Здесь показаны различия между двумя версиями данной страницы.
Предыдущая версия справа и слева Предыдущая версия Следующая версия | Предыдущая версия Последняя версия Следующая версия справа и слева | ||
applocker [2021/12/16 15:25] vladimir [Создание правил перед включением AppLocker'а] |
applocker [2022/12/15 13:33] vladimir [Примеры правил] |
||
---|---|---|---|
Строка 3: | Строка 3: | ||
\\ | \\ | ||
AppLocker можно настроить с помощью | AppLocker можно настроить с помощью | ||
- | [[+tab|group-policy#редактор_локальных_групповых_политик|редактора групповых политик]] или в среде "PowerShell"\\ | + | [[+tab|group-policy#редактор_локальных_групповых_политик|редактора групповых политик]] или в среде "PowerShell" |
- | В редакторе групповых политик настройки AppLocker'а находятся по нижеуказанному пути.\\ | + | |
- | "Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Политики управления приложениями\AppLocker"\\ | + | |
- | (Computer Configuration\Windows Settings\Security Settings\Application Control Policies\AppLocker)\\ | + | |
===== Настройка ===== | ===== Настройка ===== | ||
- | ==== Создание правил перед включением AppLocker'а ==== | + | В Windows 11 процесс AppLocker'а запущен изначально, при отсутствии правил AppLocker не накладывает никаких ограничений. Ограничения начинают действовать только при наличии хотя бы одного правила и только относительно тех групп, в которых есть правила. Пример: |
+ | * Исполняемые правила (есть правила) | ||
+ | * Правила установщика Windows (нет правил) | ||
+ | * Правила сценариев (нет правил) | ||
+ | * Правила упакованных приложений (есть правила) | ||
+ | При вышеуказанной схеме настройки AppLocker будет накладывать ограничения на группы "Исполняемые правила" и "Правила упакованных приложений" в соответствии с созданными правилами. Для групп "Правила установщика Windows" и "Правила сценариев" не будет никаких ограничений.\\ | ||
+ | <wrap em>Исключение</wrap> - приложения могут не запускаться если в группе "Исполняемые правила" есть правила, а в группе "Правила упакованных приложений" нет правил. | ||
<WRAP center round important 100%> | <WRAP center round important 100%> | ||
- | Включение AppLocker'а без предварительного создания минимально необходимых правил приведет к некорректной работе системы. | + | При наличии правил по умолчанию в группе "Правила сценариев" сценарии могут не работать. Для работы сценариев необходимо группу "BUILTIN\Администраторы" заменить на конкретного пользователя |
</WRAP> | </WRAP> | ||
+ | ==== Создание правил ==== | ||
+ | === В редакторе локальной групповой политики === | ||
+ | В редакторе групповых политик настройки AppLocker'а находятся по нижеуказанному пути.\\ | ||
+ | "Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Политики управления приложениями\AppLocker"\\ | ||
+ | (Computer Configuration\Windows Settings\Security Settings\Application Control Policies\AppLocker)\\ | ||
+ | В разделе "AppLocker" можно указать политику применения правил: | ||
+ | * Не настроено | ||
+ | * Аудит | ||
+ | * Принудительное применение правил | ||
+ | В подразделах можно создать правила ограничения запуска приложений | ||
+ | === В среде PowerShell === | ||
+ | Данный способ создания правил будет полезен при необходимости создать разрешения по белому списку.\\ | ||
+ | \\ | ||
+ | Запустите среду "PowerShell" [[+tab|run-dialog-box|выполнив команду]] "powershell" с правами администратора.\\ | ||
+ | Для создания новых правил или замены текущих правил на новые правила в среде "PowerShell" выполните команду с указанием полного пути к XML файлу с [[applocker#создание_правил|правилами]] | ||
+ | <code> | ||
+ | Set-AppLockerPolicy -XMLPolicy "Rules.xml" | ||
+ | </code> | ||
+ | Для добавления новых правил к уже существующим правилам добавьте параметр "Merge" | ||
+ | <WRAP center round alert 100%> | ||
+ | Для корректной работы параметра "Merge" необходимо использовать версию 22H2 со всеми обновлениями | ||
+ | </WRAP> | ||
+ | <code> | ||
+ | Set-AppLockerPolicy -XMLPolicy "Rules.xml" -Merge | ||
+ | </code> | ||
- | + | ==== Примеры правил ==== | |
- | <WRAP center round todo 100%> | + | Для применения правил из данного раздела скопируйте необходимый набор правил, сохраните его в файле XML и |
- | Данный раздел еще не дописан | + | [[applocker#создание_правил|примините правила к системе]] |
- | </WRAP> | + | === Правила по умолчанию === |
+ | <code> | ||
+ | <AppLockerPolicy Version="1"> | ||
+ | <RuleCollection Type="Appx" EnforcementMode="NotConfigured"> | ||
+ | <FilePublisherRule Id="a9e18c21-ff8f-43cf-b9fc-db40eed693ba" Name="(правило по умолчанию) Все подписанные упакованные приложения" Description="Разрешает участникам группы "Все" выполнять подписанные упакованные приложения." UserOrGroupSid="S-1-1-0" Action="Allow"> | ||
+ | <Conditions> | ||
+ | <FilePublisherCondition PublisherName="*" ProductName="*" BinaryName="*"> | ||
+ | <BinaryVersionRange LowSection="0.0.0.0" HighSection="*" /> | ||
+ | </FilePublisherCondition> | ||
+ | </Conditions> | ||
+ | </FilePublisherRule> | ||
+ | </RuleCollection> | ||
+ | <RuleCollection Type="Dll" EnforcementMode="NotConfigured" /> | ||
+ | <RuleCollection Type="Exe" EnforcementMode="NotConfigured"> | ||
+ | <FilePathRule Id="921cc481-6e17-4653-8f75-050b80acca20" Name="(правило по умолчанию) Все файлы, расположенные в папке "Program Files"" Description="Разрешает группе "Все" запускать приложения, расположенные в папке "Program Files"." UserOrGroupSid="S-1-1-0" Action="Allow"> | ||
+ | <Conditions> | ||
+ | <FilePathCondition Path="%PROGRAMFILES%\*" /> | ||
+ | </Conditions> | ||
+ | </FilePathRule> | ||
+ | <FilePathRule Id="a61c8b2c-a319-4cd0-9690-d2177cad7b51" Name="(правило по умолчанию) Все файлы, расположенные в папке "Windows"" Description="Разрешает группе "Все" запускать приложения, расположенные в папке "Windows"." UserOrGroupSid="S-1-1-0" Action="Allow"> | ||
+ | <Conditions> | ||
+ | <FilePathCondition Path="%WINDIR%\*" /> | ||
+ | </Conditions> | ||
+ | </FilePathRule> | ||
+ | <FilePathRule Id="fd686d83-a829-4351-8ff4-27c7de5755d2" Name="(правило по умолчанию) Все файлы" Description="Разрешает локальным администраторам запускать любые приложения." UserOrGroupSid="S-1-5-32-544" Action="Allow"> | ||
+ | <Conditions> | ||
+ | <FilePathCondition Path="*" /> | ||
+ | </Conditions> | ||
+ | </FilePathRule> | ||
+ | </RuleCollection> | ||
+ | <RuleCollection Type="Msi" EnforcementMode="NotConfigured" /> | ||
+ | <RuleCollection Type="Script" EnforcementMode="NotConfigured" /> | ||
+ | </AppLockerPolicy> | ||
+ | </code> | ||
+ | === Разрешен запуск приложений только для группы "Администраторы" === | ||
+ | <code> | ||
+ | <AppLockerPolicy Version="1"> | ||
+ | <RuleCollection Type="Appx" EnforcementMode="NotConfigured"> | ||
+ | <FilePublisherRule Id="6b583923-9626-4a05-bee0-42c2b0fc825d" Name="Все подписанные упакованные приложения" Description="Разрешает участникам группы "Администраторы" выполнять подписанные упакованные приложения." UserOrGroupSid="S-1-5-32-544" Action="Allow"> | ||
+ | <Conditions> | ||
+ | <FilePublisherCondition PublisherName="*" ProductName="*" BinaryName="*"> | ||
+ | <BinaryVersionRange LowSection="0.0.0.0" HighSection="*" /> | ||
+ | </FilePublisherCondition> | ||
+ | </Conditions> | ||
+ | </FilePublisherRule> | ||
+ | </RuleCollection> | ||
+ | <RuleCollection Type="Exe" EnforcementMode="NotConfigured"> | ||
+ | <FilePathRule Id="4ffca96a-79e4-437e-b671-d17bd376bc75" Name="Все файлы" Description="Разрешает участникам группы "Администраторы" запускать любые приложения." UserOrGroupSid="S-1-5-32-544" Action="Allow"> | ||
+ | <Conditions> | ||
+ | <FilePathCondition Path="*" /> | ||
+ | </Conditions> | ||
+ | </FilePathRule> | ||
+ | </RuleCollection> | ||
+ | </AppLockerPolicy> | ||
+ | </code> | ||