Это старая версия документа!
AppLocker позволяет запретить или разрешить запуск определенных приложений для определенных пользователей или групп пользователей.
AppLocker можно настроить с помощью
редактора групповых политик или в среде «PowerShell»
В редакторе групповых политик настройки AppLocker’а находятся по нижеуказанному пути.
«Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Политики управления приложениями\AppLocker»
(Computer Configuration\Windows Settings\Security Settings\Application Control Policies\AppLocker)
Включение AppLocker’а без предварительного создания минимально необходимых правил и без режима аудита AppLocker’а приведет к некорректной работе системы.
Запустите среду «PowerShell» выполнив команду «powershell» с правами администратора.
Для создания новых правил или замены текущих правил на новые правила в среде «PowerShell» выполните команду с указанием полного пути к XML файлу.
Set-AppLockerPolicy -XMLPolicy "Rules.xml"
Для добавления новых правил к уже существующим правилам добавьте параметр «Merge»
Set-AppLockerPolicy -XMLPolicy "Rules.xml" -Merge
Для создания правил по умолчанию сохраните нижеуказанный текст в файле «XML»
<AppLockerPolicy Version="1"> <RuleCollection Type="Appx" EnforcementMode="NotConfigured"> <FilePublisherRule Id="a9e18c21-ff8f-43cf-b9fc-db40eed693ba" Name="(правило по умолчанию) Все подписанные упакованные приложения" Description="Разрешает участникам группы "Все" выполнять подписанные упакованные приложения." UserOrGroupSid="S-1-1-0" Action="Allow"> <Conditions> <FilePublisherCondition PublisherName="*" ProductName="*" BinaryName="*"> <BinaryVersionRange LowSection="0.0.0.0" HighSection="*" /> </FilePublisherCondition> </Conditions> </FilePublisherRule> </RuleCollection> <RuleCollection Type="Dll" EnforcementMode="NotConfigured" /> <RuleCollection Type="Exe" EnforcementMode="NotConfigured"> <FilePathRule Id="921cc481-6e17-4653-8f75-050b80acca20" Name="(правило по умолчанию) Все файлы, расположенные в папке "Program Files"" Description="Разрешает группе "Все" запускать приложения, расположенные в папке "Program Files"." UserOrGroupSid="S-1-1-0" Action="Allow"> <Conditions> <FilePathCondition Path="%PROGRAMFILES%\*" /> </Conditions> </FilePathRule> <FilePathRule Id="a61c8b2c-a319-4cd0-9690-d2177cad7b51" Name="(правило по умолчанию) Все файлы, расположенные в папке "Windows"" Description="Разрешает группе "Все" запускать приложения, расположенные в папке "Windows"." UserOrGroupSid="S-1-1-0" Action="Allow"> <Conditions> <FilePathCondition Path="%WINDIR%\*" /> </Conditions> </FilePathRule> <FilePathRule Id="fd686d83-a829-4351-8ff4-27c7de5755d2" Name="(правило по умолчанию) Все файлы" Description="Разрешает локальным администраторам запускать любые приложения." UserOrGroupSid="S-1-5-32-544" Action="Allow"> <Conditions> <FilePathCondition Path="*" /> </Conditions> </FilePathRule> </RuleCollection> <RuleCollection Type="Msi" EnforcementMode="NotConfigured" /> <RuleCollection Type="Script" EnforcementMode="NotConfigured" /> </AppLockerPolicy>
Выполните команду «powershell» с правами администратора.
Данный раздел еще не дописан