve daha önce oluşturmuş olduğumuz Policy’e sahip olmamız yeterlidir.  Policy mizin dönüşüme uğramamış ham hali varsa aynı uygulamaları tekrardan Golden bilgisayarımıza yüklememize gerek bulunmamaktadır. Bu sebepten ötürü Merge işlemlerine başlamadan önce daha önce oluşturmuş olduğumuz Policy’ nin yedeğini almanızı önermekteyim.

clip_image004

 

Referans bilgisayarımız Audit Mode içinde ve imzalamak istediğimiz uygulamalarımızı yüklüyoruz ve varsa eğer yapılandırmalarını gerçekleştiriyoruz. İmzalanacak olan uygulamanın kurulum dosyası referans bilgisayarımız üzerinde olması gerekmektedir.

Örneğimiz içinde 7-Zip uygulaması Policy miz içinde bulunmamakta. Senaryomuz içinde 7-zip uygulaması için izin vereceğiz. Golden bilgisayarımız Audit mode içindeyken 7-zip uygulamasını kurdum ve kurulum dosyasını ise Downloads pathi altında bıraktım.

clip_image006

 

New-CIPolicy -Audit -Level Hash -FilePath c:\Policy2.xml -Userpes

Yukarıda çalıştırmış olduğum komutlar sonrası 7-Zip uygulaması imzalandı.

Aşağıdaki komut ile Poliy1 ve Policy2 dosyaları birleştirildi ve yeni oluşturmuş olduğumuz MergePolicy.xml dosyamız içinde yeni imzaladığımız 7zip dosyasının kurulum dosyasının da imzalandığını görebilmekteyiz.

Merge-CIPolicy -PolicyPaths C:\Policy1.xml,c:\Policy2.xml -OutputFilePath c:\MergePolicy.xml

clip_image008

 

Aşağıdaki komut ile oluşturmuş olduğumuz Merge.xml dosyasını bin formatına çeviriyoruz.

ConvertFrom-CIPolicy C:\MergePolicy.xml C:\MergePolicy.bin

clip_image010

 

Ve son olarak aşağıdaki komut ile birleştirilmiş olan merge edilmiş policymizi dağıtılacak olan SIPolicy.p7b dosya türüne dönüştürüyoruz.

cp C:\MergePolicy.bin c:\Windows\System32\CodeIntegrity\SIPolicy.p7b

clip_image012

 

Bu işlemlerden sonra artık 7zip uygulamamızda güvenilir uygulamalar içine dahil edilmiş oldu. Mevcut yeni sertifikamız içinde ilk imzaladığımız uygulamalarımız ve bu makale ile birlikte imzaladığımız 7-zip uygulamamız güvenilir, imzalı uygulamalar içinde.

clip_image014

 

CodeIntegrity olay günlüklerini sıfırlıyorum ve güvenilen uygulamalarımız olan 7zip (merge policy ile birlikte imzalanan uygulama) ve WordViewerSkus (ilk policy oluşturulduğu zaman imzalanan uygulama) uygulamalarını çalıştırıyorum ve hiçbir olay günlüğü oluşturulmuyor.

İmzalanmayan winrar dosyasını henüz yüklemedim sadece exe dosyasını açtım.

clip_image016

 

CodeIntegrity Policy sine hemen bir olay günlüğü düştü.

clip_image018

 

Olay günlüğünün detaylarına baktığım zaman imzalanmayan winrar uygulaması için olay günlüğünün oluştuğunu görebilmekteyiz.

 

Tarih : 18 Aralık 2016 Pazar 23:20 Yayınlayan: Fatih KARAALIOGLU

Yorumlar

Henuz Yorum Yok
Kimliksiz yorumlar seçilemez kılınmış durumdadır.

Yazar: Fatih KARAALIOGLU

1984 İstanbul doğumluyum. 1998 Yılından beri bilişim sektöründe bulunup, bu zaman zarfı içinde çeşitli rollerde görev aldım. Şu anda Probil Bilgi İşlem Destek ve Danışmanlık San. ve Tic. A.Ş. içinde Kurumsal Entegrasyon Uzmanı ve Danışman olarak görev almaktayım. Çalışma hayatım içinde çok çeşitli firma yapılarını inceleme şansım oldu ve beraberinde yeni projeleri, yeni deneyimleri getirdi. Üretmiş olduğum çözümler ağırlıklı olarak Microsoft Sunucu Sistemleri ve Sunucu Sistemleri Yönetim Araçları’ dır. Temmuz 2010 tarihinde Microsoft Yönetim Araçları içinde bulunan Microsoft System Center Data Protection Manager yazılımı için MVP ünvanını kazandım. Bu ünvanı elde etmek benim için pek kolay olmadı. Aslında bu yol, biraz olsun benim kişiliğimi ve rakip tanımaz hırsımın bir göstergesi olduğuna inanıyorum. Bu ünvanı aldıktan sonra Blogumda Paylaşmış olduğum Eğer Büyüye Bilirsem bir gün, Abaküs ile IP hesaplaması yapan ilk MVP olacağıma inanıyorum isimli duygu ve düşüncelerimi okuyabilir ve beni biraz daha iyi tanıyabilirsiniz.
 

Bu Kategori

Hızlı aktarma

Arşivler

Etiketler