Device Guard Merge Policy

New-Cı Policy uygulamasını oluşturduğumuz zaman Golden imajımız üzerinde yüklü bulunan uygulamalar güvenilir ve bilinir uygulamalar olarak Device Guard politikalarına eklendi ve Device Guard yaygınlaştırma işlemleri tamamlandı. Aradan belirli bir zaman geçti ve bizim imzalamış olduğumuz X yazılımının 1.2.3 versiyonu 1.2.4 olarak güncellendi.

Bu güncelleştirme sonrası Device Guard Politikaları nasıl davranacak. Device Guard, 1.2.3 olarak imzalanmış olduğumuz uygulamaya güvenmeye devam edecek ama güncellenen uygulamanın 1.2.4 versiyonuna güvenmeyecektir. Bizler 1.2.4 uygulaması için ayrı bir policy oluşturmamız gerekmektedir. Device Guard’ a göre güncelleştirme alınan uygulama başka bir yazılımdır.

Bir diğer senaryo, policy i oluşturmuş olduğumuz zaman Y yazılımını golden imaja yüklemeyi unuttuk ve Device Guard deployment işlemini gerçekleştirdik. Bu senaryo içinde aynı eylem geçerli olacak ve Y yazılımı policy içinde güvenilir olarak imzalanmadığı için Device Guard eklemediğimiz, unuttuğumuz her bir yazılıma güvenilmeyecektir.

Yapacak olduğumuz işlem yeni bir Policy daha oluşturup her iki policy  Merge-CIPolicy Power Shell komutlarıyla birleştirmek olacaktır.

Merge-CIPolicy işlemlerini yapabilmek için ben aynı referans makinemi kullanıyorum. Fakat aradan zaman geçti ve mevcut referans makinenize ulaşamıyorsunuz. Problem değil. New-CIPolicy uygulamış olduğumuz makinenin gereksinimlerinde bir tane Windows 10 ENT işletim sistemi kurmamız ve daha önce oluşturmuş olduğumuz Policy’e sahip olmamız yeterlidir.  Policy mizin dönüşüme uğramamış ham hali varsa aynı uygulamaları tekrardan Golden bilgisayarımıza yüklememize gerek bulunmamaktadır. Bu sebepten ötürü Merge işlemlerine başlamadan önce daha önce oluşturmuş olduğumuz Policy’ nin yedeğini almanızı önermekteyim.

Referans bilgisayarımız Audit Mode içinde ve imzalamak istediğimiz uygulamalarımızı yüklüyoruz ve varsa eğer yapılandırmalarını gerçekleştiriyoruz. İmzalanacak olan uygulamanın kurulum dosyası referans bilgisayarımız üzerinde olması gerekmektedir.

Örneğimiz içinde 7-Zip uygulaması Policy miz içinde bulunmamakta. Senaryomuz içinde 7-zip uygulaması için izin vereceğiz. Golden bilgisayarımız Audit mode içindeyken 7-zip uygulamasını kurdum ve kurulum dosyasını ise Downloads pathi altında bıraktım.

New-CIPolicy -Audit -Level Hash -FilePath c:\Policy2.xml -Userpes

Yukarıda çalıştırmış olduğum komutlar sonrası 7-Zip uygulaması imzalandı.

Aşağıdaki komut ile Poliy1 ve Policy2 dosyaları birleştirildi ve yeni oluşturmuş olduğumuz MergePolicy.xml dosyamız içinde yeni imzaladığımız 7zip dosyasının kurulum dosyasının da imzalandığını görebilmekteyiz.

Merge-CIPolicy -PolicyPaths C:\Policy1.xml,c:\Policy2.xml -OutputFilePath c:\MergePolicy.xml

Aşağıdaki komut ile oluşturmuş olduğumuz Merge.xml dosyasını bin formatına çeviriyoruz.

ConvertFrom-CIPolicy C:\MergePolicy.xml C:\MergePolicy.bin

Ve son olarak aşağıdaki komut ile birleştirilmiş olan merge edilmiş policymizi dağıtılacak olan SIPolicy.p7b dosya türüne dönüştürüyoruz.

cp C:\MergePolicy.bin c:\Windows\System32\CodeIntegrity\SIPolicy.p7b

Bu işlemlerden sonra artık 7zip uygulamamızda güvenilir uygulamalar içine dahil edilmiş oldu. Mevcut yeni sertifikamız içinde ilk imzaladığımız uygulamalarımız ve bu makale ile birlikte imzaladığımız 7-zip uygulamamız güvenilir, imzalı uygulamalar içinde.

CodeIntegrity olay günlüklerini sıfırlıyorum ve güvenilen uygulamalarımız olan 7zip (merge policy ile birlikte imzalanan uygulama) ve WordViewerSkus (ilk policy oluşturulduğu zaman imzalanan uygulama) uygulamalarını çalıştırıyorum ve hiçbir olay günlüğü oluşturulmuyor.

İmzalanmayan winrar dosyasını henüz yüklemedim sadece exe dosyasını açtım.

CodeIntegrity Policy sine hemen bir olay günlüğü düştü.

Olay günlüğünün detaylarına baktığım zaman imzalanmayan winrar uygulaması için olay günlüğünün oluştuğunu görebilmekteyiz.