Инструменты пользователя
applocker
Различия
Здесь показаны различия между двумя версиями данной страницы.
| Предыдущая версия справа и слева Предыдущая версия Следующая версия | Предыдущая версия | ||
|
applocker [2021/12/16 15:28] vladimir [Создание правил перед включением AppLocker'а] |
applocker [2022/12/30 13:50] (текущий) vladimir [Создание правил] |
||
|---|---|---|---|
| Строка 3: | Строка 3: | ||
| \\ | \\ | ||
| AppLocker можно настроить с помощью | AppLocker можно настроить с помощью | ||
| - | [[+tab|group-policy#редактор_локальных_групповых_политик|редактора групповых политик]] или в среде "PowerShell"\\ | + | [[+tab|group-policy#редактор_локальных_групповых_политик|редактора групповых политик]] или в среде "PowerShell" |
| - | В редакторе групповых политик настройки AppLocker'а находятся по нижеуказанному пути.\\ | + | |
| - | "Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Политики управления приложениями\AppLocker"\\ | + | |
| - | (Computer Configuration\Windows Settings\Security Settings\Application Control Policies\AppLocker)\\ | + | |
| ===== Настройка ===== | ===== Настройка ===== | ||
| - | ==== Создание правил перед включением AppLocker'а ==== | + | В Windows 11 процесс AppLocker'а запущен изначально, при отсутствии правил AppLocker не накладывает никаких ограничений. Ограничения начинают действовать только при наличии хотя бы одного правила и только относительно тех групп, в которых есть правила. Пример: |
| + | * Исполняемые правила (есть правила) | ||
| + | * Правила установщика Windows (нет правил) | ||
| + | * Правила сценариев (нет правил) | ||
| + | * Правила упакованных приложений (есть правила) | ||
| + | При вышеуказанной схеме настройки AppLocker будет накладывать ограничения на группы "Исполняемые правила" и "Правила упакованных приложений" в соответствии с созданными правилами. Для групп "Правила установщика Windows" и "Правила сценариев" не будет никаких ограничений.\\ | ||
| + | <wrap em>Исключение</wrap> - приложения могут не запускаться если в группе "Исполняемые правила" есть правила, а в группе "Правила упакованных приложений" нет правил. | ||
| <WRAP center round important 100%> | <WRAP center round important 100%> | ||
| - | Включение AppLocker'а без предварительного создания минимально необходимых правил и без режима аудита AppLocker'а приведет к некорректной работе системы. | + | При наличии правил по умолчанию в группе "Правила сценариев" сценарии могут не работать. Для работы сценариев необходимо группу "BUILTIN\Администраторы" заменить на конкретного пользователя |
| </WRAP> | </WRAP> | ||
| + | ==== Создание правил ==== | ||
| + | === В редакторе локальной групповой политики === | ||
| + | В редакторе групповых политик настройки AppLocker'а находятся по нижеуказанному пути.\\ | ||
| + | "Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Политики управления приложениями\AppLocker"\\ | ||
| + | (Computer Configuration\Windows Settings\Security Settings\Application Control Policies\AppLocker)\\ | ||
| + | В разделе "AppLocker" можно указать политику применения правил: | ||
| + | * Не настроено | ||
| + | * Аудит | ||
| + | * Принудительное применение правил | ||
| + | В подразделах можно создать правила ограничения запуска приложений | ||
| + | === В среде PowerShell === | ||
| + | Данный способ создания правил будет полезен при необходимости создать разрешения по белому списку.\\ | ||
| + | \\ | ||
| + | Запустите среду "PowerShell" [[+tab|run-dialog-box|выполнив команду]] "powershell" с правами администратора.\\ | ||
| + | Для создания новых правил или замены текущих правил на новые правила в среде "PowerShell" выполните команду с указанием полного пути к XML файлу с [[applocker#создание_правил|правилами]] | ||
| + | <code> | ||
| + | Set-AppLockerPolicy -XMLPolicy "Rules.xml" | ||
| + | </code> | ||
| + | Для добавления новых правил к уже существующим правилам добавьте параметр "Merge" | ||
| + | <WRAP center important 100%> | ||
| + | Для корректной работы параметра "Merge" необходимо использовать версию 22H2 со всеми обновлениями | ||
| + | </WRAP> | ||
| + | <code> | ||
| + | Set-AppLockerPolicy -XMLPolicy "Rules.xml" -Merge | ||
| + | </code> | ||
| - | + | ==== Примеры правил ==== | |
| - | <WRAP center round todo 100%> | + | Для применения правил из данного раздела скопируйте необходимый набор правил, сохраните его в файле XML и |
| - | Данный раздел еще не дописан | + | [[applocker#создание_правил|примините правила к системе]] |
| - | </WRAP> | + | === Правила по умолчанию === |
| + | <code> | ||
| + | <AppLockerPolicy Version="1"> | ||
| + | <RuleCollection Type="Appx" EnforcementMode="NotConfigured"> | ||
| + | <FilePublisherRule Id="a9e18c21-ff8f-43cf-b9fc-db40eed693ba" Name="(правило по умолчанию) Все подписанные упакованные приложения" Description="Разрешает участникам группы "Все" выполнять подписанные упакованные приложения." UserOrGroupSid="S-1-1-0" Action="Allow"> | ||
| + | <Conditions> | ||
| + | <FilePublisherCondition PublisherName="*" ProductName="*" BinaryName="*"> | ||
| + | <BinaryVersionRange LowSection="0.0.0.0" HighSection="*" /> | ||
| + | </FilePublisherCondition> | ||
| + | </Conditions> | ||
| + | </FilePublisherRule> | ||
| + | </RuleCollection> | ||
| + | <RuleCollection Type="Dll" EnforcementMode="NotConfigured" /> | ||
| + | <RuleCollection Type="Exe" EnforcementMode="NotConfigured"> | ||
| + | <FilePathRule Id="921cc481-6e17-4653-8f75-050b80acca20" Name="(правило по умолчанию) Все файлы, расположенные в папке "Program Files"" Description="Разрешает группе "Все" запускать приложения, расположенные в папке "Program Files"." UserOrGroupSid="S-1-1-0" Action="Allow"> | ||
| + | <Conditions> | ||
| + | <FilePathCondition Path="%PROGRAMFILES%\*" /> | ||
| + | </Conditions> | ||
| + | </FilePathRule> | ||
| + | <FilePathRule Id="a61c8b2c-a319-4cd0-9690-d2177cad7b51" Name="(правило по умолчанию) Все файлы, расположенные в папке "Windows"" Description="Разрешает группе "Все" запускать приложения, расположенные в папке "Windows"." UserOrGroupSid="S-1-1-0" Action="Allow"> | ||
| + | <Conditions> | ||
| + | <FilePathCondition Path="%WINDIR%\*" /> | ||
| + | </Conditions> | ||
| + | </FilePathRule> | ||
| + | <FilePathRule Id="fd686d83-a829-4351-8ff4-27c7de5755d2" Name="(правило по умолчанию) Все файлы" Description="Разрешает локальным администраторам запускать любые приложения." UserOrGroupSid="S-1-5-32-544" Action="Allow"> | ||
| + | <Conditions> | ||
| + | <FilePathCondition Path="*" /> | ||
| + | </Conditions> | ||
| + | </FilePathRule> | ||
| + | </RuleCollection> | ||
| + | <RuleCollection Type="Msi" EnforcementMode="NotConfigured" /> | ||
| + | <RuleCollection Type="Script" EnforcementMode="NotConfigured" /> | ||
| + | </AppLockerPolicy> | ||
| + | </code> | ||
| + | === Разрешен запуск приложений только для группы "Администраторы" === | ||
| + | <code> | ||
| + | <AppLockerPolicy Version="1"> | ||
| + | <RuleCollection Type="Appx" EnforcementMode="NotConfigured"> | ||
| + | <FilePublisherRule Id="6b583923-9626-4a05-bee0-42c2b0fc825d" Name="Все подписанные упакованные приложения" Description="Разрешает участникам группы "Администраторы" выполнять подписанные упакованные приложения." UserOrGroupSid="S-1-5-32-544" Action="Allow"> | ||
| + | <Conditions> | ||
| + | <FilePublisherCondition PublisherName="*" ProductName="*" BinaryName="*"> | ||
| + | <BinaryVersionRange LowSection="0.0.0.0" HighSection="*" /> | ||
| + | </FilePublisherCondition> | ||
| + | </Conditions> | ||
| + | </FilePublisherRule> | ||
| + | </RuleCollection> | ||
| + | <RuleCollection Type="Exe" EnforcementMode="NotConfigured"> | ||
| + | <FilePathRule Id="4ffca96a-79e4-437e-b671-d17bd376bc75" Name="Все файлы" Description="Разрешает участникам группы "Администраторы" запускать любые приложения." UserOrGroupSid="S-1-5-32-544" Action="Allow"> | ||
| + | <Conditions> | ||
| + | <FilePathCondition Path="*" /> | ||
| + | </Conditions> | ||
| + | </FilePathRule> | ||
| + | </RuleCollection> | ||
| + | </AppLockerPolicy> | ||
| + | </code> | ||
applocker.1639657706.txt.gz · Последние изменения: 2021/12/16 15:28 — vladimir
Инструменты страницы
