Bir çok dosya uzantısı ile karakteristiğini ortaya koyar. Bu dosya uzantılarından en önemlilerinde biriside .exe uzantısıdır. EXE dosyasının çalışması için uygun işletim sistemine göre yazılması gerekir. Örneğin Windows için yazılmış bir program Linux ile çalışmaz. Virüslerin bir bölümüde EXE uzantılı olarak çalışmaktadır. Bu süreçte sistem dosyaları ve sizin izin verdiginiz dosyalar haricinde arka planda EXE uzantısı ve diğer uzantıları Aktif dizinden izin vermek veya yasaklamak mümkündür.

Exe Nedir?

Tam adı Executuable (Çalıştırılabilir) olan EXE uzantılı dosyalar, işletim sisteminde değişik işlev ve operasyonları yerine getiren yapılardır. Veri veya metin dosyaları gibi içeriği anlaşılır değildir. Kullanılabilir hale gelmesi için derlenmesi ve işletim sisteminin anlayacağı yapıya bürünmesi gerekir.

EXE dosyasını DOS, OpenVMS, Microsoft Windows, ReactOS işletim sistemleri kullanır. EXE dosyasının çalışması için uygun işletim sistemine göre yazılması gerekir. örneğin Windows için yazılmış bir program Linux ortamlarda direk olarak çalışmaz. Linux ortamlarda çalıştırabilmek için  Wine, Cedega gibi emülatör programlara ihtiyaç duyulur.

Exe dosyasının çalışma sırasında yapısını incelemek ve takip etmek için Dependency Walke programı kullanılabilir.

Virüslerin bir bölümüde EXE uzantısına sahiptir. Bu süreçte sistem dosyaları ve sizin izin verdiğiniz dosyalar haricinde arka planda EXE uzantısı ve diğer uzantıları Aktif Dizin'den izin vermek veya yasaklamak mümkündür. 

Aktif Dizinde Program ve Uzantılı Dosyalara İzin Vermek Kısıtlama Yapmak

Bu işlemler  elimizdeki Aktif Dizin'deki Group Policy vasıtasıyla gerçekleştirilir. Group Policy penceresinde User configuration => Windows settings => Security Settings => Software restriction policies ==> Additional rules  yolu izlenerek Şekil 1'de yer alan seçeneklere ulaşılır. Software Restiriction Policy alanı ilk defa kullanılıyor ise burada fare ile sağa tıklanır ve  Create New  Policies  seçeneği seçilir, Additional Rules alanı oluşturulur.

Additional Rules alanının üzerine gelip sağ fare tuşuna tıkladığımızda karşımıza bazı seçenekler gelmektedir. Bunlardan New Hash Rule kullanarak izin verilecek EXE uzantılı dosyaları kriptografik özeti çıkartılarak aynı isme sahip sahte dosyalarının kullanımı engellebilir. (Şekil-2)

Burada yer alan diğer bir seçenek de New Path Rule'dur.  Bu özellik kullanılarak belirli dizinler altında kalan veya erişim yolu belirllenen kurallı ifadeyi sağlayan EXE uzantılı dosyaların erişim hakları toplu olarak belirlenebilir. (Şekil-3)

Burada seçilen dizinin güvenlik seviyesi (Security Level) iki şekilde ayarlanabilir. (Şekil-4)

• Unrestricted:İzin verme

• Disallowed:İzin Vermeme

Aktif dizinin  bu özellikleri kullanılarak aşağıdaki şekilde örnek bir politika oluşturulabilir.

• Öncelikle sistemdeki bütün EXE uzantılı dosyalar yasaklanır.  ( Path Rule: *.exe - Disallowed )

• Command.exe'yi kısayol ile eklemeyi yasaklamak için PIF dosyaları yasaklanır. ( Path Rule: *.pif - Disallowed )

• Son olarak işletim sisteminin ihtiyaç duyduğu sistem dosyaları ve sık kullanılan diğer EXE uzantılı dosyalar için erişim izinleri verilir. Bunlara bir kaç örnek aşağıda gösterilmiştir.

İzin Verilmesi Gereken Bazı Sistem Dosyaları

Internet Explorer: iexplore.exe

Media Player: wmplayer.exe 

Standart Bazı Programlar: TextPad.exe, Notepad.exe, MsPaint.exe, Worpad.exe, print.exe, MRT.exe, Calc.exe

Standart Dışı Bazı Uygulamalar

Sıkıştırma Programları: WinRAR.exe    

Microsoft Office Ürünleri: EXCEL.EXE, GRAPH.EXE, FRONTPG.EXE, MSACCESS.EXE, OUTLOOK.EXE, POWERPNT.EXE, WINWORD.EXE ,PPTVIEW.EXE, OIS.EXE, MSTORE.EXE, FINDER.EXE, msimn.exe (Office11 klasörüne “C:\Program Files\Microsoft Office\OFFICE11\*.EXE ”  denilmelidir.Çünkü programlar içinde çalışan yardımcı exeler var) 

Java: javaw.exe, java.exe , javaws.exe, Java Runtime (Java'da oturmuş bir standart yoktur. Bu sebepten şu şekilde bir uygulama yapılmalı  C:\Program Files\Java\*\*\*.exe  buradaki yıldızlar versiyonları ifade etmektedir.)  

Bu kullanıma benzer şekilde Acrobat Reader gibi programlarda C:\Program Files\Adobe\Acrobat 5.0\ReaderAcroRd32.exe yerine C:\Program Files\Adobe\*\Reader\AcroRd32.exe  kullanılabilir.(Şekil-5) Aksi durumda kurallı ifadeyi sağlayan tüm EXE uzantılı dosyaların teker teker eklenmesi gerekmektedir.

Alternatif olarak kullanılan EXE uzantılı dosyaların kriptografik özetleri eklenebilir. Diğer taraftan etki alanlarında aynı programın birden fazla versiyonu mevcut ise tek bir kriptografik özet uygulamayı tanıtmak için yeterli olmayacaktır. Bu sebeple Path Rule kullanımı daha etkindir.

Bu uygulama size ne kazandıracak?

• Etki alanınızda sizin uygun görmediginiz programlar kurulsa dahi çalıştırılamayacaktır.

• Etki alanına bulaşan uzantısı EXE  ve benzeri virüsler çalışamayacak, çalışanlar yasaklanacaktır. 

• Bazı kullanıcıların yetki verilmiş klasörler altında dosyaları çalışma hakları ellerinden alınmış olacaktır.

• Belirli bir süre bu sistemi kullandığınızda diğer bazı faydalarını da gözlemleyeceksiniz.

Problemler ve Çözümleri

Sistemde farklı makinalar ve birden fazla farklı versiyonu olan programlar var. Programın açılması sorunu ile karşılaşılırsa:

1. 2-3 defa komut satırından gpupdate /force komutu çalıştırılmal.

2. Sorun devam ederse programın EXE dosyasının  kriptografik özeti alınmalı ve politikaya eklenmeli.

3. İstemcide tekrar  gpupdate /force komutu çalıştırılmalı.

4. Sorun yine düzelmez ise bu programı çalıştıran ek EXE dosyaların olup olmadığı araştırılmalı ve onların da kriptografik özeti eklenmeli

5. İstemcide tekrar  gpupdate /force komutu çalıştırılmalı.

6. Bütün bu işlemler sonunda sorun düzelmez ise programın dizini eklenmeli.

Belirlenen Politikanın Yerel Yöneticilere Uygulanmaması Nasıl Yapılır? 

Öncelikle Group policy seçilir ve alttaki sekmelerden Properties tıklanır. Açılan pencerede Security sekmesine gidilir. Yerel Admin grubu eklenir. Permission sekmesinden Apply Group Policy Deny seçilir.

KAYNAKLAR

[1] http://technet.microsoft.com/en-us/library/bb457006.aspx

[2] http://technet.microsoft.com/en-us/library/cc782430(WS.10).aspx

[3] http://support.microsoft.com/kb/324036

[4] http://www.windowsnetworking.com/articles_tutorials/Software-Restriction-Policies.html

Sadece kayıtlı kullanıcılar yorum yazabilir.
Lütfen sisteme giriş yapın veya kayıt olun.