Инструменты пользователя

Инструменты сайта


applocker

Различия

Здесь показаны различия между двумя версиями данной страницы.

Ссылка на это сравнение

Предыдущая версия справа и слева Предыдущая версия
Следующая версия
Предыдущая версия
applocker [2021/12/16 15:34]
vladimir
applocker [2022/12/30 13:50] (текущий)
vladimir [Создание правил]
Строка 3: Строка 3:
 \\ \\
 AppLocker можно настроить с помощью ​ AppLocker можно настроить с помощью ​
-[[+tab|group-policy#​редактор_локальных_групповых_политик|редактора групповых политик]] или в среде "​PowerShell"​\\+[[+tab|group-policy#​редактор_локальных_групповых_политик|редактора групповых политик]] или в среде "​PowerShell"​ 
 +===== Настройка ===== 
 +В Windows 11 процесс AppLocker'​а запущен изначально,​ при отсутствии правил AppLocker не накладывает никаких ограничений. Ограничения начинают действовать только при наличии хотя бы одного правила и только относительно тех групп, в которых есть правила. Пример:​ 
 +  * Исполняемые правила (есть правила) 
 +  * Правила установщика Windows (нет правил) 
 +  * Правила сценариев (нет правил) 
 +  * Правила упакованных приложений (есть правила) 
 +При вышеуказанной схеме настройки AppLocker будет накладывать ограничения на группы "​Исполняемые правила"​ и "​Правила упакованных приложений"​ в соответствии с созданными правилами. Для групп "​Правила установщика Windows"​ и "​Правила сценариев"​ не будет никаких ограничений.\\ 
 +<wrap em>​Исключение</​wrap>​ - приложения могут не запускаться если в группе "​Исполняемые правила"​ есть правила,​ а в группе "​Правила упакованных приложений"​ нет правил. 
 +<WRAP center round important 100%> 
 +При наличии правил по умолчанию в группе "​Правила сценариев"​ сценарии могут не работать. Для работы сценариев необходимо группу "​BUILTIN\Администраторы"​ заменить на конкретного пользователя 
 +</​WRAP>​ 
 + 
 +==== Создание правил ==== 
 +=== В редакторе локальной групповой политики ===
 В редакторе групповых политик настройки AppLocker'​а находятся по нижеуказанному пути.\\ В редакторе групповых политик настройки AppLocker'​а находятся по нижеуказанному пути.\\
 "​Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Политики управления приложениями\AppLocker"​\\ "​Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Политики управления приложениями\AppLocker"​\\
 (Computer Configuration\Windows Settings\Security Settings\Application Control Policies\AppLocker)\\ (Computer Configuration\Windows Settings\Security Settings\Application Control Policies\AppLocker)\\
-===== Настройка ===== +В разделе "​AppLocker"​ можно указать политику применения правил:​ 
-<WRAP center round important 100%> +  * Не настроено 
-Включение ​AppLocker'​а без ​предварительного создания ​минимально ​необходимых правил и без режима ​аудита ​AppLocker'​а приведет к некорректной работе ​системы.+  * Аудит 
 +  * Принудительное применение ​правил 
 +В подразделах можно создать правила ограничения запуска приложений 
 +=== В среде PowerShell === 
 +Данный способ создания ​правил будет полезен при необходимости создать разрешения по белому списку.\\ 
 +\\ 
 +Запустите среду "​PowerShell"​ [[+tab|run-dialog-box|выполнив команду]] "​powershell"​ с правами администратора.\\ 
 +Для создания новых правил или замены текущих правил на новые правила в среде "​PowerShell"​ выполните команду с указанием полного пути к XML файлу с [[applocker#​создание_правил|правилами]] 
 + 
 +<​code>​ 
 +Set-AppLockerPolicy -XMLPolicy "​Rules.xml"​ 
 +</​code>​ 
 +Для ​добавления новых правил к уже существующим правилам добавьте параметр "​Merge"​ 
 +<WRAP center important 100%> 
 +Для ​корректной работы параметра "​Merge"​ необходимо ​использовать версию 22H2 со всеми обновлениями
 </​WRAP>​ </​WRAP>​
-==== Создание правил перед включением AppLocker'​а ====+<​code>​ 
 +Set-AppLockerPolicy -XMLPolicy "​Rules.xml"​ -Merge 
 +</​code>​
  
-Для ​создания правил ​по умолчанию сохраните ​нижеуказанный текст в файле "​XML"​+==== Примеры правил ==== 
 +Для ​применения правил ​из данного раздела скопируйте ​необходимый набор правил, ​сохраните его в файле XML и 
 +[[applocker#​создание_правил|примините правила ​к системе]] 
 +=== Правила по умолчанию ===
 <​code>​ <​code>​
 <​AppLockerPolicy Version="​1">​ <​AppLockerPolicy Version="​1">​
Строка 47: Строка 80:
 </​AppLockerPolicy>​ </​AppLockerPolicy>​
 </​code>​ </​code>​
- +=== Разрешен запуск приложений только для группы ​"Администраторы" === 
- +<​code>​ 
-[[+tab|run-dialog-box|Выполните команду]] "powershell"​ с правами администратора.\\ +<​AppLockerPolicy Version="​1">​ 
- +  <​RuleCollection Type="Appx" ​EnforcementMode="​NotConfigured">​ 
- +    <​FilePublisherRule Id="​6b583923-9626-4a05-bee0-42c2b0fc825d"​ Name="​Все ​подписанные упакованные приложения" ​Description="Разрешает участникам группы &​quot;​Администраторы&​quot; ​выполнять подписанные упакованные приложения."​ UserOrGroupSid="​S-1-5-32-544"​ Action="​Allow">​ 
-Запустите среду ​"PowerShell" ​[[+tab|run-dialog-box|выполнив команду]] ​"powershell" ​с правами администратора.\\ +      <​Conditions>​ 
-В среде "​PowerShell" ​выполните команду +        <​FilePublisherCondition PublisherName="​*"​ ProductName="​*"​ BinaryName="​*">​ 
- +          <​BinaryVersionRange LowSection="​0.0.0.0"​ HighSection="​*"​ /> 
- +        </​FilePublisherCondition>​ 
- +      </Conditions
- +    </​FilePublisherRule>​ 
-<WRAP center round todo 100%+  </​RuleCollection>​ 
-Данный раздел еще не дописан +  <​RuleCollection Type="​Exe"​ EnforcementMode="​NotConfigured">​ 
-</WRAP>+    <​FilePathRule Id="​4ffca96a-79e4-437e-b671-d17bd376bc75"​ Name="​Все файлы" Description="​Разрешает участникам группы &​quot;​Администраторы&​quot;​ запускать любые приложения." UserOrGroupSid="​S-1-5-32-544"​ Action="​Allow">​ 
 +      <​Conditions>​ 
 +        <​FilePathCondition Path="​*"​ /> 
 +      </​Conditions>​ 
 +    </​FilePathRule>​ 
 +  </​RuleCollection>​ 
 +</​AppLockerPolicy>​ 
 +</code>
  
applocker.1639658084.txt.gz · Последние изменения: 2021/12/16 15:34 — vladimir