Applocker windows 10 как включить

Applocker windows 10 как включить

Область применения Applies to

Сведения о том, как настроить устройство, работающее под управлением Windows10 Enterprise или Windows10 образования, версии 1703 и более ранних версий, чтобы пользователи могли запускать только определенные приложения. Learn how to configure a device running Windows10 Enterprise or Windows10 Education, version 1703 and earlier, so that users can only run a few specific apps. Результат использования описанной в этом разделе функции схож с действием устройства киоска, но при этом доступны несколько приложений. The result is similar to a kiosk device, but with multiple apps available. Например, библиотечный компьютер можно настроить таким образом, чтобы пользователи могли выполнять поиск по каталогу и просматривать веб-страницы, но не имели возможности запускать другие приложения или изменять параметры компьютера. For example, you might set up a library computer so that users can search the catalog and browse the Internet, but can’t run any other apps or change computer settings.

Для устройств под управлением Windows 10, версия 1709, мы рекомендуем метод киоска для нескольких приложений. For devices running Windows 10, version 1709, we recommend the multi-app kiosk method.

С помощью AppLockerвы можете ограничить пользователей определенным набором приложений на устройстве, на котором работает Windows10 предприятие или Windows10 обучение. You can restrict users to a specific set of apps on a device running Windows10 Enterprise or Windows10 Education by using AppLocker. Правила AppLocker определяют, какие приложения можно запускать на устройстве. AppLocker rules specify which apps are allowed to run on the device.

Правила AppLocker организованы в коллекции на основе формата файла. AppLocker rules are organized into collections based on file format. Если правила AppLocker для определенной коллекции правил не существуют, то все файлы этого формата можно запускать. If no AppLocker rules for a specific rule collection exist, all files with that file format are allowed to run. Однако если для коллекции создано правило AppLocker, разрешен только запуск файлов, явно указанных в правиле. However, when an AppLocker rule for a specific rule collection is created, only the files explicitly allowed in a rule are permitted to run. Подробнее об этом см. в разделе Как работает AppLocker. For more information, see How AppLocker works.

В этом разделе описывается, как блокировать приложения на локальном устройстве. This topic describes how to lock down apps on a local device. AppLocker также можно использовать, чтобы устанавливать правила для приложений в домене с помощью групповой политики. You can also use AppLocker to set rules for applications in a domain by using Group Policy.

Установка приложений Install apps

Сначала установите на устройстве нужные приложения, используя целевую учетную запись (записи) пользователя. First, install the desired apps on the device for the target user account(s). Это работает как для приложений UWP, так и для классических приложений Windows. This works for both Unified Windows Platform (UWP) apps and Windows desktop apps. Для приложений UWP необходимо войти в систему с правами этого пользователя, чтобы установить приложение. For UWP apps, you must log on as that user for the app to install. Для классических приложений вы можете установить приложение для всех пользователей, не войдя в эту учетную запись. For desktop apps, you can install an app for all users without logging on to the particular account.

Использование AppLocker для настройки правил для приложений Use AppLocker to set rules for apps

После установки необходимых приложений настройте правила AppLocker, чтобы разрешить запуск только определенных приложений, и заблокируйте все остальные. After you install the desired apps, set up AppLocker rules to only allow specific apps, and block everything else.

Запустите локальную политику безопасности (secpol.msc) от имени администратора. Run Local Security Policy (secpol.msc) as an administrator.

Откройте Параметры безопасности > Политики управления приложениями > AppLocker и выберите Настроить применение правил. Go to Security Settings > Application Control Policies > AppLocker, and select Configure rule enforcement.

Установите флажок Настроено в разделе Исполняемые правила, а затем нажмите ОК. Check Configured under Executable rules, and then click OK.

Щелкните параметр Исполняемые правила правой кнопкой мыши и выберите Создать правила автоматически. Right-click Executable Rules and then click Automatically generate rules.

Выберите папку, содержащую приложение, доступ к которому вы хотите разрешить, или выберите C:, чтобы проанализировать все приложения. Select the folder that contains the apps that you want to permit, or select C: to analyze all apps.

Введите имя набора правил и нажмите Далее. Type a name to identify this set of rules, and then click Next.

На странице Параметры правил нажмите кнопку Далее. On the Rule Preferences page, click Next. Обратите внимание, что создание правил может занять некоторое время. Be patient, it might take awhile to generate the rules.

На странице Проверка правил выберите команду Создать. On the Review Rules page, click Create. Мастер создаст набор правил, разрешающих использование набора установленных приложений. The wizard will now create a set of rules allowing the installed set of apps.

Прочтите сообщение и нажмите Да. Read the message and click Yes.

Если вы хотите применить правило к выбранной группе пользователей, щелкните его правой кнопкой мыши и выберите Свойства(необязательно). (optional) If you want a rule to apply to a specific set of users, right-click on the rule and select Properties. Затем выберите пользователя или группу пользователей в диалоговом окне. Then use the dialog to choose a different user or group of users.

Если для приложений, использование которых запрещено, созданы правила, их можно удалить, щелкнув правило правой кнопкой мыши и выбрав команду Удалить(необязательно). (optional) If rules were generated for apps that should not be run, you can delete them by right-clicking on the rule and selecting Delete.

Чтобы обеспечить выполнение правил AppLocker, необходимо включить службу Удостоверение приложения . Before AppLocker will enforce rules, the Application Identity service must be turned on. Чтобы служба "Удостоверение приложения" автоматически запускалась при сбросе параметров, откройте командную строку и выполните следующую команду: To force the Application Identity service to automatically start on reset, open a command prompt and run:

Перезагрузите устройство. Restart the device.

Другие параметры блокировки Other settings to lock down

Помимо определения разрешенных приложений, необходимо также запретить доступ к некоторым параметрам и функциям на устройстве. In addition to specifying the apps that users can run, you should also restrict some settings and functions on the device. Чтобы повысить безопасность взаимодействия, рекомендуем внести в конфигурацию устройства приведенные ниже изменения. For a more secure experience, we recommend that you make the following configuration changes to the device:

Удалите список Все приложения Remove All apps.

Перейдите в раздел Редактор групповой политики > Конфигурация пользователя > Административные шаблоныМеню «Пуск» и панель задачУдалить список всех программ в меню «Пуск». Go to Group Policy Editor > User Configuration > Administrative TemplatesStart Menu and TaskbarRemove All Programs list from the Start menu.

Читайте также:  Самый большой архив в мире

Скройте компонент Специальные возможности на экране входа. Hide Ease of access feature on the logon screen.

Перейдите в раздел Панель управления > Специальные возможности > Центр специальных возможностей и отключите все средства специальных возможностей. Go to Control Panel > Ease of Access > Ease of Access Center, and turn off all accessibility tools.

Отключите аппаратную кнопку питания. Disable the hardware power button.

Перейдите в раздел Электропитание > Действие кнопки питания, измените значение на Действие не требуется и выберите Сохранить изменения. Go to Power Options > Choose what the power button does, change the setting to Do nothing, and then Save changes.

Отключите камеру. Disable the camera.

Перейдите в раздел Параметры > Конфиденциальность > Камера и отключите параметр Разрешить приложениям использовать камеру. Go to Settings > Privacy > Camera, and turn off Let apps use my camera.

Отключите отображение уведомлений приложений на экране блокировки. Turn off app notifications on the lock screen.

Перейдите в раздел Редактор групповой политики > Конфигурация компьютера > Административные шаблоныСистемаВход в системуОтключить уведомления приложений на экране блокировки. Go to Group Policy Editor > Computer Configuration > Administrative TemplatesSystemLogonTurn off app notifications on the lock screen.

Отключите съемные носители. Disable removable media.

Перейдите в меню Редактор групповой политики > Конфигурация компьютера > Административные шаблоныСистемаУстановка устройствОграничения на установку устройств. Go to Group Policy Editor > Computer Configuration > Administrative TemplatesSystemDevice InstallationDevice Installation Restrictions. Проверьте параметры политики, отображаемые в разделе Ограничения на установку устройств, чтобы найти параметры, подходящие для вашей ситуации. Review the policy settings available in Device Installation Restrictions for the settings applicable to your situation.

Примечание . чтобы запретить этой политике доступ к члену группы администраторов, в разделе ограничений по установке устройств, включите параметр Разрешить администраторам переопределять политики ограничения установки устройств. Note To prevent this policy from affecting a member of the Administrators group, in Device Installation Restrictions, enable Allow administrators to override Device Installation Restriction policies.

Подробнее о функциях блокировки см. в разделе Настройки Windows 10 Корпоративная. To learn more about locking down features, see Customizations for Windows 10 Enterprise.

Настройка макета начального экрана на устройстве (рекомендуется) Customize Start screen layout for the device (recommended)

Меню "Пуск" на устройстве можно настроить таким образом, чтобы в нем отображались только плитки разрешенных приложений. Configure the Start menu on the device to only show tiles for the permitted apps. Для этого нужно вручную внести изменения, экспортировать макет в XML-файл, а затем использовать этот файл на устройстве, чтобы запретить пользователям вносить изменения. You will make the changes manually, export the layout to an .xml file, and then apply that file to devices to prevent users from making changes. Инструкции: Управление параметрами макета начального экрана Windows10. For instructions, see Manage Windows 10 Start layout options.

Когда в очередной раз, начинаются разговоры про информационную безопасность, начинаться они могу с host hardening.

Microsoft достаточно активно рекламировала AppLocker как простую и эффективную технологию.

С одной стороны это так, работа с AppLocker достаточно проста, но с другой стороны, организационная подготовка и оперативное обслуживание могут быть фактически невыполнимыми для многих компаний.

Думаю вы уже догадались что после согласования списка ПО (с руководителями отделов и т.п.) разумно будет сделать эталонные машины, создать политики на них и применить к рабочим станциям.

Подробнее о подготовке можете почитать в моей статье “Информационная безопасность“. В этой статье остановимся на технической стороне вопроса.

Предположим, в вашей компании 5 департаментов, три из которых используют один и тот же набор ПО.

Это значит что нужно создать три эталонных рабочих станции, на каждой из которых будет установлен определённый и согласованный набор ПО.

Политики AppLocker будут созданы на этих машинах и применены к рабочим станциям.

Обратите внимание, под AppLocker не обязательно переделывать структуру OU, политику можно применить на весь домен, но указать группу, к членам которой политика будет применяться.

Кстати, AppLocker иногда предлагается в качестве решения по аудиту софта на предприятии, но я бы рекомендовал сторонние решения, которые гораздо функциональнее и могут генерировать удобоваримые отчёты.

Вообще, AppLocker является развитием Software Restriction Policy (SRP).

Но у SRP было несколько функций, которых, почему-то, уже нет в AppLocker, например:

  • В AppLocker нельзя добавлять некоторые (свои) типы файлов;
  • В AppLocker нельзя создавать правила для зон сети (использовалось все равно редко);
  • В SRP использовались системные переменные окружения, у AppLocker они почему-то “свои”.

Зато в AppLocker удобные мастера создания/слияния/экспорта/импорта правил, поддержка PowerShell, а главное, возможность применения политики к определённой группе (хоть и к единственной).

C помощью AppLocker вы можете запретить запуск всего софта, разрешив только “белый список”, или разрешить запуск всего софта кроме внесённого в “чёрный список”.

Списки эти будем называть правилами AppLocker, а членство в них может быть изменено на основании трёх условий: Publisher, Path, Hash.

  • Publisher (издатель) – может работать только при наличии цифровой подписи у приложения.

В “издателе” можно оперировать названием компании-разработчика, именем продукта, именем и версией исполняемого файла и т.п. – это будет понятнее на практике.

К сожалению, не весь софт имеет цифровую подпись, потому что это самый удобный вариант.

  • Path (расположение) – очевидно что можно запретить запуск исполняемого кода в зависимости от его расположения.

Обратите внимание что переменные AppLocker отличаются от системных – https://technet.microsoft.com/en-us/library/dd759068.aspx

Если файл будет перенесён в другое расположение, правило перестанет отрабатывать.

  • Hash (хэш файла) – на первый взгляд хороший вариант т.к. Позволяет однозначно идентифицировать приложение.

Но как только версия приложения изменится, правило на неё распространятся перестанет.

Это значит что при каждом изменении версии нужно вносить поправки в правила.

Дистрибуция списков может осуществляется с помощью одной групповой политики содержащей необходимое количество правил – это удобно.

Для демо создадим политику AppLockerPolicy в которой будем задавать правила – Computer Configuration/Policies/Windows Settings/Security Settings/Application Control Policies/AppLocker

Имейте ввиду, на клиенте должна быть запущена служба Application Identity, и лучше если это будет включено централизованно, например в той же групповой политике:

Для созданной политики есть два основных режима – аудит, когда нам интересен лог, и форсирование, когда необходимо применение.

В демо, для наглядности, я буду использовать форсирование:

Обратите внимание, по-умолчанию отрабатывает что-то вроде “Deny All”, поэтому если вы не сделаете разрешающих правил после перезагрузки на клиенте будет вот такая ситуация (поможет вход под локальным администратором после исправления политики):

Поэтому первым делом можно включить Default rules:

Обратите внимание, толку от этих правил практически никакого, но мы пока, для проверки, создадим своё, запрещающее правило для WordPad на основе издателя :

Читайте также:  Как отзеркалить фото в пиксарт

Обратите внимание, я указал группу Everyone, хотя мог, например, Marketing;

Правило работает для издателя Microsoft, имя продукта Windows OS ( WordPad входит в ОС) ;

Имя файла wordpad.exe – значит на остальное ПО в составе Windows правило распространятся не будет;

Правило будет работать версий 6.3 и старше (а могло, например, запрещать только старые версии) ;

Никаких исключений я не добавлял .

Я создал правило на основе Publisher, хотя мог на основе Path или Hash – все потому что на основе Publisher и удобнее, и функциональнее.

Убедимся что правило работает:

Кроме того, при попытке запуска .exe из путей неразрешённых в явном виде, получим ожидаемый результат:

Выполним более сложный сценарий, в котором разрешим запуск только Adobe Reader старше 11й версии для группы Managers .

При этом весь остальной софт от Adobe будет запрещён к запуску.

Правило будет выглядеть вот так:

Убедимся что получен необходимый результат:

Мы рассмотрели реализацию сценария “чёрного списка”. Теперь рассмотрим сценарий “белого списка” .

Предположим, у нас есть эталонная машина с которой будем формировать правила.

Установим на эту машину соответствующий пакет RSAT и будем редактировать групповую политику App Locker, предварительно удалив из нее созданные мастером и нами правила.

Т.к. Перед нами стоит задача разрешить только то ПО, которое установлено на этой машине, правила вручную создавать не будем, а воспользуемся мастером Automatically Generate Rules.

По-умолчанию мастер будет анализировать содержимое C:Program Files и создавать правила на основе Publisher, а если цифровой подписи нет, то на основе hash:

Но большинство софта по-прежнему находится в папке C:Program Files (x86), так что проанализируем и ее содержимое:

Обратите внимание, перед созданием правил, некоторые из предлагаемых можно удалить.

Также имейте ввиду что при повторном запуске мастер создаёт дубли, так что аккуратнее с этим.

Некоторое ПО может быть установлено без полномочий администратора в папку App Data :

.. Поэтому нелишним будет проанализировать папку %OSDRIVE%Users:

В завершении статьи – большинство пользователей квадратными глазами будет смотреть на недоразумение которое Microsoft называет Metro приложениями.

Лучшее, что можно с ним это сделать это удалить, например так :

Сергей и Марина Бондаренко

28 апреля 2010

⇡#AppLocker — управление правами на запуск приложений

Одна из причин, по которой безопасность корпоративной сети организации может оказаться под угрозой, — несанкционированная установка и запуск приложений пользователями. Сотрудники могут запускать сомнительные приложения, утилиты, которые расходуют корпоративный трафик (например, Bittorent-клиенты), программы, которые вносят изменения в различные компоненты системы, что, в конечном итоге, приводит к ухудшению ее производительности. Наконец, не исключена возможность запуска приложений, содержащих вредоносный код, что может стать причиной заражения компьютера вирусами. Именно поэтому ограничение прав на установку различного ПО всегда было головной болью администраторов.

В предыдущих версиях Windows была возможность решения этой задачи при помощи политик ограниченного использования программ (Software Restriction Policies), однако этот инструмент был настолько неудобен и несовершенен, что мало кто воспринимал его всерьез. В Windows 7 функция политик ограниченного использования программ заменена средством AppLocker, которое, по сути, представляет собой измененную и доработанную версию Software Restriction Policies.

AppLocker значительно упрощает контроль за действиями пользователей, которые касаются установки приложений, а также запуска файлов EXE, использования библиотек DLL, файлов инсталляторов MSI и MSP, а также сценариев. Основные отличия AppLocker от политик ограниченного использования программ:

  • применение правила к определенному пользователю или к группе, а не только ко всем пользователям;
  • мастер автоматического создания правил;
  • импорт и экспорт созданных правил;
  • режим "Только аудит", в котором ведется лог приложений, которые обрабатываются правилами, однако на самом деле правила не применяются;
  • условие "Издатель", которое является расширенной версией условия "Сертификаты", существовавшего ранее;
  • поддержка новой командной строки Windows Power Shell;
  • коллекции (типы) правил для разных типов файлов, которые не зависят друг от друга.

Для доступа к настройкам AppLocker необходимо перейти в раздел "Администрирование" (Administrative Tools) панели управления, выбрать пункт "Локальная политика безопасности" (Local Security Policy), после чего раскрыть список "Политики управления приложениями" (Application Control Policies).

Одна из особенностей AppLocker состоит в том, что по умолчанию все правила, настроенные при помощи этого средства, применяются. Именно поэтому необходимо очень осторожно настраивать их, так как можно по неопытности заблокировать работу Windows. Во-первых, рекомендуется перед созданием правил перейти в окно их настройки, щелкнув по ссылке "Настроить применение правил" (Configure Rule Enforcement), и для каждого типа правил (исполняемые файлы, установщик Windows и сценарии) выбрать вариант применения "Только аудит" (Audit Only). В этом случае правила с любыми настройками не смогут блокировать работу приложений или системы в целом, однако при помощи журнала событий администратор сможет просмотреть, как они применяются по отношению к файлам или приложениям. Если окажется, что правила блокируют приложения, к которым доступ должен быть разрешен, или, наоборот, не действуют на программы, к которым нужно ограничить доступ, правила можно будет отредактировать.

Второе решение, которое может помочь администраторам безболезненно разобраться с новыми возможностями управления доступом, — создание и отладка правил на тестовом компьютере. AppLocker поддерживает импорт и экспорт правил, благодаря чему можно создать набор политик ограничений в безопасной среде, тщательно протестировать их работоспособность, после чего импортировать уже в рабочую среду.

Для применения правил, созданных при помощи AppLocker, необходимо, чтобы на компьютерах была запущена служба "Удостоверение приложения" (Application Identity). По умолчанию она отключена. Для ее запуска откройте раздел "Администрирование" панели управления и выберите пункт "Службы", после чего найдите службу в списке, щелкните по ее названию правой кнопкой мыши и выберите команду "Запустить". В свойствах службы можно настроить ее автоматический запуск.

По умолчанию в AppLocker используется три типа (коллекции) правил, которые настраиваются и используются независимо друг от друга: исполняемые файлы (EXE и COM), установщик Windows (MSI и MSP) и сценарии (PS1, BAT, CMD, VBS и JS), однако при необходимости можно также включить правила для файлов библиотек DLL (сюда входят и файлы с расширением OCX). Для этого нужно установить флажок "Включить коллекцию правил DLL" (Enable the DLL rule collection) на вкладке "Дополнительно" (Advanced) окна "Свойства AppLocker" (AppLocker Properties).

Стоит, однако, иметь в виду, что использование таких правил может существенно повлиять на производительность системы. Это связано с тем, что каждое приложение, как правило, использует для работы несколько файлов библиотек, поэтому на их проверку и соответствие правилам уходит гораздо больше времени, чем на проверку только приложений. Кроме этого, некоторые приложения загружают дополнительные файлы библиотек в процессе работы, поэтому проверка, которую Windows будет при этом выполнять, может замедлить работу пользователя с программой. При включении правил DLL их необходимо создавать для каждой библиотеки, которая используется всеми разрешенными программами.

Раз мы заговорили о производительности, отметим, что использование большого числа правил любого типа (это касается не только правил DLL) в любом случае будет снижать производительность системы, поскольку при попытке запуска каждого приложения Windows потребуется обрабатывать все правила, чтобы разрешить или запретить пользователю работу с программой.

Именно поэтому, создавая правила, имеет смысл строить их таким образом, чтобы общее их число было как можно меньшим. Все правила AppLocker работают по принципу разрешения ("белый список"), запрета ("черный список") и исключения. Иными словами, перед созданием правила стоит решить, что удобнее: 1) сделать правило, разрешающее определенное действие (при этом запуск всех приложений, которых нет в составленном администратором списке, будет запрещен), и сделать исключения для некоторых групп пользователей или приложений; или же 2) создать правило, разрешающее запускать все приложения, кроме указанных в списке, и также указать исключения.

Несмотря на то, что при помощи AppLocker можно создавать как разрешающие, так и запрещающие правила, в большинстве случаев рекомендуется использовать первый вариант. Это связано с тем, что для обеспечения безопасности любой организации гораздо логичнее составить фиксированный список разрешенных приложений, который можно по мере необходимости обновлять, нежели попытаться перечислить в правиле те программы, которые запрещено запускать. Любой новый вирус, который администратор еще не успел добавить в запрещающее правило, имеет все шансы проникнуть в корпоративную сеть. Еще одной причиной, по которой рекомендуется использовать разрешающие правила, является то, что запрещающие действия во всех случаях переопределяют разрешающие.

Для создания нового правила раскройте список AppLocker в окне "Локальная политика безопасности", щелкните правой кнопкой мыши по нужному типу правила и выберите команду "Создать новое правило". Будет запущен мастер, на первом этапе работы которого нужно будет определиться с тем, будет ли это правило разрешать или запрещать определенные действия, а также, на какие категории пользователей оно будет распространяться.

Затем нужно будет выбрать тип основного условия: "Издатель" (Publisher), "Путь" (Path) и "Хэшируемый файл" (File Hash). Заметим, что, несмотря на то, что типы условий похожи на те, которые использовались в политиках ограниченного использования программ в предыдущих версиях Windows, работа с ними организована по-другому.

Наиболее интересным является условие "Издатель", прототипом которого в политиках ограниченного использования программ было условие "Сертификаты" (Certificate). Это условие дает возможность разрешить запуск приложений, для которых имеется цифровая подпись издателя. При создании правил с таким условием учитывается не только название производителя, как это было в Windows XP, но и другая информация, такая как название продукта, имя файла, номер версии.

При этом, условие может распространяться в точности на указанный номер версии приложения или на все версии, номер которых выше или ниже заданного. Благодаря этому, можно гибко настроить правило, которое будет разрешать установку новых версий приложений, но при этом запрещать установку старых релизов, которые могут быть несовершенны с точки зрения безопасности. Для использования условия "Издатель" нужно указать путь к файлу приложения, который содержит цифровую подпись. Установив флажок "Пользовательские значения", можно вручную отредактировать значения всех полей. Стоит иметь в виду, что если приложение не имеет цифровой подписи, то использовать условие "Издатель" в его отношении невозможно.

Условие "Путь" позволяет определить приложения, которые разрешено запускать и устанавливать пользователю, на основе их расположения в файловой системе локального компьютера, в сети или на сменных носителях. Создавая такое условие, можно использовать подстановочные знаки и переменные окружения. Например, чтобы указать путь на CD/DVD-диске, нужно использовать переменную %REMOVABLE%, а для указания пути на USB-накопителе — %HOT%.

Условие "Путь" необходимо использовать очень осторожно, так как при недостаточной продуманности оно может стать причиной того, что пользователи смогут с его помощью обходить некоторые запреты. Например, если создать разрешающее условие такого типа и включить в него расположение папки, в которую пользователь может выполнять запись, то пользователь сможет скопировать в такую папку запрещенный для запуска файл из другого расположения и запустить его.

Условие "Хэшируемый файл" в большинстве случаев является наименее эффективным, так как определение легитимности файла построено на вычислении его контрольной суммы. Нетрудно догадаться, что если выходит обновление приложения (а для таких программ, как, скажем, браузеры, они выпускаются достаточно часто), то его контрольная сумма изменяется, и условие перестает работать. С другой стороны, такой способ позволяет защититься от возможности запуска известной программы, в которую был внедрен вредоносный код. Поскольку при этом контрольная сумма изменяется, модифицированное приложение запустить будет невозможно.

Как видно, каждое из условий несовершенно и имеет свои недостатки. Именно поэтому на следующем этапе работы мастера предлагается настроить исключения. Исключения можно использовать, если в качестве основного выбраны условия "Издатель" и "Путь".

Наконец, на последнем этапе работы мастера нужно дать правилу название, а также снабдить его описанием. Несмотря на то, что последнее необязательно, не стоит пренебрегать этой возможностью, так как описание может помочь в будущем вспомнить, за что отвечает то или иное правило.

Чтобы лучше понять, как работают правила, можно начать с создания правил по умолчанию. Они доступны для каждого из типов правил. Например, правила для исполняемых файлов включают такие: разрешение на запуск любых приложений членам группы "Администраторы", разрешение на запуск приложений, находящихся в директории Program Files и в папке Windows, для членов группы "Все". Для создания набора правил по умолчанию раскройте список AppLocker в окне "Локальная политика безопасности", щелкните правой кнопкой мыши по нужному типу правила и выберите команду "Создать правила по умолчанию".

Правила по умолчанию можно редактировать. Для этого нужно щелкнуть по названию правила в списке и выбрать строку "Свойства". Редактировать можно все свойства правил, например, добавлять исключения, изменять пути, группы пользователей, на которые они распространяются, и т.д.

В AppLocker встроен автоматический механизм, упрощающий создание правил. Выберите команду "Создать правила автоматически" для определенного типа правил, укажите группы пользователей, к которым будут применяться создаваемые правила, а также папку, в которую установлены приложения.

При автоматическом создании правил мастер пытается максимально уменьшить их число. В таком режиме создаются только разрешающие правила. Если среди проанализированных приложений имеются такие, которые созданы одним разработчиком и у которых совпадает название продукта (согласно цифровой подписи), для них создается одно правило с условием "Издатель". Что касается условия "Хеш", то создается одно условие, которое содержит контрольные суммы всех файлов.

После завершения работы мастера автоматического создания правил AppLocker выдает отчет, в котором выводит общее количество файлов и число правил, которые будут созданы. Перед созданием правил есть возможность просмотреть как проанализированные файлы, так и составленные правила.

Используя AppLocker, нужно иметь в виду, что правила, созданные с его помощью, могут быть применены только на компьютерах, работающих под управлением Windows 7 Максимальная, Windows 7 Корпоративная и Windows Server 2008 R2.

В следующий раз мы продолжим разговор о средствах обеспечения безопасности в Windows 7, уделим внимание некоторым часто встречаемым проблемам пользователей, начинающих осваивать эту ОС, и проведем комплексную оценку новым возможностям операционной системы от Microsoft.

Ссылка на основную публикацию
Adblock detector