Коллекции правил

Оснастка консоли управления (MMC) AppLocker организована в виде четырех областей, которые называются коллекциями правил. Эти коллекции включают исполняемые файлы, сценарии, файлы установщика Windows и файлы DLL. Коллекции позволяют администратору легко отличать правила для разных типов приложений. В следующей таблице перечислены форматы файлов, которые входят в каждую коллекцию правил.

Примечание

Коллекция правил DLL по умолчанию выключена. Сведения о том, как включить коллекцию правил DLL, см. в разделе Применение правил AppLocker.

Коллекция правил Связанные форматы файлов

Исполняемые файлы

.exe

.com

Сценарии

.ps1

.bat

.cmd

.vbs

.js

Установщик Windows

.msi

.msp

DLL

.dll

.ocx

Важно!

Если используются правила DLL, то разрешающее правило DLL нужно создавать для каждой библиотеки DLL, которая используется всеми разрешенными приложениями.

Внимание!

Когда используются правила DLL, AppLocker должен проверять каждую библиотеку DLL, загружаемую приложением. Поэтому использование правил DLL может приводить к снижению быстродействия.

Условия для правил

Условия для правил - это критерии, лежащие в основе правила AppLocker. Основные условия необходимы для создания правила AppLocker. Три основных условия для правил следующие: издатель, путь и хэш файла.

Издатель

Это условие определяет приложение на основе его цифровой подписи и расширенных атрибутов. Цифровая подпись содержит сведения о компании, создавшей приложение (издателе). Расширенные атрибуты, полученные из двоичного ресурса, содержат имя продукта, в состав которого входит приложение, и номер версии приложения. В качестве издателя может выступать компания по разработке программного обеспечения, такая как Майкрософт, или отдел информационных технологий вашей организации.

Примечание

Используйте условие издателя там, где это возможно. Условия издателя можно создать, чтобы приложение продолжало работать, даже если его расположение изменилось или обновилось само приложение.

При выборе ссылочного файла для условия издателя мастер создает правило, которое задает издателя, продукт, имя файла и номер версии. Правило можно сделать более общим, переместив ползунок вниз или используя символ подстановки (*) в полях продукта, имени файла или номера версии.

Примечание

Чтобы ввести в мастере создания правил пользовательские значения, необходимо установить флажок Пользовательские значения. Когда этот флажок установлен, правило нельзя конкретизировать или обобщить при помощи ползунка.

Версия файла определяет, может ли пользователь запускать конкретную версию, более ранние или более поздние версии. Можно выбрать номер версии и затем настроить следующие параметры.

  • В точности. Правило применяется только к данной версии приложения.

  • И выше. Правило применяется к данной версии и ко всем последующим.

  • И ниже. Правило применяется к данной версии и ко всем более ранним версиям.

Приведенная ниже таблица поясняет, как применяется условие издателя.

Параметр Условие издателя разрешает или запрещает...

Все подписанные файлы

Все файлы, подписанные издателем.

Только издатель

Все файлы, подписанные издателем с данным именем.

Издатель и имя продукта

Все файлы для указанного продукта, подписанные издателем с данным именем.

Издатель, имя продукта и имя файла

Любая версия данного файла для данного продукта, подписанная издателем.

Издатель, имя продукта, имя и версия файла

В точности

Указанная версия данного файла для данного продукта, подписанная издателем.

Издатель, имя продукта, имя и версия файла

И выше

Указанная версия данного файла и любые новые выпуски продукта, подписанные издателем.

Издатель, имя продукта, имя и версия файла

И ниже

Указанная версия данного файла и любые более старые выпуски продукта, подписанные издателем.

Настраиваемые

Можно изменить поля Издатель, Название продукта, Имя файла и Версия, чтобы создать настраиваемое правило.

Путь

Это условие определяет приложение по его расположению в файловой системе компьютера или в сети.

AppLocker использует переменные пути для каталогов в Windows.

Примечание

Хотя две из этих переменных пути используют тот же формат, что и переменные среды Windows, они не относятся к переменным среды. AppLocker может интерпретировать только переменные пути AppLocker.

В приведенной ниже таблице описаны эти переменные пути.

Каталог или диск Windows Переменная пути AppLocker Переменная среды Windows

Windows

%WINDIR%

%SystemRoot%

System32

%SYSTEM32%

%SystemDirectory%

Каталог установки Windows

%OSDRIVE%

%SystemDrive%

Program Files

%PROGRAMFILES%

%ProgramFiles% и

%ProgramFiles(x86)%

Съемный носитель (например, компакт-диск или DVD-диск)

%REMOVABLE%

Съемное ЗУ (например, флэш-накопитель USB)

%HOT%

Важно!

Поскольку в условие пути можно включить большое число папок и файлов, такие условия нужно тщательно планировать. Например, если разрешающее правило с условием пути включает расположение папки, в которую могут записывать данные лица, не являющиеся администраторами, то пользователь потом сможет копировать неразрешенные файлы в это расположение и запускать их. Поэтому лучше не создавать условия пути для стандартных расположений пользователя с возможностью записи, таких как профиль пользователя.

Хэш файла

Если выбрано условие хэша файла, то система вычисляет криптографический хэш определенного файла.

Правила AppLocker по умолчанию

AppLocker позволяет создавать правила по умолчанию каждого типа.

Типы правил по умолчанию для исполняемых файлов.

  • Разрешать членам локальной группы Администраторы запускать любые приложения.

  • Разрешать членам группы Все запускать приложения, расположенные в папке Windows.

  • Разрешать членам группы Все запускать приложения, расположенные в папке Program Files.

Типы правил по умолчанию для установщика Windows.

  • Разрешать членам локальной группы Администраторы выполнять любые файлы установщика Windows.

  • Разрешать членам группы Все выполнять файлы установщика Windows с цифровой подписью.

  • Разрешать членам группы Все выполнять все файлы установщика Windows, расположенные в папке Windows\Installer.

Типы правил по умолчанию для сценариев.

  • Разрешать членам локальной группы Администраторы выполнять любые сценарии.

  • Разрешать членам группы Все выполнять сценарии, расположенные в папке Program Files.

  • Разрешать членам группы Все выполнять сценарии, расположенные в папке Windows.

Типы правил по умолчанию для библиотек DLL.

  • Разрешать членам локальной группы Администраторы запускать любые библиотеки DLL.

  • Разрешать членам группы Все запускать библиотеки DLL, расположенные в папке Program Files.

  • Разрешать членам группы Все запускать библиотеки DLL, расположенные в папке Windows.

Дополнительные сведения см. в разделе Создание правил AppLocker по умолчанию.

Поведение правил AppLocker

Если правил AppLocker для определенной коллекции правил не существует, то разрешается выполнять все файлы в данном формате. Однако, когда правило AppLocker для определенной коллекции правил создано, можно выполнять только файлы, явно разрешенные в правиле. Например, если вы создаете правило для исполняемых файлов, которое разрешает запускать ЕХЕ-файлы в каталоге %SystemDrive%\FilePath, то только исполняемые файлы из этого каталога можно будет запускать.

Можно настроить правило для использования либо разрешающего, либо запрещающего действия.

  • Разрешить. Можно указать, какие файлы разрешается выполнять в вашей среде и каким пользователям или группам пользователей. Можно также задать исключения файлов из данного правила.

  • Запретить. Можно указать, какие файлы not разрешается выполнять в вашей среде и каким пользователям или группам пользователей. Можно также задать исключения файлов из данного правила.

Важно!

Можно использовать комбинацию разрешающих и запрещающих действий. Однако рекомендуется применять разрешающие действия с исключениями, поскольку запрещающие действия переопределяют разрешающие во всех случаях. Запрещающие действия также можно обойти.

Исключения из правил

Правила AppLocker можно применять к отдельным пользователям или к группе пользователей. Если правило применяется к группе пользователей, то оно затрагивает всех пользователей в данной группе. Если требуется разрешить некоторым пользователям группы работать с приложением, можно создать особое правило для этой подгруппы. Например, правило «Разрешать группе "Все" запускать Windows, кроме редактора реестра» разрешает всем пользователям организации запускать Windows, но не разрешает им запускать редактор реестра. В результате действия этого правила пользователи, такие как персонал службы поддержки, не смогут запускать программы, необходимые для выполнения их задач. Чтобы решить эту проблему, создайте второе правило, которое будет применяться к группе пользователей «Служба поддержки»: «Разрешать группе "Служба поддержки" запускать редактор реестра». Если создать запрещающее правило, которое не разрешает никаким пользователям запускать редактор реестра, то это правило переопределит второе правило, разрешающее группе «Служба поддержки» запускать редактор реестра.

Мастеры AppLocker

Настраиваемые правила можно создать двумя способами.

  1. Мастеры создания правил позволяют создавать правила по одному. Дополнительные сведения см. в разделе Создание правила AppLocker.

  2. Мастер автоматического создания правил позволяет выбрать папку, пользователя или группу, к которым будет применяться правило, а затем создать одновременно несколько правил для этой папки. Этот мастер автоматически генерирует только разрешающие правила. Дополнительные сведения см. в разделе Автоматическое создание правил AppLocker.

Дополнительная информация

  • По умолчанию правила AppLocker не разрешают пользователям открывать или выполнять какие-либо файлы без особого разрешения. Администраторы должны вести и постоянно обновлять список разрешенных приложений.

  • Существует два типа условий AppLocker, которые не сохраняются после обновления.

    • Условие хэша файла. Условия хэша файла можно использовать для любого приложения, поскольку значение криптографического хэша приложения генерируется в момент создания правила. Однако значение хэша зависит от конкретной версии приложения. Если в организации используется несколько версий приложения, необходимо создать условия хэша файла для каждой из этих версий и для всех новых выпускаемых версий.

    • Условие издателя с определенным набором версий продукта. Если вы создаете условие издателя, использующее параметр В точности условия файла, то правило не будет сохраняться при установке новой версии приложения. Необходимо будет создать новое условие издателя или изменить версию правила, сделав его более обобщенным.

  • Если приложение не имеет цифровой подписи, использовать условие издателя нельзя.

  • Правила AppLocker нельзя использовать для управления компьютерами, на которых установлена ОС Windows более ранней версии чем Windows 7. Вместо них необходимо применять политики ограниченного использования программ.

  • Если правила AppLocker определены для объекта групповой политики (GPO), то применяются только эти правила. Чтобы обеспечить взаимодействие между политиками ограниченного использования программ и правилами AppLocker, задайте политики ограниченного использования программ и правила AppLocker в разных объектах GPO.

  • Если для правила AppLocker задан параметр Только аудит, то правило не применяется. Когда пользователь запускает приложение, включенное в правило, то приложение открывается и выполняется в обычном режиме, а сведения о нем добавляются в журнал событий AppLocker.

  • Можно включить настраиваемый URL-адрес в сообщение, которое появляется при блокировке приложения.

  • Вначале следует ожидать роста числа обращений в службу поддержки из-за блокированных приложений. По мере того, как пользователи начинают понимать, что они не могут запускать неразрешенные приложения, число обращений в службу поддержки, вероятно, снизится.

Дополнительные источники информации