Windows Server

AppLocker ve Software Restriction Policies İle AnyDesk Yasaklamak

Merhaba, AnyDesk zafiyeti etkisini sürdürmeye devam ederken, ek önlem olarak AppLocker veya Software Restriction Policies kullanarak yasaklamanız gerekiyor.

AppLocker ve Software Restriction Policies Arasındaki Farklar Nelerdir?

AppLocker ve Software Restriction Policies (SRP), Microsoft’un Windows işletim sistemi için uygulama kontrol mekanizmalarıdır. Her ikisi de belirli yazılımların çalışmasını veya çalışmamasını yönetmek için kullanılabilir, ancak farklı yaklaşımlara sahiptirler. İşte bu iki mekanizma arasındaki ana farklar:

AppLocker: Windows 7 ve sonraki sürümlerde bulunur. AppLocker, Group Policy ile yönetilir ve gelişmiş bir kural tabanlı yönetim aracı sunar. Kullanıcılar veya gruplar için kapsamlı izin ve kısıtlama kuralları oluşturabilirsiniz.

Software Restriction Policies: Windows XP ve sonraki sürümlerde bulunur. SRP, Windows’un Local Group Policy veya Active Directory Group Policy üzerinden yapılandırılabilir. Ancak, AppLocker’a kıyasla daha sınırlıdır ve daha az esneklik sunar.

AppLocker: Uygulama kapsamlı bir kontrol sağlar. Belgelenmiş dosya türleri, uygulama yolları, yayıncılar ve dijital imzalar gibi çeşitli kriterlere dayalı olarak kısıtlamalar uygulayabilirsiniz.

Software Restriction Policies: Temel olarak dosya yolu, hash veya yayıncı gibi dosya özelliklerine dayalı kısıtlamalar sağlar. AppLocker’a kıyasla daha sınırlıdır.

AppLocker: Gelişmiş yeteneklere sahiptir ve Windows sürümlerinin daha yeni sürümlerinde bulunur. Uygulama yolu, dosya adı, sürüm bilgisi ve dijital imza gibi daha geniş bir kapsamda kısıtlamalar uygulanabilir.

Software Restriction Policies: Basit kısıtlamaları uygulamak için kullanışlıdır ancak AppLocker’ın sunduğu esneklik ve kapsamdan yoksundur.

AppLocker: Daha gelişmiş bir güvenlik sağlar çünkü daha detaylı kontrol ve izin ayarlarına olanak tanır. Dijital imzalar gibi daha güvenilir kimlik doğrulama yöntemlerini destekler.

Software Restriction Policies: Daha eski ve sınırlı olduğu için güvenlik açısından bazı eksiklikler olabilir. Örneğin, dosya yolu tabanlı kısıtlamalar, kötü niyetli yazılımlar tarafından daha kolay atlatılabilir.

Sonuç olarak, AppLocker, daha modern ve gelişmiş bir uygulama kontrol aracıdır ve genellikle Software Restriction Policies’e tercih edilir. Ancak, organizasyonun ihtiyaçlarına ve mevcut altyapısına bağlı olarak, her ikisi de uygun olabilir.

Bu kısa bilgilendirmeden sonra ilk olarak AppLocker ile başlıyoruz.

AppLocker ile AnyDesk Yasaklamak

Yeni policy olşuturup “Computer Configuration > Policies > Windows Settings > Security Settings > Application Control Policies > AppLocker” ayarlarına gidiyoruz.

Executable Rules’a sağ tıklayıp Create Default Rules‘a tıklıyoruz.

Yayıncı (Publisher):

AppLocker’da, belirli bir yayıncıya ait uygulamaları izin veya engellemek için kullanılabilir. Örneğin, Microsoft tarafından imzalanan tüm uygulamaları izin verebilir veya belirli bir yazılım geliştiricisinin uygulamalarını engelleyebilirsiniz.

Dosya Yolu (Path):

Dosya yolu, bir uygulamanın bulunduğu konumu belirtir. Bu, dosyanın tam yolu veya klasör yolunu içerebilir.
AppLocker, belirli bir dosya yolunda bulunan uygulamaları izin veya engellemek için kullanılabilir. Örneğin, C:\Program Files dizinindeki tüm uygulamaları engelleyebilir veya belirli bir klasörde bulunan uygulamaları izin verebilirsiniz.

Dosya Karması (File Hash):

Dosya karması veya dosya özeti, bir dosyanın benzersiz bir tanımını sağlayan bir dize veya sayıdır. Bir dosyanın içeriğinin özetidir.

AppLocker’da, belirli bir dosyanın karmasını kullanarak yalnızca belirli bir dosyanın çalışmasına izin vermek veya onu engellemek mümkündür. Bu, dosyanın içeriğinin değiştirilmesini veya başka bir dosya ile değiştirilmesini önler ve güvenliği artırır.

Ben “File hash” ile devam ediyorum.

Burada “Browse Files”‘a tıklayarak “anydesk.exe”‘i gösteriyorum.

Aşağıdaki onay kutusuna “Yes” diyoruz.

“Anydesk” dışında her şeye izin veriliyor.

“AppLocker” kısmına geri dönüyorum ve “Configure rule enforcement“‘a tıklıyorum. Burada iki seçenek var “Enforce rules” ve “Audit only”. Enforce rules derseniz kural uygulanır. Audit only’i seçerseniz sadece loglanır. Ben uygulanmasını istediğim için Enforce rules’u seçiyorum.

Son olarak “Application Identity” servisini “Automatic” olarak ayarlıyoruz.

GPO hazır, son olarak istediğimiz OU’a linkliyoruz ve sonucu aşağıda görüyoruz.

Software Restriction ile Anydesk yasaklamak

Windows 7’den eski bir sisteminiz varsa Software Restriction kullanarakta uygulama yasaklama yapabilirsiniz.

Yeni bir GPO oluşturuyorum ve “Windows Settings > Security Settings > Software Restriction Policies” konumuna gidiyorum.

“Additional Rules” bölümüne sağ tıklayıp “New Hash Rule”‘a tıklıyoruz ve “anydeks.exe”‘i gösteriyoruz.

Rule hazır hale geliyor.

Son olarak “anydesk”‘i yasaklamak istediğimiz OU’a linkliyoruz. Ve işlem tamalanıyor.

Faydalı olmasını dilerim, kolaylıklar.

İlgili Makaleler

4 Yorum

  1. Elinize sağlık lakin nacizane düşüncem bu yöntemler sadece 8.0.8 sürümünü engeller diye düşünüyorum, her sürümün hash değeri farklı eski sürümler için çalışmaz kanısındayım. En mantıklısı güvenlik duvarı üzerinden engellemek

    1. Evet kendim hallettim 8.0.8.0 da digital imza değişmiş, eski versiyonlar için herhangi bir alt sürümü Publisher olarak ekledim sonraki sekmede “Use custom Values” deyip 8.0.3.0 gibi olan değeri 0.0.0.0 yaptım böylece 8.0.8 e kadar olan versiyonları engelliyor bilginize
      Alt bir bilgi uzun zamandır psiphon u engellemek için sürümleri tek tek indirim hash değerlerinden engelliyordum
      Yukarıda bahsettiğim yöntemle yeni sürüm çıksa bile digital imzadan rahatlıkla engelliyor bilginize

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu