Windows IoT
Astra Linux Embedded

Инструменты пользователя

Инструменты сайта

Вы посетили:
блокировка_запуска_приложений_win_10_iot_enterprise

Различия

Здесь показаны различия между двумя версиями данной страницы.

Ссылка на это сравнение

Предыдущая версия справа и слева Предыдущая версия
Следующая версия 		Предыдущая версия
блокировка_запуска_приложений_win_10_iot_enterprise [2020/08/05 11:52]
vladimir [Настройка правил] 		блокировка_запуска_приложений_win_10_iot_enterprise [2022/12/30 14:01] (текущий)
vladimir [Официальная документация]
Строка 48: Строка 48:
 Если вы не знаете какие разрешения необходимо установить для корректной работы пользователя,​ то можно включить режим аудита,​ при котором ограничения AppLocker’а не будут действовать,​ но будут записаны сообщения в журнал о том, что выполнение было бы запрещено,​ если бы действовали правила AppLocker’а\\ Если вы не знаете какие разрешения необходимо установить для корректной работы пользователя,​ то можно включить режим аудита,​ при котором ограничения AppLocker’а не будут действовать,​ но будут записаны сообщения в журнал о том, что выполнение было бы запрещено,​ если бы действовали правила AppLocker’а\\
 \\ \\
-Для включения режима аудита выберите пункт "​AppLocker"​ в редакторе локальной групповой политики по ранее указанному пути. В правой части редактора нажмите левой кнопкой мыши на пункте "​Настроить применение правил"​ \ (Configure rule enforcement). В необходимом разделе поставьте флажок "​Настроено"​ \ (Configured) и в выпадающем меню выберите пункт "​Только аудит"​ \ (Audit only). +Для включения режима аудита выберите пункт "​AppLocker"​ в [[+tab|локальная_групповая_политика#​как_запустить_редактор_локальной_групповой_политики|редакторе локальной групповой политики]] по ранее указанному пути. В правой части редактора нажмите левой кнопкой мыши на пункте "​Настроить применение правил"​ \ (Configure rule enforcement). В необходимом разделе поставьте флажок "​Настроено"​ \ (Configured) и в выпадающем меню выберите пункт "​Только аудит"​ \ (Audit only).\\ 
- +\\ 
- +После включения режима аудита запустите все программы,​ которые будет запускать пользователь и посмотрите в журнале AppLocker’а запуск каких программ был бы запрещен. 
- +<WRAP center round important ​100%> 
- +Во время сбора сведений в режиме ​аудита необходимо входить в учетную ​запись пользователя так, как это будет ​делать пользователь. Т.е. если вход в учетную запись пользователя будет автоматический ​после загрузки системы,​ то загрузите систему со входом в учетную запись,​ не нужно просто переходить из одной учетной записи в другую.
-<WRAP center round todo 100%> +
-Данный раздел еще не дописан+
 </​WRAP>​ </​WRAP>​
 +По результатам аудита добавьте разрешения на запуск программ,​ необходимых для пользователя,​ а затем отключите режим аудита и проверьте работу системы.\\ 
 +Или можно автоматически создать правила на основании результатов аудита. 
 +===== Автоматическое создание правил по результатам аудита ===== 
 +Пример для автоматического создания правил на основании результатов аудита с помощью [[+tab|powershell|PowerShell]]:​ 
 +<​code>​ 
 +Get-ApplockerFileinformation -Eventlog -EventType Audited | New-ApplockerPolicy -RuleType Hash, Publisher -User (Имя пользователя) -RuleNamePrefix AuditBased | Set-ApplockerPolicy –Merge 
 +</​code>​ 
 +В данном примере:​\\ 
 +  * "​Get-ApplockerFileinformation -Eventlog -EventType Audited"​ - получает события типа "​Аудит"​ 
 +  * "​New-ApplockerPolicy"​ - создает новые правила 
 +    *  "​-RuleType Hash, Publisher"​ - создает новые правила на основании "​Hash",​ если не доступен "​Hash",​ то правило будет создано на основе "​Publisher"​. Если поменять значения местами,​ то изменится приоритет и первичным будет "​Publisher"​. 
 +    * "​User"​ - В значении "​User"​ необходимо указать SID пользователя или группы. 
 +    * "​RuleNamePrefix"​ - определяет строку,​ которая будет добавлена к названию создаваемого правила 
 +  * "​Set-ApplockerPolicy"​ - применяет правила к системе 
 +    * "​Merge"​ - параметр указывающий на то, что правила необходимо добавить к уже существующим,​ без данного ключа новые правила заменят существующие правила 
 +Для уменьшения количества создаваемых правил можно использовать параметр "​Optimize"​ для командлета "​New-ApplockerPolicy",​ но это может ухудшить наглядное представление правил.\\ 
 +Описание команд AppLocker’а можно [[+tab|https://​docs.microsoft.com/​en-us/​powershell/​module/​applocker/?​view=win10-ps|посмотреть здесь]] 
 +===== Отключение AppLocker’а ===== 
 +Правила AppLocker’а будут действовать после остановки службы. Чтобы правила AppLocker’а перестали действовать необходимо из папки «С:​\Windows\System32\AppLocker» удалить файлы:​ 
 +  * Appx.AppLocker 
 +  * Dll.AppLocker 
 +  * Exe.AppLocker 
 +  * Msi.AppLocker 
 +  * Script.AppLocker 
 +Для возобновления работы AppLocker’а необходимо вернуть файлы обратно в папку.\\ 
 +Чтобы изменения вступили в силу необходимо перезагрузить систему. 
 +===== Проблемы и решения ===== 
 +==== Изменение параметров запуска службы AppLocker’а ==== 
 +При изменении параметров запуска службы AppLocker’а система может сообщить о том, что недостаточно прав. Изменить параметры запуска службы можно в [[+tab|реестр_windows|реестре]] 
 +<​code>​HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AppIDSvc</​code>​ 
 +За тип запуска отвечает параметр "​Start":​ 
 +  * 2 - Автоматически 
 +  * З – Вручную 
 +==== Система не загружается после запечатывания в режиме OOBE ==== 
 +Для загрузке в режиме OOBE [[блокировка_запуска_приложений_win_10_iot_enterprise#​отключение_AppLocker’а|отключите AppLocker]] 
 +==== AppLocker запрещает запуск того, что явно разрешено ==== 
 +Проверьте,​ что служба "​Удостоверение приложения"​ запущена. Статус работы службы можно узнать с помощью команды "​Get-Service AppIDSvc"​.\\ 
 +Если служба остановлена запустите ее и переведите в автоматический режим запуска. 
 +==== AppLocker разрешает запуск того, чего нет в разрешениях ==== 
 +  * Проверьте не установлен ли режим применения правил «Только аудит» 
 +  * Переведите режим применения правил в "​Принудительное применение правил"​ 
 +  * Выполните команду "​gpupdate /​force"​
 ===== Официальная документация ===== ===== Официальная документация =====
   * [[+tab|https://​docs.microsoft.com/​ru-ru/​windows/​security/​threat-protection/​windows-defender-application-control/​applocker/​applocker-overview|AppLocker]]   * [[+tab|https://​docs.microsoft.com/​ru-ru/​windows/​security/​threat-protection/​windows-defender-application-control/​applocker/​applocker-overview|AppLocker]]
 +  * [[+tab|https://​docs.microsoft.com/​en-us/​powershell/​module/​applocker/?​view=win10-ps|PowerShell cmdlets for AppLocker]]
 +  * [[+tab|https://​docs.microsoft.com/​ru-ru/​windows/​security/​threat-protection/​windows-defender-application-control/​applocker/​applocker-technical-reference|Технический справочник по AppLocker]]
 +  * [[+tab|https://​docs.microsoft.com/​en-us/​windows/​security/​threat-protection/​windows-defender-application-control/​applocker/​monitor-application-usage-with-applocker|Monitor app usage with AppLocker]]
 +  * [[+tab|https://​docs.microsoft.com/​en-us/​windows/​security/​threat-protection/​windows-defender-application-control/​applocker/​use-the-applocker-windows-powershell-cmdlets|Use the AppLocker Windows PowerShell cmdlets]]
 +  * [[+tab|http://​docshare02.docshare.tips/​files/​17344/​173447840.pdf|AppLocker Design Guide]]
 +  * [[+tab|https://​docs.microsoft.com/​en-us/​previous-versions/​windows/​it-pro/​windows-server-2008-R2-and-2008/​hh310286(v=ws.10)?​redirectedfrom=MSDN|Problem:​ AppLocker Rules Still Enforced After the Service is Stopped]]
 +  * [[+tab|https://​learn.microsoft.com/​en-us/​windows/​security/​threat-protection/​windows-defender-application-control/​applocker/​understand-applocker-enforcement-settings|Understand AppLocker enforcement settings]]
 +
 +
  
  
  
блокировка_запуска_приложений_win_10_iot_enterprise.1596617571.txt.gz · Последние изменения: 2020/08/05 11:52 — vladimir

Инструменты страницы

Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki