Инструменты пользователя

Инструменты сайта


Боковая панель

Главная страница


Часто задаваемые вопросы


Astra Linux Embedded


Windows IoT - общие вопросы


Windows 11 IoT Enterprise


Windows 10 IoT Enterprise


Windows 10 IoT Core


Windows Embedded Standard 8


Windows Embedded Standard 7


Windows Embedded POSReady


Windows Embedded Standard 2009


Windows XP Embedded


Windows Embedded Compact

applocker

Это старая версия документа!


AppLocker

AppLocker позволяет запретить или разрешить запуск определенных приложений для определенных пользователей или групп пользователей.

AppLocker можно настроить с помощью редактора групповых политик или в среде «PowerShell»
В редакторе групповых политик настройки AppLocker’а находятся по нижеуказанному пути.
«Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Политики управления приложениями\AppLocker»
(Computer Configuration\Windows Settings\Security Settings\Application Control Policies\AppLocker)

Настройка

Включение AppLocker’а без предварительного создания минимально необходимых правил и без режима аудита AppLocker’а приведет к некорректной работе системы.

Создание правил

Запустите среду «PowerShell» выполнив команду «powershell» с правами администратора.
Для создания новых правил или замены текущих правил на новые правила в среде «PowerShell» выполните команду с указанием полного пути к XML файлу с правилами

Set-AppLockerPolicy -XMLPolicy "Rules.xml"

Для добавления новых правил к уже существующим правилам добавьте параметр «Merge»

Set-AppLockerPolicy -XMLPolicy "Rules.xml" -Merge

Примеры правил

Для применения правил из данного раздела скопируйте необходимый набор правил, сохраните его в файле XML и applocker#создание_правил

Правила по умолчанию

<AppLockerPolicy Version="1">
  <RuleCollection Type="Appx" EnforcementMode="NotConfigured">
    <FilePublisherRule Id="a9e18c21-ff8f-43cf-b9fc-db40eed693ba" Name="(правило по умолчанию) Все подписанные упакованные приложения" Description="Разрешает участникам группы &quot;Все&quot; выполнять подписанные упакованные приложения." UserOrGroupSid="S-1-1-0" Action="Allow">
      <Conditions>
        <FilePublisherCondition PublisherName="*" ProductName="*" BinaryName="*">
          <BinaryVersionRange LowSection="0.0.0.0" HighSection="*" />
        </FilePublisherCondition>
      </Conditions>
    </FilePublisherRule>
  </RuleCollection>
  <RuleCollection Type="Dll" EnforcementMode="NotConfigured" />
  <RuleCollection Type="Exe" EnforcementMode="NotConfigured">
    <FilePathRule Id="921cc481-6e17-4653-8f75-050b80acca20" Name="(правило по умолчанию) Все файлы, расположенные в папке &quot;Program Files&quot;" Description="Разрешает группе &quot;Все&quot; запускать приложения, расположенные в папке &quot;Program Files&quot;." UserOrGroupSid="S-1-1-0" Action="Allow">
      <Conditions>
        <FilePathCondition Path="%PROGRAMFILES%\*" />
      </Conditions>
    </FilePathRule>
    <FilePathRule Id="a61c8b2c-a319-4cd0-9690-d2177cad7b51" Name="(правило по умолчанию) Все файлы, расположенные в папке &quot;Windows&quot;" Description="Разрешает группе &quot;Все&quot; запускать приложения, расположенные в папке &quot;Windows&quot;." UserOrGroupSid="S-1-1-0" Action="Allow">
      <Conditions>
        <FilePathCondition Path="%WINDIR%\*" />
      </Conditions>
    </FilePathRule>
    <FilePathRule Id="fd686d83-a829-4351-8ff4-27c7de5755d2" Name="(правило по умолчанию) Все файлы" Description="Разрешает локальным администраторам запускать любые приложения." UserOrGroupSid="S-1-5-32-544" Action="Allow">
      <Conditions>
        <FilePathCondition Path="*" />
      </Conditions>
    </FilePathRule>
  </RuleCollection>
  <RuleCollection Type="Msi" EnforcementMode="NotConfigured" />
  <RuleCollection Type="Script" EnforcementMode="NotConfigured" />
</AppLockerPolicy>

Данный раздел еще не дописан

applocker.1639664698.txt.gz · Последние изменения: 2021/12/16 17:24 — vladimir