Главная » Linux

Applocker для windows server

Содержание
  1. Что такое AppLocker? What Is AppLocker?
  2. Какие функции отличаются между политиками ограничения программного обеспечения и AppLocker? What features are different between Software Restriction Policies and AppLocker?
  3. Блокировка установки/запуска приложений с помощью AppLocker

Что такое AppLocker? What Is AppLocker?

Область применения Applies to

  • Windows 10. Windows 10
  • Windows Server Windows Server

В этом разделе для ИТ-специалистов описывается, что такое AppLocker и чем его функции отличаются от политик ограничения программного обеспечения. This topic for the IT professional describes what AppLocker is and how its features differ from Software Restriction Policies.

AppLocker усовершенствовает функции управления приложениями и функции политик ограничения программного обеспечения. AppLocker advances the app control features and functionality of Software Restriction Policies. AppLocker содержит новые возможности и расширения, которые позволяют создавать правила, позволяющие разрешить или запретить запуск приложений на основе уникальных удостоверений файлов и указать, какие пользователи или группы могут запускать эти приложения. AppLocker contains new capabilities and extensions that allow you to create rules to allow or deny apps from running based on unique identities of files and to specify which users or groups can run those apps.

С помощью AppLocker вы можете: Using AppLocker, you can:

  • Управление следующими типами приложений: исполняемые файлы (.exe и .com), сценарии (JS, PS1, VBS, CMD и .bat), файлы установщика Windows (MST, MSI и MSP) и DLL-файлы (DLL и OCX), а также упакованные приложения и установщики упакованных приложений (appx). Control the following types of apps: executable files (.exe and .com), scripts (.js, .ps1, .vbs, .cmd, and .bat), Windows Installer files (.mst, .msi and .msp), and DLL files (.dll and .ocx), and packaged apps and packaged app installers (appx).
  • Определите правила на основе атрибутов файла, производных от цифровой подписи, включая издателя, название продукта, имя файла и версию файла. Define rules based on file attributes derived from the digital signature, including the publisher, product name, file name, and file version. Например, можно создать правила на основе атрибута издателя, сохраняемого посредством обновлений, или создать правила для определенной версии файла. For example, you can create rules based on the publisher attribute that is persistent through updates, or you can create rules for a specific version of a file.
  • Назначение правил группе безопасности или определенному пользователю. Assign a rule to a security group or an individual user.
  • Создание исключений из правил. Create exceptions to rules. Например, можно создать правило, позволяя запускать все процессы Windows, кроме редактора реестра (Regedit.exe). For example, you can create a rule that allows all Windows processes to run except Registry Editor (Regedit.exe).
  • Использование режима только аудита для развертывания политики и определения ее влияния до непосредственного применения. Use audit-only mode to deploy the policy and understand its impact before enforcing it.
  • Правила импорта и экспорта. Import and export rules. Импорт и экспорт влияют на всю политику. The import and export affects the entire policy. Например, при экспорте политики экспортируются все правила из всех коллекций правил, в том числе параметры для коллекций правил. For example, if you export a policy, all of the rules from all of the rule collections are exported, including the enforcement settings for the rule collections. При импорте политики все условия в существующей политике перезаписываются. If you import a policy, all criteria in the existing policy are overwritten.
  • Упрощение создания и управления правилами AppLocker с помощью Windows PowerShell управления. Streamline creating and managing AppLocker rules by using Windows PowerShell cmdlets.
Читайте также:  Что делать с iso образом windows

AppLocker помогает сократить административные издержки и снизить затраты организации на управление вычислительными ресурсами, уменьшая количество звонков в службу поддержки, которые являются результатом работы пользователей, запускающих неутверченные приложения AppLocker helps reduce administrative overhead and helps reduce the organization’s cost of managing computing resources by decreasing the number of help desk calls that result from users running unapproved apps

Сведения о сценариях управления приложениями, адресуемого AppLocker, см. в сценариях использования политик AppLocker. For information about the application control scenarios that AppLocker addresses, see AppLocker policy use scenarios.

Какие функции отличаются между политиками ограничения программного обеспечения и AppLocker? What features are different between Software Restriction Policies and AppLocker?

Отличия функций Feature differences

В следующей таблице сравнивает AppLocker с политиками ограничения программного обеспечения. The following table compares AppLocker to Software Restriction Policies.

Область действия правила Rule scope

Все пользователи All users

Конкретный пользователь или группа Specific user or group

Предоставленные условия правил Rule conditions provided

Hash файла, путь, сертификат, путь в реестре и зона Интернета File hash, path, certificate, registry path, and Internet zone

Hash, path, and publisher файла File hash, path, and publisher

Предоставленные типы правил Rule types provided

Определяется уровнями безопасности: Defined by the security levels:

Базовый пользователь Basic User

Разрешить и запретить Allow and deny

Действие правила по умолчанию Default rule action

Неявный запрет Implicit deny

Режим только аудита Audit-only mode

Мастер создания нескольких правил одновременно Wizard to create multiple rules at one time

Импорт и экспорт политик Policy import or export

Коллекция правил Rule collection

Windows PowerShell поддержки Windows PowerShell support

Настраиваемые сообщения об ошибках Custom error messages

Различия функций управления приложениями Application control function differences

В следующей таблице сравниваются функции управления приложениями политик ограничения программного обеспечения (SRP) и AppLocker. The following table compares the application control functions of Software Restriction Policies (SRP) and AppLocker.

Функция Feature Политики ограниченного использования программ Software Restriction Policies AppLocker AppLocker

Область действия операционной системы Operating system scope

Политики SRP можно применять во всех операционных системах Windows, начиная с Windows XP и Windows Server 2003. SRP policies can be applied to all Windows operating systems beginning with Windows XP and Windows Server 2003.

Политики AppLocker применяются только к поддерживаемые версии операционной системы и выпуски, перечисленные в требованиях для использования AppLocker. AppLocker policies apply only to those supported operating system versions and editions listed in Requirements to use AppLocker. Но эти системы также могут использовать SRP. But these systems can also use SRP.

Используйте различные GOS для правил SRP и AppLocker. Use different GPOs for SRP and AppLocker rules.

Поддержка пользователей User support

SRP позволяет пользователям устанавливать приложения в качестве администратора. SRP allows users to install applications as an administrator.

Политики AppLocker поддерживаются посредством групповой политики, и только администратор устройства может обновить политику AppLocker. AppLocker policies are maintained through Group Policy, and only the administrator of the device can update an AppLocker policy.

AppLocker позволяет настраивать сообщения об ошибках, чтобы направлять пользователей на веб-страницу для получения справки. AppLocker permits customization of error messages to direct users to a Web page for help.

Обслуживание политик Policy maintenance

Политики SRP обновляются с помощью оснастки «Локализованная политика безопасности» или консоли управления групповыми политиками (GPMC). SRP policies are updated by using the Local Security Policy snap-in or the Group Policy Management Console (GPMC).

Политики AppLocker обновляются с помощью оснастки «Локалная политика безопасности» или GPMC. AppLocker policies are updated by using the Local Security Policy snap-in or the GPMC.

AppLocker поддерживает небольшой набор cmdlets PowerShell для помощи в администрировании и обслуживании. AppLocker supports a small set of PowerShell cmdlets to aid in administration and maintenance.

Инфраструктура управления политиками Policy management infrastructure

Для управления политиками SRP SRP использует групповую политику в домене и оснастку «Локализованная политика безопасности» для локального компьютера. To manage SRP policies, SRP uses Group Policy within a domain and the Local Security Policy snap-in for a local computer.

Для управления политиками AppLocker AppLocker использует групповую политику в домене и оснастку «Локализованная политика безопасности» для локального компьютера. To manage AppLocker policies, AppLocker uses Group Policy within a domain and the Local Security Policy snap-in for a local computer.

Блокировка вредоносных сценариев Block malicious scripts

Правила блокировки вредоносных сценариев не могут запускать все сценарии, связанные с ведущим скриптом Windows, за исключением сценариев, подписанных вашей организацией с цифровой подписью. Rules for blocking malicious scripts prevents all scripts associated with the Windows Script Host from running, except those that are digitally signed by your organization.

Правила AppLocker могут управлять следующими форматами файлов: PS1, BAT, CMD, VBS и JS. AppLocker rules can control the following file formats: .ps1, .bat, .cmd, .vbs, and .js. Кроме того, можно настроить исключения, чтобы разрешить запуск определенных файлов. In addition, you can set exceptions to allow specific files to run.

Управление установкой программного обеспечения Manage software installation

SRP может предотвратить установку всех пакетов установщика Windows. SRP can prevent all Windows Installer packages from installing. Он позволяет устанавливать MSI-файлы, подписанные вашей организацией с цифровой подписью. It allows .msi files that are digitally signed by your organization to be installed.

Коллекция правил установщика Windows — это набор правил, созданных для типов файлов установщика Windows (MST, MSI и MSP), позволяющих управлять установкой файлов на клиентских компьютерах и серверах. The Windows Installer rule collection is a set of rules created for Windows Installer file types (.mst, .msi and .msp) to allow you to control the installation of files on client computers and servers.

Управление всем программным обеспечением на компьютере Manage all software on the computer

Все программное обеспечение управляется в одном наборе правил. All software is managed in one rule set. По умолчанию политика управления всем программным обеспечением на устройстве не позволяет управлять всем программным обеспечением на устройстве пользователя’, за исключением программного обеспечения, установленного в папке Windows, папке Program Files или вложенных папках. By default, the policy for managing all software on a device disallows all software on the user’s device, except software that is installed in the Windows folder, Program Files folder, or subfolders.

В отличие от SRP, каждая коллекция правил AppLocker функционирует как разрешенный список файлов. Unlike SRP, each AppLocker rule collection functions as an allowed list of files. Запускать можно только те файлы, которые указаны в коллекции правил. Only the files that are listed within the rule collection will be allowed to run. Эта конфигурация упрощает администраторам определение того, что произойдет при применении правила AppLocker. This configuration makes it easier for administrators to determine what will occur when an AppLocker rule is applied.

Различные политики для разных пользователей Different policies for different users

Правила применяются равномерно для всех пользователей на определенном устройстве. Rules are applied uniformly to all users on a particular device.

На устройстве, доступ к которому есть у нескольких пользователей, администратор может указать группы пользователей, которые могут получить доступ к установленному программному обеспечению. On a device that is shared by multiple users, an administrator can specify the groups of users who can access the installed software. С помощью AppLocker администратор может указать пользователя, к которому должно применяться определенное правило. Using AppLocker, an administrator can specify the user to whom a specific rule should apply.

Блокировка установки/запуска приложений с помощью AppLocker

Рассмотрим ситуацию: У Вас есть «терминальный» сервер, на котором сидят люди с тонких клиентов. Мы для них все настроили, в том числе и браузер, и хотим, чтобы они все пользовались 1 браузером. Но они начинают ставить себе Хром, Яндекс, и упаси Боже — Амиго… А они ставятся не в \Program Files, а в профиль пользователю…

В данной статье рассмотрим, как же можно стандартными средствами Windows запретить пользователю устанавливать приложения, которые ставятся в папку с профилем пользователя, такие как Yandex браузер, Амиго, спутник Mail и т.п.

Для начала идем в «Панель управления» во вкладку «Администрирование»

Открываем «Службы» и находим службу «Удостоверение приложения»

Открываем свойства данной службы

По «умолчанию» она остановлена и стоит «Запуск — вручную»

Нам необходимо установить «Запуск — автоматически» и нажать кнопку «Запустить»

Теперь снова возвращаемся в «Администрирование» и открываем «Локальная политика безопасности»

В открывшемся окне идем в «Политики управления приложениями -> AppLocker -> Исполняемые правила»

У Вас «по умолчанию» там будет пусто

Справа в свободном месте нажимаем правой кнопкой мыши и выбираем «Создать правило…»

Нас приветствует «Мастер создания новых правил», Нажимаем «Далее»

Выбираем, что мы хотим сделать, разрешить или запретить. Выбираем «Запретить«.

Далее можем оставить по умолчанию «Все», или выбрать конкретную группу или пользователя.

После нажимаем «Далее»

В данном окне есть несколько типов правил, я пользуюсь правилом «Издатель» и нажимаем «Далее»

Тут выбираем файл, установщик которого мы хотим запретить

Для примера я выбрал установщик Яндекс.Браузера

Слева видим ползунок, которым можно ограничивать, выполнять все условия или поднимая выше — уменьшать кол-во проверок. Поиграйтесь ползунком — поймете что он ограничивает.

После того, как выбрали подходящий Вам вариант — нажимаем «Далее»

Тут можно добавить исключение. Я им не пользовался.

Ну к примеру вы запретили установку любого ПО от производителя «Яндекс», но хотите чтобы было разрешено «Яндекс.Панель», тогда необходимо добавить его в исключение кнопкой «Добавить…», как все сделали — нажимаем «Далее»

Теперь нам осталось только дать имя нашему правилу и его описание (не обязательно). После чего нажимаем кнопку «Создать»

Все! Наше правило готово. Чтобы оно немедленно вступило в силу — предлагаю обновить правила политики для ПК и Пользователя.

Для этого открываем командную строку (пуск -> выполнить -> cmd или PowerShell) и пишем gpupdate /force

Дожидаемся обновления политик и можем тестировать.

Так как я применял политику только на группу «Пользователи домена», на меня она не распространяется, но если запустить установку Яндекс.Браузера от имени обычного пользователя, то мы увидим вот такую ошибку:

Читайте также:  Информация с windows mac
Оцените статью
© 2024 Советы по настройке компьютера
Функция управления приложениями Application control function SRP SRP AppLocker AppLocker