Инструменты пользователя

Инструменты сайта


Боковая панель

Главная страница


Часто задаваемые вопросы


Общие вопросы по Windows


Windows 11 IoT Enterprise


Windows 10 IoT Enterprise


Windows 10 IoT Core


Windows Embedded Standard 8


Windows Embedded Standard 7


Windows Embedded POSReady


Windows Embedded Standard 2009


Windows XP Embedded


Windows Embedded Compact

applocker

AppLocker

AppLocker позволяет запретить или разрешить запуск определенных приложений для определенных пользователей или групп пользователей.

AppLocker можно настроить с помощью редактора групповых политик или в среде «PowerShell»
В редакторе групповых политик настройки AppLocker’а находятся по нижеуказанному пути.
«Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Политики управления приложениями\AppLocker»
(Computer Configuration\Windows Settings\Security Settings\Application Control Policies\AppLocker)

Настройка

Включение AppLocker’а без предварительного создания минимально необходимых правил и без режима аудита AppLocker’а приведет к некорректной работе системы.

Создание правил

Запустите среду «PowerShell» выполнив команду «powershell» с правами администратора.
Для создания новых правил или замены текущих правил на новые правила в среде «PowerShell» выполните команду с указанием полного пути к XML файлу с правилами

Set-AppLockerPolicy -XMLPolicy "Rules.xml"

Для добавления новых правил к уже существующим правилам добавьте параметр «Merge»

На данный момент в Windows 11 есть проблемы с объединением правил AppLocker’а (с параметром «Merge»)

Set-AppLockerPolicy -XMLPolicy "Rules.xml" -Merge

Примеры правил

Для применения правил из данного раздела скопируйте необходимый набор правил, сохраните его в файле XML и примините правила к системе

Правила по умолчанию

<AppLockerPolicy Version="1">
  <RuleCollection Type="Appx" EnforcementMode="NotConfigured">
    <FilePublisherRule Id="a9e18c21-ff8f-43cf-b9fc-db40eed693ba" Name="(правило по умолчанию) Все подписанные упакованные приложения" Description="Разрешает участникам группы &quot;Все&quot; выполнять подписанные упакованные приложения." UserOrGroupSid="S-1-1-0" Action="Allow">
      <Conditions>
        <FilePublisherCondition PublisherName="*" ProductName="*" BinaryName="*">
          <BinaryVersionRange LowSection="0.0.0.0" HighSection="*" />
        </FilePublisherCondition>
      </Conditions>
    </FilePublisherRule>
  </RuleCollection>
  <RuleCollection Type="Dll" EnforcementMode="NotConfigured" />
  <RuleCollection Type="Exe" EnforcementMode="NotConfigured">
    <FilePathRule Id="921cc481-6e17-4653-8f75-050b80acca20" Name="(правило по умолчанию) Все файлы, расположенные в папке &quot;Program Files&quot;" Description="Разрешает группе &quot;Все&quot; запускать приложения, расположенные в папке &quot;Program Files&quot;." UserOrGroupSid="S-1-1-0" Action="Allow">
      <Conditions>
        <FilePathCondition Path="%PROGRAMFILES%\*" />
      </Conditions>
    </FilePathRule>
    <FilePathRule Id="a61c8b2c-a319-4cd0-9690-d2177cad7b51" Name="(правило по умолчанию) Все файлы, расположенные в папке &quot;Windows&quot;" Description="Разрешает группе &quot;Все&quot; запускать приложения, расположенные в папке &quot;Windows&quot;." UserOrGroupSid="S-1-1-0" Action="Allow">
      <Conditions>
        <FilePathCondition Path="%WINDIR%\*" />
      </Conditions>
    </FilePathRule>
    <FilePathRule Id="fd686d83-a829-4351-8ff4-27c7de5755d2" Name="(правило по умолчанию) Все файлы" Description="Разрешает локальным администраторам запускать любые приложения." UserOrGroupSid="S-1-5-32-544" Action="Allow">
      <Conditions>
        <FilePathCondition Path="*" />
      </Conditions>
    </FilePathRule>
  </RuleCollection>
  <RuleCollection Type="Msi" EnforcementMode="NotConfigured" />
  <RuleCollection Type="Script" EnforcementMode="NotConfigured" />
</AppLockerPolicy>

Разрешен запуск приложений только для группы "Администраторы"

<AppLockerPolicy Version="1">
  <RuleCollection Type="Appx" EnforcementMode="NotConfigured">
    <FilePublisherRule Id="6b583923-9626-4a05-bee0-42c2b0fc825d" Name="Все подписанные упакованные приложения" Description="Разрешает участникам группы &quot;Администраторы&quot; выполнять подписанные упакованные приложения." UserOrGroupSid="S-1-5-32-544" Action="Allow">
      <Conditions>
        <FilePublisherCondition PublisherName="*" ProductName="*" BinaryName="*">
          <BinaryVersionRange LowSection="0.0.0.0" HighSection="*" />
        </FilePublisherCondition>
      </Conditions>
    </FilePublisherRule>
  </RuleCollection>
  <RuleCollection Type="Exe" EnforcementMode="NotConfigured">
    <FilePathRule Id="4ffca96a-79e4-437e-b671-d17bd376bc75" Name="Все файлы" Description="Разрешает участникам группы &quot;Администраторы&quot; запускать любые приложения." UserOrGroupSid="S-1-5-32-544" Action="Allow">
      <Conditions>
        <FilePathCondition Path="*" />
      </Conditions>
    </FilePathRule>
  </RuleCollection>
</AppLockerPolicy>

Данный раздел еще не дописан

applocker.txt · Последние изменения: 2021/12/16 18:06 — vladimir