Здесь показаны различия между двумя версиями данной страницы.
Предыдущая версия справа и слева Предыдущая версия Следующая версия | Предыдущая версия | ||
applocker [2022/12/15 11:14] vladimir [Создание правил] |
applocker [2022/12/30 13:50] (текущий) vladimir [Создание правил] |
||
---|---|---|---|
Строка 3: | Строка 3: | ||
\\ | \\ | ||
AppLocker можно настроить с помощью | AppLocker можно настроить с помощью | ||
- | [[+tab|group-policy#редактор_локальных_групповых_политик|редактора групповых политик]] или в среде "PowerShell"\\ | + | [[+tab|group-policy#редактор_локальных_групповых_политик|редактора групповых политик]] или в среде "PowerShell" |
- | В редакторе групповых политик настройки AppLocker'а находятся по нижеуказанному пути.\\ | + | |
- | "Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Политики управления приложениями\AppLocker"\\ | + | |
- | (Computer Configuration\Windows Settings\Security Settings\Application Control Policies\AppLocker)\\ | + | |
===== Настройка ===== | ===== Настройка ===== | ||
В Windows 11 процесс AppLocker'а запущен изначально, при отсутствии правил AppLocker не накладывает никаких ограничений. Ограничения начинают действовать только при наличии хотя бы одного правила и только относительно тех групп, в которых есть правила. Пример: | В Windows 11 процесс AppLocker'а запущен изначально, при отсутствии правил AppLocker не накладывает никаких ограничений. Ограничения начинают действовать только при наличии хотя бы одного правила и только относительно тех групп, в которых есть правила. Пример: | ||
Строка 13: | Строка 10: | ||
* Правила сценариев (нет правил) | * Правила сценариев (нет правил) | ||
* Правила упакованных приложений (есть правила) | * Правила упакованных приложений (есть правила) | ||
- | При вышеуказанной схеме настройки AppLocker будет накладывать ограничения на группы "Исполняемые правила" и "Правила упакованных приложений" в соответствии с созданными правилами. Для групп "Правила установщика Windows" и "Правила сценариев" не будет никаких ограничений. | + | При вышеуказанной схеме настройки AppLocker будет накладывать ограничения на группы "Исполняемые правила" и "Правила упакованных приложений" в соответствии с созданными правилами. Для групп "Правила установщика Windows" и "Правила сценариев" не будет никаких ограничений.\\ |
+ | <wrap em>Исключение</wrap> - приложения могут не запускаться если в группе "Исполняемые правила" есть правила, а в группе "Правила упакованных приложений" нет правил. | ||
<WRAP center round important 100%> | <WRAP center round important 100%> | ||
При наличии правил по умолчанию в группе "Правила сценариев" сценарии могут не работать. Для работы сценариев необходимо группу "BUILTIN\Администраторы" заменить на конкретного пользователя | При наличии правил по умолчанию в группе "Правила сценариев" сценарии могут не работать. Для работы сценариев необходимо группу "BUILTIN\Администраторы" заменить на конкретного пользователя | ||
Строка 20: | Строка 18: | ||
==== Создание правил ==== | ==== Создание правил ==== | ||
=== В редакторе локальной групповой политики === | === В редакторе локальной групповой политики === | ||
+ | В редакторе групповых политик настройки AppLocker'а находятся по нижеуказанному пути.\\ | ||
+ | "Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Политики управления приложениями\AppLocker"\\ | ||
+ | (Computer Configuration\Windows Settings\Security Settings\Application Control Policies\AppLocker)\\ | ||
+ | В разделе "AppLocker" можно указать политику применения правил: | ||
+ | * Не настроено | ||
+ | * Аудит | ||
+ | * Принудительное применение правил | ||
+ | В подразделах можно создать правила ограничения запуска приложений | ||
=== В среде PowerShell === | === В среде PowerShell === | ||
Данный способ создания правил будет полезен при необходимости создать разрешения по белому списку.\\ | Данный способ создания правил будет полезен при необходимости создать разрешения по белому списку.\\ | ||
Строка 30: | Строка 36: | ||
</code> | </code> | ||
Для добавления новых правил к уже существующим правилам добавьте параметр "Merge" | Для добавления новых правил к уже существующим правилам добавьте параметр "Merge" | ||
- | <WRAP center round alert 100%> | + | <WRAP center important 100%> |
Для корректной работы параметра "Merge" необходимо использовать версию 22H2 со всеми обновлениями | Для корректной работы параметра "Merge" необходимо использовать версию 22H2 со всеми обновлениями | ||
</WRAP> | </WRAP> | ||
Строка 95: | Строка 101: | ||
</AppLockerPolicy> | </AppLockerPolicy> | ||
</code> | </code> | ||
- | |||
- | |||
- | |||
- | |||
- | |||
- | |||
- | |||
- | |||
- | <WRAP center round todo 100%> | ||
- | Данный раздел еще не дописан | ||
- | </WRAP> | ||