Различия

Здесь показаны различия между двумя версиями данной страницы.

--- блокировка_запуска_приложений_win_10_iot_enterprise [2020/08/05 12:03]
vladimir [Автоматическое создание правил по результатам аудита]
+++ блокировка_запуска_приложений_win_10_iot_enterprise [2022/12/30 14:01] (текущий)
vladimir [Официальная документация]
@@ Строка 57: / Строка 57: @@
 Или можно автоматически создать правила на основании результатов аудита.
 ===== Автоматическое создание правил по результатам аудита =====
-Пример для автоматического создания правил на основании результатов аудита с помощью PowerShell:
+Пример для автоматического создания правил на основании результатов аудита с помощью [[+tab|powershell|PowerShell]]:
+<code>
+Get-ApplockerFileinformation -Eventlog -EventType Audited | New-ApplockerPolicy -RuleType Hash, Publisher -User (Имя пользователя) -RuleNamePrefix AuditBased | Set-ApplockerPolicy –Merge
+</code>
+В данном примере:\\
+  * "Get-ApplockerFileinformation -Eventlog -EventType Audited" - получает события типа "Аудит"
+  * "New-ApplockerPolicy" - создает новые правила
+    *  "-RuleType Hash, Publisher" - создает новые правила на основании "Hash", если не доступен "Hash", то правило будет создано на основе "Publisher". Если поменять значения местами, то изменится приоритет и первичным будет "Publisher".
+    * "User" - В значении "User" необходимо указать SID пользователя или группы.
+    * "RuleNamePrefix" - определяет строку, которая будет добавлена к названию создаваемого правила
+  * "Set-ApplockerPolicy" - применяет правила к системе
+    * "Merge" - параметр указывающий на то, что правила необходимо добавить к уже существующим, без данного ключа новые правила заменят существующие правила
+Для уменьшения количества создаваемых правил можно использовать параметр "Optimize" для командлета "New-ApplockerPolicy", но это может ухудшить наглядное представление правил.\\
+Описание команд AppLocker’а можно [[+tab|https://docs.microsoft.com/en-us/powershell/module/applocker/?view=win10-ps|посмотреть здесь]]
+===== Отключение AppLocker’а =====
+Правила AppLocker’а будут действовать после остановки службы. Чтобы правила AppLocker’а перестали действовать необходимо из папки «С:\Windows\System32\AppLocker» удалить файлы:
+  * Appx.AppLocker
+  * Dll.AppLocker
+  * Exe.AppLocker
+  * Msi.AppLocker
+  * Script.AppLocker
+Для возобновления работы AppLocker’а необходимо вернуть файлы обратно в папку.\\
+Чтобы изменения вступили в силу необходимо перезагрузить систему.
+===== Проблемы и решения =====
+==== Изменение параметров запуска службы AppLocker’а ====
+При изменении параметров запуска службы AppLocker’а система может сообщить о том, что недостаточно прав. Изменить параметры запуска службы можно в [[+tab|реестр_windows|реестре]]
+<code>HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AppIDSvc</code>
+За тип запуска отвечает параметр "Start":
+  * 2 - Автоматически
+  * З – Вручную
+==== Система не загружается после запечатывания в режиме OOBE ====
+Для загрузке в режиме OOBE [[блокировка_запуска_приложений_win_10_iot_enterprise#отключение_AppLocker’а|отключите AppLocker]]
+==== AppLocker запрещает запуск того, что явно разрешено ====
+Проверьте, что служба "Удостоверение приложения" запущена. Статус работы службы можно узнать с помощью команды "Get-Service AppIDSvc".\\
+Если служба остановлена запустите ее и переведите в автоматический режим запуска.
+==== AppLocker разрешает запуск того, чего нет в разрешениях ====
+  * Проверьте не установлен ли режим применения правил «Только аудит»
+  * Переведите режим применения правил в "Принудительное применение правил"
+  * Выполните команду "gpupdate /force"
+===== Официальная документация =====
+  * [[+tab|https://docs.microsoft.com/ru-ru/windows/security/threat-protection/windows-defender-application-control/applocker/applocker-overview|AppLocker]]
+  * [[+tab|https://docs.microsoft.com/en-us/powershell/module/applocker/?view=win10-ps|PowerShell cmdlets for AppLocker]]
+  * [[+tab|https://docs.microsoft.com/ru-ru/windows/security/threat-protection/windows-defender-application-control/applocker/applocker-technical-reference|Технический справочник по AppLocker]]
+  * [[+tab|https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender-application-control/applocker/monitor-application-usage-with-applocker|Monitor app usage with AppLocker]]
+  * [[+tab|https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender-application-control/applocker/use-the-applocker-windows-powershell-cmdlets|Use the AppLocker Windows PowerShell cmdlets]]
+  * [[+tab|http://docshare02.docshare.tips/files/17344/173447840.pdf|AppLocker Design Guide]]
+  * [[+tab|https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/hh310286(v=ws.10)?redirectedfrom=MSDN|Problem: AppLocker Rules Still Enforced After the Service is Stopped]]
+  * [[+tab|https://learn.microsoft.com/en-us/windows/security/threat-protection/windows-defender-application-control/applocker/understand-applocker-enforcement-settings|Understand AppLocker enforcement settings]]
-<WRAP center round todo 100%>
-Данный раздел еще не дописан
-</WRAP>
-===== Официальная документация =====
-  * [[+tab|https://docs.microsoft.com/ru-ru/windows/security/threat-protection/windows-defender-application-control/applocker/applocker-overview|AppLocker]]

Windows IoTAstra Linux Embedded

Инструменты пользователя

Инструменты сайта

Различия

Инструменты страницы

Windows IoT
Astra Linux Embedded