Инструменты пользователя

Инструменты сайта


Боковая панель

Главная страница


Часто задаваемые вопросы


Общие вопросы по Windows


Windows 10 IoT Enterprise


Windows 10 IoT Core


Windows Embedded Standard 8


Windows Embedded Standard 7


Windows Embedded POSReady


Windows Embedded Standard 2009


Windows XP Embedded


Windows Embedded Compact

блокировка_запуска_приложений_win_10_iot_enterprise

Ограничение запуска приложений

Информация в данном разделе актуальна для Windows 10: 1809.

AppLocker позволяет запретить или разрешить запуск определенных приложений для определенных пользователей или групп пользователей.

В нашем наборе скриптов есть вспомогательный скрипт для настройки AppLocker’а.

Настройки AppLocker’а находятся в локальной групповой политике
«Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Политики управления приложениями\AppLocker»
(Computer Configuration\Windows Settings\Security Settings\Application Control Policies\AppLocker)
В разделе «AppLocker» можно указать политику применения правил:

  • Не настроено
  • Аудит
  • Принудительное применение правил

В подразделах находятся разделы с настройками правил AppLocker’а.

Перед включением AppLocker’а необходимо создать правила по умолчанию или минимально необходимый набор правил для корректной работы системы.

Создание правил по умолчанию

Необходимо создать правила по умолчанию в разделах:

  • «Исполняемые правила» / (Executable Rules)
  • «Правила упакованных приложений» / (Packaged app Rules)

Для создания правил по умолчанию необходимо нажать правой кнопкой мыши на соответствующем разделе и выбрать пункт «Создать правила по умолчанию» / (Create Default Rules)
Без создания вышеуказанных правил система будет некорректно работать после включения AppLocker’а

Включение AppLocker’а

Для включения AppLocker’а необходимо перевести службу AppLocker’а в автоматический режим запуска и запустить ее. Для этого необходимо выполнить нижеуказанные команды в консоли, которая запущена с повышенными привилегиями:

sc config AppIDSvc start=auto
net start AppIDSvc

AppLocker начнет работу НЕ сразу после запуска службы.

Узнать состояние работы AppLocker’а можно в просмотре событий.
«Просмотр событий \ Журналы приложений и служб \ Microsoft \ Windows \ AppLocker \ EXE и DLL»
(Event Viewer \ Application and Services Logs \ Microsoft \ Windows \ AppLocker \ EXE и DLL)

Ветка журнала «Журналы приложений и служб» / (Application and Services Logs) открывается не сразу, ее открытие может занять некоторое время.

AppLocker не будет работать до тех пор пока в разделе журнала «EXE и DLL» не появится сообщение о том, что политика AppLocker’а применена к системе – код события 8001.

В журнале нет автоматического обновления отображения содержимого, для обновления отображаемых данных в журнале необходимо нажать «F5»

Настройка правил

Правила по умолчанию позволяют всем пользователям запускать файлы исполнения, которые находятся в папках «Windows» и «Program Files». Запуск остальных файлов разрешен только группе «Администраторы». Запуск упакованных приложений разрешен всем пользователям.
Для настройки правил по белому списку - запрещено все, кроме того, что разрешено, необходимо настроить разрешения только для группы «Администраторы» или для учетной записи администратора.

Если вы не знаете какие разрешения необходимо установить для корректной работы пользователя, то можно включить режим аудита, при котором ограничения AppLocker’а не будут действовать, но будут записаны сообщения в журнал о том, что выполнение было бы запрещено, если бы действовали правила AppLocker’а

Для включения режима аудита выберите пункт «AppLocker» в редакторе локальной групповой политики по ранее указанному пути. В правой части редактора нажмите левой кнопкой мыши на пункте «Настроить применение правил» \ (Configure rule enforcement). В необходимом разделе поставьте флажок «Настроено» \ (Configured) и в выпадающем меню выберите пункт «Только аудит» \ (Audit only).

После включения режима аудита запустите все программы, которые будет запускать пользователь и посмотрите в журнале AppLocker’а запуск каких программ был бы запрещен.

Во время сбора сведений в режиме аудита необходимо входить в учетную запись пользователя так, как это будет делать пользователь. Т.е. если вход в учетную запись пользователя будет автоматический после загрузки системы, то загрузите систему со входом в учетную запись, не нужно просто переходить из одной учетной записи в другую.

По результатам аудита добавьте разрешения на запуск программ, необходимых для пользователя, а затем отключите режим аудита и проверьте работу системы.
Или можно автоматически создать правила на основании результатов аудита.

Автоматическое создание правил по результатам аудита

Пример для автоматического создания правил на основании результатов аудита с помощью PowerShell:

Get-ApplockerFileinformation -Eventlog -EventType Audited | New-ApplockerPolicy -RuleType Hash, Publisher -User (Имя пользователя) -RuleNamePrefix AuditBased | Set-ApplockerPolicy –Merge

В данном примере:

  • «Get-ApplockerFileinformation -Eventlog -EventType Audited» - получает события типа «Аудит»
  • «New-ApplockerPolicy» - создает новые правила
    • «-RuleType Hash, Publisher» - создает новые правила на основании «Hash», если не доступен «Hash», то правило будет создано на основе «Publisher». Если поменять значения местами, то изменится приоритет и первичным будет «Publisher».
    • «User» - В значении «User» необходимо указать SID пользователя или группы.
    • «RuleNamePrefix» - определяет строку, которая будет добавлена к названию создаваемого правила
  • «Set-ApplockerPolicy» - применяет правила к системе
    • «Merge» - параметр указывающий на то, что правила необходимо добавить к уже существующим, без данного ключа новые правила заменят существующие правила

Для уменьшения количества создаваемых правил можно использовать параметр «Optimize» для командлета «New-ApplockerPolicy», но это может ухудшить наглядное представление правил.
Описание команд AppLocker’а можно посмотреть здесь

Отключение AppLocker’а

Правила AppLocker’а будут действовать после остановки службы. Чтобы правила AppLocker’а перестали действовать необходимо из папки «С:\Windows\System32\AppLocker» удалить файлы:

  • Appx.AppLocker
  • Dll.AppLocker
  • Exe.AppLocker
  • Msi.AppLocker
  • Script.AppLocker

Для возобновления работы AppLocker’а необходимо вернуть файлы обратно в папку.
Чтобы изменения вступили в силу необходимо перезагрузить систему.

Проблемы и решения

Изменение параметров запуска службы AppLocker’а

При изменении параметров запуска службы AppLocker’а система может сообщить о том, что недостаточно прав. Изменить параметры запуска службы можно в реестре

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AppIDSvc

За тип запуска отвечает параметр «Start»:

  • 2 - Автоматически
  • З – Вручную

Система не загружается после запечатывания в режиме OOBE

Для загрузке в режиме OOBE отключите AppLocker

AppLocker запрещает запуск того, что явно разрешено

Проверьте, что служба «Удостоверение приложения» запущена. Статус работы службы можно узнать с помощью команды «Get-Service AppIDSvc».
Если служба остановлена запустите ее и переведите в автоматический режим запуска.

AppLocker разрешает запуск того, чего нет в разрешениях

  • Проверьте не установлен ли режим применения правил «Только аудит»
  • Переведите режим применения правил в «Принудительное применение правил»
  • Выполните команду «gpupdate /force»

Официальная документация

блокировка_запуска_приложений_win_10_iot_enterprise.txt · Последние изменения: 2020/08/05 14:50 — vladimir