AppLocker: Często zadawane pytania

W niniejszym artykule, adresowanym do specjalistów IT, zebrane zostały pytania i odpowiedzi dotyczące działania, wdrażania oraz zarządzania funkcją AppLocker. AppLocker jest funkcją sterowania aplikacjami w systemach Windows Server 2008 R2 oraz Windows 7.

Działanie funkcji AppLocker

	Pyt. Czym jest AppLocker?
	Pyt. Czym funkcja AppLocker różni się od Zasad ograniczeń oprogramowania?
	Pyt. Kto może zainstalować i uruchomić pliki?
	Pyt. Jakimi typami plików mogę zarządzać przy pomocy funkcji AppLocker?
	Pyt. Czym są warunki reguł?
	Pyt. Czy zasady funkcji AppLocker dotyczą plików wykonywalnych na urządzeniach przenośnych?
	Pyt. Czy AppLocker sprawdza odwołania certyfikatu podczas określania, czy podpis binarny jest wciąż prawidłowy?
	Pyt. Czy akcja odmowy w regule zawsze ma pierwszeństwo?

Planowanie i wdrażanie zasad funkcji AppLocker

	Pyt. Które edycje systemów Windows 7 oraz Windows Server 2008 R2 obsługują reguły funkcji AppLocker?
	Pyt. Których edycji systemu Windows mogę użyć do utworzenia reguł funkcji AppLocker?
	Pyt. Czy mogę dokonać migracji reguł dostawcy zasobów udostępnionych do reguł funkcji AppLocker?
	Pyt. Czy mogę skonfigurować domyślną czynność reguły funkcji AppLocker?
	Pyt. Dlaczego nie mogę zmienić domyślnej czynności reguły?
	Pyt. Czy mogę przetestować swoje reguły funkcji AppLocker zanim je wymuszę?
	Pyt. Czy można zastosować reguły funkcji AppLocker dla określonych użytkowników lub grup?
	Pyt. Czy muszę uaktualnić swoich kontrolerów domeny, aby używać reguł funkcji AppLocker?
	Pyt. Czy funkcja AppLocker używa jakichkolwiek usług do wymuszania swoich reguł?
	Pyt. Jak tworzy się reguły dla bibliotek DLL?
	Pyt. Dlaczego kolekcja reguł dla bibliotek DLL jest domyślnie wyłączona?
	Pyt. Czy można zezwolić na uruchomienie tylko tych aplikacji, które pochodzą od określonych wydawców oprogramowania?
	Pyt. Czy wydajność może spaść podczas uruchamiania aplikacji?
	Pyt. Czy funkcja AppLocker zablokuje aplikacje Application Virtualization (App-V)?

Zarządzanie zasadami funkcji AppLocker

	Pyt. Dlaczego moje reguły funkcji AppLocker nie są wymuszane?
	Pyt. W jaki sposób mogę wyświetlić wydarzenia funkcji AppLocker na komputerach klienckich?
	Pyt. Co powinienem zrobić, jeżeli moje reguły są zbyt restrykcyjne, a system Windows nie działa poprawnie lub się nie uruchamia?
	Pyt. Czy mogę kontrolować funkcję AppLocker przy pomocy wiersza polecenia?
	Pyt. Czy funkcją AppLocker można zarządzać przy pomocy maszyny wirtualnej?
	Pyt. Czy zadania zarządzania awaryjnego, takie jak zastosowanie wyjątku zasad dla pojedynczego użytkownika, mogą być wykonane przy pomocy pulpitu zdalnego?
	Pyt. Czy administrator może cofnąć lub poprawić zasady, jeżeli popełniony zostanie błąd?
	Pyt. Czy mogę stworzyć kopię zapasową swoich uprawnień lub zasad?
	Pyt. Czy przy pomocy funkcji AppLocker można pozwolić, aby aplikacja mogła być użyta o określonych porach dnia?
	Pyt. Dlaczego tylko administrator może zmieniać zasady funkcji AppLocker?
	Pyt. Czy można stworzyć zasady funkcji AppLocker tak, aby udzielić niektórym komputerom dostępu do pewnych programów, a odmówić dostępu do innych?
	Pyt. W jaki sposób można tymczasowo zezwolić użytkownikowi na uruchamianie lub instalowanie aplikacji?
	Pyt. Czy funkcja AppLocker wykrywa konflikty zasad?
	Pyt. Czy do korzystania z zasad funkcji AppLocker potrzebna jest domena oraz infrastruktura zasad grupy?
	Pyt. Co się stanie, jeżeli wygaśnie certyfikat dla pliku, dla którego posiadam regułę wydawcy? Czy funkcja AppLocker obsługuję stosowanie sygnatur czasowych?

Działanie funkcji AppLocker

Pyt. Czym jest AppLocker?

Odp. AppLocker jest nową funkcją w systemach Windows Server 2008 R2 oraz Windows 7, która zwiększa sprawność funkcji Zasad ograniczeń oprogramowania. AppLocker posiada nowe możliwości oraz rozszerzenia, które redukują obciążenia administracyjne pozwalając administratorom kontrolować to, jak użytkownicy uzyskują dostęp do plików takich jak pliki wykonywalne, skrypty, pliki Instalatora Windows oraz pliki dll, a także sposób, w jaki z nich korzystają. Korzystając z funkcji AppLocker można:

1. Zdefiniować zasady oparte na atrybutach pliku pochodzących z podpisu cyfrowego, takie jak wydawca, nazwa produktu, nazwa pliku oraz wersja pliku. Przykładowo, można stworzyć zasady oparte na regule wydawcy, która pozostaje niezmieniona mimo aktualizacji lub stworzyć zasady dla określonej wersji pliku.
2. Przypisać regułę grupie zabezpieczeń lub indywidualnemu użytkownikowi.
3. Stworzyć wyjątki reguł. Można, na przykład, utworzyć regułę pozwalającą na uruchomienie wszystkich procesów systemu Windows z wyjątkiem edytora rejestru (Regedit.exe).
4. Użyć trybu Tylko inspekcja, aby wdrożyć zasady oraz zrozumieć ich działanie zanim zostaną wymuszone.
5. Importować i eksportować reguły. Importowanie i eksportowanie dotyczy całości zasad. Na przykład, jeżeli eksportowana jest pojedyncza zasada, wszystkie reguły ze wszystkich kolekcji reguły oraz ustawienie wymuszania dla tej kolekcji reguły też zostaną eksportowane. Jeżeli nowa zasada jest importowana, ta, która już istnieje zostanie zastąpiona.
6. Uprościć tworzenie i zarządzanie regułami funkcji AppLocker poprzez użycie poleceń cmdlet środowiska Windows PowerShell dla funkcji AppLocker.

Pyt. Czym funkcja AppLocker różni się od Zasad ograniczeń oprogramowania?

Odp. Pierwotnym założeniem zasad ograniczeń oprogramowania było ułatwienie specjalistom IT ograniczenia liczby aplikacji wymagających dostępu administratora w systemach Windows XP oraz Windows Server 2003. Rezultatem wprowadzenia Kontroli konta użytkownika oraz położenia nacisku na standardowe konta użytkownika w systemie Windows Vista jest coraz mniejsza liczba aplikacji wymagających uprawnień administratora. Dlatego założeniem funkcji AppLocker stało się rozszerzenie pierwotnych celów Zasad ograniczeń oprogramowania poprzez zezwolenie administratorom IT na tworzenie pełnej listy aplikacji, których uruchomienie powinno być dozwolone.

Pyt. Kto może zainstalować i uruchomić pliki?

Odp. Administratorzy mogą korzystać z funkcji AppLocker, aby kontrolować to, jakie pliki mogą być uruchomione na określonych komputerach. Użytkownik nie będący członkiem grupy administratorów nie będzie mógł uruchomić pliku, jeżeli zasady funkcji AppLocker jawnie odmawiają plikowi możliwości uruchomienia lub jeżeli dany plik nie należy do plików dozwolonych. Jeżeli plik do zainstalowania lub uruchomienia wymaga poświadczeń administracyjnych, użytkownicy, którzy nie mogą dostarczyć poświadczeń administracyjnych nie będą w stanie uruchomić tego pliku nawet w wypadku, gdy będzie on jawnie dozwolony przez jedną z zasad funkcji AppLocker. Nawet po wymuszeniu zasad funkcji AppLocker, jedynie członkowie grupy administratorów mogli będą zainstalować lub uruchomić pliki wymagające poświadczeń administracyjnych.

Pyt. Jakimi typami plików mogę zarządzać przy pomocy funkcji AppLocker?

Odp. Używając funkcji AppLocker można zarządzać czterema typami plików: plikami wykonywalnymi (.exe), plikami Instalatora Windows (.msi oraz .msp), plikami skryptu (.bat, .cmd, .js, .ps1, oraz .vbs), a także plikami dll (.dll i .ocx). Zarządzanie każdym z tych typów ma miejsce w obrębie jego własnej kolekcji reguł.

Pyt. Czym są warunki reguł?

Odp. Warunki reguł to właściwości plików, których funkcja AppLocker używa, aby wymusić reguły. Każda reguła funkcji AppLocker może korzystać z jednego głównego warunku reguły. W obrębie funkcji AppLocker dostępne są trzy niżej wymienione warunki reguł:

1. Warunki reguł wydawcy mogą być użyte jedynie dla plików cyfrowo podpisanych przez wydawcę oprogramowania. Ten typ warunku korzysta z certyfikatu cyfrowego (nazwa wydawcy i produktu) oraz właściwości pliku (nazwa i wersja pliku). Ten typ reguły można utworzyć dla całego zestawu produktów, co w większości przypadków pozwoli regule obowiązywać nawet po aktualizacji aplikacji.
2. Warunki reguł ścieżki oparte są na ścieżce instalacji pliku lub folderu określonych aplikacji.
3. Warunki reguł skrótu pliku oparte są na unikatowym skrócie pliku, który system Windows kryptograficznie generuje dla każdego z plików. Ten warunek reguły jest unikatowy, dlatego koniecznym jest utworzenie nowej reguły za każdym razem, gdy wydawca zaktualizuje jeden z plików .

Pyt. Czy zasady funkcji AppLocker dotyczą plików wykonywalnych na urządzeniach przenośnych?

Odp. Tak. Funkcja AppLocker nie pozwala komputerom na uruchomienie nieautoryzowanych plików wykonywalnych. Nie chroni to aplikacji przed złośliwymi modyfikacjami. Oznacza to, że reguły funkcji AppLocker są stosowane niezależnie od lokalizacji danego pliku wykonywalnego – w sieci, na dysku USB, czy w załączniku poczty. Na przykład, jeżeli w systemie operacyjnym znajduje się reguła funkcji AppLocker dla aplikacji hostowanej na dysku USB i aplikacja ta zostanie zmodyfikowana przez złośliwego użytkownika, nie będzie możliwe uruchomienie jej na danym systemie operacyjnym.

Pyt. Czy AppLocker sprawdza odwołania certyfikatu podczas określania, czy podpis binarny jest wciąż prawidłowy?

Odp. Tak, funkcja AppLocker sprawdza odwołania certyfikatu podczas weryfikacji podpisu binarnego. Jednakże jeśli certyfikat otrzymał zezwolenie, po czym został odwołany, muszą minąć 24 godziny zanim odwołanie zadziała.

Pyt. Czy akcja odmowy w regule zawsze ma pierwszeństwo?

Odp. Tak. AppLocker zawiera jednak funkcję umożliwiającą ustanowienie wyjątków do akcji odmowy w regule. Wyjątki od reguł, które mogą być zastosowane do akcji odmowy lub akcji zezwalania, umożliwiają na określenie plików lub folderów, które mają być wyłączone z danej reguły. Na przykład, można utworzyć regułę zezwalającą grupie Wszyscy na uruchomienie dowolnej aplikacji w folderze Windows, z wyjątkiem regedit.exe. Można stworzyć kolejną regułę, aby zezwolić grupie Pomocy technicznej na uruchomienie regedit.exe. Jeśli jednak w regedit.exe była jawna akcja odmowy, żadna inna reguła zezwalająca grupie Pomocy technicznej na dostęp do regedit.exe nie zastąpi tej reguły.

Planowanie i wdrażanie zasad funkcji AppLocker

Pyt. Które edycje systemów Windows 7 oraz Windows Server 2008 R2 obsługują reguły funkcji AppLocker?

Odp. Reguły funkcji AppLocker mogą być wymuszone na komputerach z systemem Windows 7 Ultimate, Windows 7 Enterprise lub na komputerach z dowolną edycją systemu Windows Server 2008 R2 z wyjątkiem Windows Web Server 2008 R2 oraz Windows Server 2008 R2 Foundation.

Pyt. Których edycji systemu Windows mogę użyć do utworzenia reguł funkcji AppLocker?

Odp. Aby stworzyć reguły dla komputera lokalnego, komputer ten musi posiadać system Windows 7 Ultimate lub Windows 7 Enterprise. Jeżeli chcesz stworzyć reguły dla obiektu zasad grupy, możesz użyć komputera z dowolną edycją systemu Windows 7 pod warunkiem, że zainstalowane są na nim Narzędzia administracji zdalnej serwera. Reguły funkcji AppLocker mogą zostać utworzone pod dowolną edycją systemu Windows Server 2008 R2. Reguły funkcji AppLocker mogą zostać stworzone na komputerach z systemem Windows 7 Professional, jednak nie będą one na nich wymuszone. Można natomiast utworzyć je na komputerze z systemem Windows 7 Professional, po czym eksportować zasady do implementacji na komputerze z edycją systemu Windows, która obsługuje wymuszanie reguł funkcji AppLocker.

Pyt. Czy mogę dokonać migracji reguł dostawcy zasobów udostępnionych do reguł funkcji AppLocker?

Odp. Nie jest to możliwe, nie bezpośrednio. Ponieważ AppLocker jest nową funkcją w systemach Windows Server 2008 R2 oraz Windows 7, jej reguły nie są oparte na tej samej technologii, co reguły dostawcy zasobów udostępnionych. Powinno się dokładnie przeanalizować istniejące reguły dostawcy zasobów udostępnionych, aby zdecydować, jak można byłoby je mapować do nowych reguł funkcji AppLocker.

Pyt. Czy mogę skonfigurować domyślną czynność reguły funkcji AppLocker?

Odp. Domyślną czynnością reguły jest uruchamianie tylko tych aplikacji, które są specjalnie dozwolone w kolekcji reguł funkcji AppLocker. Nie istnieje ustawienie, za pomocą którego można skonfigurować domyślne zachowanie reguł. Można za to użyć domyślnej kolekcji reguł funkcji AppLocker, aby zastąpić domyślne zachowanie reguł. Aby to uczynić, należy utworzyć regułę zezwalania z warunkiem ścieżki ustawionym na *. Taka konfiguracja zezwoli na uruchamianie wszystkich plików. Można wtedy stworzyć reguły odmowy, aby blokować określone pliki.

Pyt. Dlaczego nie mogę zmienić domyślnej czynności reguły?

Odp. Określanie dozwolonych plików jest bezpieczniejszym i łatwiejszym sposobem kontrolowania aplikacji w organizacji niż określanie plików odrzuconych. Pomimo tego, iż początkowa konfiguracja reguły poprzez utworzenie listy odrzuconych może być prostsza, organizacje chcące ograniczyć swoje środowisko natkną się na konieczność utworzenia znaczniej większej liczby reguł blokujących określone pliki niż ma to miejsce w przypadku listy plików dozwolonych.

Pyt. Czy mogę przetestować swoje reguły funkcji AppLocker zanim je wymuszę?

Odp. Tak, można użyć trybu wymuszania Tylko inspekcja funkcji AppLocker do przetestowania reguł zanim zostaną wymuszone. Po ich zastosowaniu, aplikacje, które byłyby zablokowane zostaną zarejestrowane w dziennikach funkcji Applocker jako zdarzenia ostrzeżeń.

Pyt. Czy można zastosować reguły funkcji AppLocker dla określonych użytkowników lub grup?

Odp. Tak, reguły mogą być stworzone dla określonych użytkowników lub grup. Jednakże pojedyncza reguła może być zastosowana tylko dla jednego użytkownika lub grupy. Można także stworzyć reguły funkcji AppLocker i zastosować je dla wszystkich użytkowników (grupa Wszyscy), a następnie zastosować ten obiekt zasad grupy dla określonej grupy komputerów.

Pyt. Czy muszę uaktualnić swoich kontrolerów domeny, aby używać reguł funkcji AppLocker?

Odp. Nie, nie trzeba uaktualniać swoich kontrolerów domeny. Możesz użyć istniejących już kontrolerów domeny z systemem Windows Server 2003 lub Windows Server 2008 do hostowania zasad funkcji AppLocker. Nie można jednak użyć komputerów z tymi systemami, aby stworzyć reguły funkcji AppLocker.

Pyt. Czy funkcja AppLocker używa jakichkolwiek usług do wymuszania swoich reguł?

Odp. Tak, funkcja AppLocker używa Usługi tożsamości aplikacji do wymuszania reguł. Aby reguły funkcji AppLocker mogły zostać wymuszone, usługa ta musi automatycznie uruchamiać się w danym obiekcie zasad grupy.

Pyt. Jak tworzy się reguły dla bibliotek DLL?

Odp. Aby stworzyć reguły dla bibliotek DLL w obiekcie zasad grupy, należy włączyć kolekcję reguł dla bibliotek DLL. (Kolekcja reguł dla bibliotek DLL jest domyślnie wyłączona).

Pyt. Dlaczego kolekcja reguł dla bibliotek DLL jest domyślnie wyłączona?

Odp. Zarządzanie bibliotekami DLL może być niełatwym zadaniem. Każda aplikacja wymaga, aby możliwe było uruchomienie określonych bibliotek DLL . Pojedyncza aplikacja może uruchomić wiele bibliotek DLL i dlatego wdrożenie reguł dla bibliotek DLL stanowi znacznie bardziej zaawansowany sposób korzystania z funkcji AppLocker. Nieprawidłowo skonfigurowane reguły dla bibliotek DLL mogą powodować problemy ze zgodnością aplikacji, a wiele wydarzeń funkcji AppLocker może zostać wygenerowanych w dzienniku zdarzeń, ponieważ funkcja AppLocker przed każdą próbą uruchomienia biblioteki DLL sprawdza, czy jest ona dozwolona. Dlatego przed włączeniem kolekcji reguł należy starannie zaplanować swoje reguły dla bibliotek DLL.

Pyt. Czy można zezwolić na uruchomienie tylko tych aplikacji, które pochodzą od określonych wydawców oprogramowania?

Odp. Tak. Można tego dokonać tworząc regułę warunku wydawcy, która zezwoli na uruchomienie wszystkich plików podpisanych przez określonego wydawcę oprogramowania. W niektórych przypadkach możliwe jest utworzenie warunku reguły ścieżki dla plików binarnych, które tworzone są dynamicznie.

Uwaga:

Użyj trybu wymuszania Tylko inspekcja, aby sprawdzić, czy dana lista aplikacji jest pełna, zanim wymusisz reguły.

Pyt. Czy wydajność może spaść podczas uruchamiania aplikacji?

Odp. Różnica w czasie uruchamiania się aplikacji, gdy wymuszane są reguły funkcji AppLocker, nie powinna być zauważalna. Jak w przypadku większości zasad, pojawia się dodatkowe obciążenie wynikające ze sprawdzania lub ustawiania zasad. Podczas wymuszania kolekcji reguł dla biblioteki DLL, wydajność może spaść podczas uruchamiania aplikacji jeżeli aplikacja ta ładuje wiele bibliotek DLL, gdyż funkcja AppLocker sprawdza każdą bibliotekę DLL.

Pyt. Czy funkcja AppLocker zablokuje aplikacje Application Virtualization (App-V)?

Odp. Tak, choć istnieją pewne okoliczności:

1. Jeżeli reguły funkcji AppLocker są włączone, warunek reguły ścieżki z akcją zezwalania musi być ustawiony dla ścieżki instalacji App-V.
2. Jeżeli aplikacja App-V zainstalowana jest w lokalizacji domyślnej, wygenerowanie domyślnych reguł funkcji AppLocker wystarczy, aby zezwolić na jej uruchomienie.

Zarządzanie zasadami funkcji AppLocker

Pyt. Dlaczego moje reguły funkcji AppLocker nie są wymuszane?

Odp. Najpowszechniejszymi przyczynami tego są:

1. Usługa tożsamości aplikacji nie jest uruchomiona.
2. Wymuszanie reguł ustawione jest na Tylko inspekcja.

Pyt. W jaki sposób mogę wyświetlić wydarzenia funkcji AppLocker na komputerach klienckich?

Odp. Aby wyświetlić zdarzenia funkcji AppLocker, można użyć technologii przesyłania dalej zdarzeń, Podglądu zdarzeń (eventvwr.msc) lub apletu polecenia Get-WinEvent programu Windows PowerShell.
Można użyć Pulpitu zdalnego i zalogować się na komputerze klienckim lub fizycznie zalogować się na tym komputerze i wyświetlić lub zebrać zdarzenia funkcji AppLocker.
W Podglądzie zdarzeń, zdarzenia funkcji AppLocker przechowywane są w dzienniku znajdującym się w: Applications and Services Logs\Microsoft\Windows\AppLocker. Istnieją dwa dzienniki potomne: jeden dla plików wykonywalnych i bibliotek DLL, drugi dla plików Instalatora Windows oraz skryptów.

Pyt. Co powinienem zrobić, jeżeli moje reguły są zbyt restrykcyjne, a system Windows nie działa poprawnie lub się nie uruchamia?

Odp. Gdy funkcja AppLocker jest uruchomiona, można uruchomić jedynie te aplikacje, które zostały określone. Gdy najpierw tworzysz reguły, funkcja AppLocker podpowie, żeby utworzyć reguły domyślne. Zapewniają one to, że kluczowe pliki systemowe Windows i wszystkie pliki z katalogu plików programów (Program Files) będą mogły być uruchomione. Choć reguły domyślne nie są obowiązkowe, zaleca się zacząć właśnie od nich i później je edytować lub utworzyć własne reguły, aby mieć pewność, że system Windows będzie prawidłowo działał.
Jeżeli komputer nie może poprawnie się uruchomić ze względu na twoje zasady funkcji AppLocker, edytuj reguły funkcji AppLocker w odpowiadającym im obiekcie zasad grupy tak, aby były mniej restrykcyjne. Jeżeli reguły funkcji AppLocker zdefiniowane są w zasadach lokalnych komputera, uruchom go w Trybie awaryjnym, utwórz domyślne reguły funkcji AppLocker i ponownie uruchom komputer.

Pyt. Czy mogę kontrolować funkcję AppLocker przy pomocy wiersza polecenia?

Odp. Tak. Funkcja AppLocker zawiera aplety poleceń programu Windows PowerShell, które są zaprojektowane, aby usprawnić administrowanie zasadami funkcji AppLocker. Można je wykorzystać do tworzenia, testowania, obsługi i rozwiązywania problemów zasad funkcji AppLocker. Założeniem apletów polecenia jest wykorzystywanie ich razem z interfejsem użytkownika funkcji AppLocker, do którego dostęp uzyskiwany jest poprzez rozszerzenie przystawki konsoli Microsoft Management Console (MMC) dla przystawki Zasady zabezpieczeń lokalnych oraz Konsoli zarządzania zasadami grupy.

Pyt. Czy funkcją AppLocker można zarządzać przy pomocy maszyny wirtualnej?

Odp. Nie. Maszyna wirtualna jest oddzielnym obrazem, przez co obraz ten nie może uzyskać dostępu do plików zasad komputera, który jest hostem dla zasad funkcji AppLocker.

Pyt. Czy zadania zarządzania awaryjnego, takie jak zastosowanie wyjątku zasad dla pojedynczego użytkownika, mogą być wykonane przy pomocy pulpitu zdalnego?

Odp. Niektóre zadania mogą być wykonanie przy pomocy Pulpitu zdalnego. Zasady funkcji AppLocker mogą zostać zastosowane przy użyciu obiektów zasad grupy domeny i/lub lokalnych obiektów zasad grupy. Jeżeli użytkownik zażąda dostępu do aplikacji, można użyć przystawek Zasad zabezpieczeń Lokalnych (secpol.msc) lub jednego z apletów poleceń programu Windows PowerShell, aby dodać regułę, która tymczasowo zezwoli na uruchomienie tejże aplikacji. W obydwu przypadkach wymagane są uprawnienia administratora. Czynność tę możesz przeprowadzić przy pomocy Pulpitu zdalnego lub używając możliwości uzyskania dostępu zdalnego programu Windows PowerShell.

Pyt. Czy administrator może cofnąć lub poprawić zasady, jeżeli popełniony zostanie błąd?

Odp. Funkcja AppLocker nie posiada opcji cofania akcji. Jest jednak małe opóźnienie przy zastosowywaniu zasad, więc reguły można zmienić, jeżeli przystawka funkcji AppLocker jest wciąż otwarta. Musi minąć trochę czasu zanim zostanie ukończona propagacja zasad do komputera klienckiego, który przyłączony jest do domeny. Dzięki temu możesz być w stanie usunąć błędne reguły i utworzyć poprawne, zanim zasady zostaną zastosowane.

Ostrzeżenie:

Nie należy edytować kolekcji reguł funkcji AppLocker podczas jej wdrażania w Zasadach grupy. Ze względu na to, iż funkcja AppLocker kontroluje to, jakie pliki mogą być uruchamiane, wprowadzanie zmian do aktywnych zasad może spowodować nieoczekiwane zachowanie.

Pyt. Czy mogę stworzyć kopię zapasową swoich uprawnień lub zasad?

Odp. Tak. Istnieją trzy sposoby, aby to zrobić:

1. Stwórz kopię zapasową obiektów zasad grupy używając Konsoli zarządzania zasadami grupy (tylko dla zasad domeny).
2. Eksportuj zasady funkcji AppLocker korzystając z przystawki funkcji AppLocker.
3. Utwórz skrypt używając apletu polecenia Get-WinEvent programu Windows PowerShell do eksportowania zasad.

Pyt. Czy przy pomocy funkcji AppLocker można pozwolić, aby aplikacja mogła być użyta o określonych porach dnia?

Odp. Nie. Nie można użyć funkcji AppLocker, aby zezwolić na uruchomienie aplikacji w określonych porach dnia lub ograniczyć liczbę godzin na dzień, w których aplikacja może być uruchomiona.

Pyt. Dlaczego tylko administrator może zmieniać zasady funkcji AppLocker?

Odp. Uniemożliwia to standardowemu użytkownikowi zalogowanemu na komputerze modyfikację reguł funkcji AppLocker mającą na celu dodanie aplikacji lub udzielenie do niej dostępu. Na komputerze, który jest przyłączony do domeny jego administrator może utworzyć reguły funkcji AppLocker, które mogą być scalone z regułami poziomu domeny, jak podane jest w obiekcie zasad grupy domeny.

Pyt. Czy można stworzyć zasady funkcji AppLocker tak, aby udzielić niektórym komputerom dostępu do pewnych programów, a odmówić dostępu do innych?

Odp. Tak, można skierować reguły funkcji AppLocker na użytkowników oraz grupy. Można utworzyć dowolną liczbę reguł dla tej samej aplikacji. Na przykład, możesz mieć jedną regułę zezwalającą Grupie finansowej na uruchomienie winword.exe oraz drugą regułę zezwalającą grupie HR na uruchomienie winword.exe.

Pyt. W jaki sposób można tymczasowo zezwolić użytkownikowi na uruchamianie lub instalowanie aplikacji?

Odp. Jest wiele metod, aby tego dokonać, lecz wybór najodpowiedniejszej z nich zależy od własnych praktyk administracyjnych. Oto kilka możliwych sposobów:

1. Możesz ustawić tryb wymuszania w odpowiedniej kolekcji reguł na Tylko inspekcja, aby w chwili obecnej funkcja AppLocker nie blokowała żadnych aplikacji. Następnie, gdy jesteś gotów, możesz zmienić tryb wymuszania na Wymuś reguły.
2. Możesz utworzyć jednostkę organizacyjną, która posiada oddzielny zestaw reguł, lecz nie blokuje użytkownikom możliwości uruchomienia danej aplikacji. Przenieś użytkowników do tej jednostki organizacyjnej na czas, gdy instalują oni aktualizację lub aplikację. Następnie przenieś ich z powrotem do tej jednostki organizacyjnej, w której następuje wymuszanie oryginalnej reguły.

Pyt. Czy funkcja AppLocker wykrywa konflikty zasad?

Odp. Nie. Można jednak użyć apletów poleceń Get-AppLockerPolicy oraz Test-AppLockerPolicy programu Windows PowerShell do sprawdzenia, czy określone pliki są dozwolone w oparciu o zasady funkcji AppLocker. Drugą opcją jest utworzenie zduplikowanej zasady (na przykład, korzystając z komputera odniesienia), co pozwoli na przetestowanie zasad zanim zostaną wdrożone i na sprawdzenie, czy uzyskane byłyby oczekiwane rezultaty.

Pyt. Czy do korzystania z zasad funkcji AppLocker potrzebna jest domena oraz infrastruktura zasad grupy?

Odp. Nie. Możesz uruchomić funkcję AppLocker na autonomicznym komputerze z systemem Windows 7 Ultimate lub Windows 7 Enterprise. Możesz rozdystrybuować reguły do tych komputerów używając funkcji eksportuj/importuj zawartej w funkcji AppLocker.

Uwaga:

Nie należy tworzyć zbyt restrykcyjnej listy, która nie pozwoli na uruchomienie plików systemu operacyjnego. Aby tego uniknąć, można najpierw zdefiniować domyślne reguły, a następnie, wedle potrzeby, zastosować ograniczenia przyrostowo.

Pyt. Co się stanie, jeżeli wygaśnie certyfikat dla pliku, dla którego posiadam regułę wydawcy? Czy funkcja AppLocker obsługuję stosowanie sygnatur czasowych?

Odp. Jeżeli certyfikat aplikacji wygaśnie przy wymuszonej regule, nie będzie możliwe uruchomienie pliku binarnego. Pliki binarne są traktowane jako podpisane, jeżeli sygnatura czasowa została zastosowana w okresie ważności zarówno podpisywania certyfikatu, jak i stosowania sygnatury czasowej dla certyfikatu w łańcuchu certyfikatów.

Do początku strony