Generowanie reguł dla plików wykonywalnych z komputera wzorcowego Udostępnij na: Facebook

Opublikowano: 4 sierpnia 2010

AppLocker posiada nowy kreator, który upraszcza tworzenie reguł z folderów wskazanych przez użytkowników. Dzięki uruchomieniu tego kreatora na komputerach wzorcowych oraz wskazaniu folderu zawierającego pliki .exe aplikacji, dla których chcemy utworzyć reguły, możemy automatycznie utworzyć zasady funkcji AppLocker.

Uwaga:

Kreator Automatycznie generuj reguły tworzy wyłącznie reguły dozwolone. Po utworzeniu przynajmniej jednej reguły w zbiorze reguł, tylko aplikacje, których te reguły dotyczą mogą zostać uruchomione. Z tego powodu należy zawsze najpierw tworzyć domyślne reguły funkcji AppLocker dla zbioru reguł. Jeśli reguły domyślne nie zostaną utworzone i niemożliwe jest wykonywanie zadań administratorskich, uruchom ponownie komputer w trybie awaryjnym, dodaj reguły domyślne, usuń wszelkie reguły odmowy zabraniające dostępu, a następnie odśwież zasady komputera.

 

Niniejszy scenariusz zawiera cztery podstawowe kroki:

Zawartość strony
Krok 1: Wykonanie zadań wstępnych  Krok 1: Wykonanie zadań wstępnych
Krok 2: Automatyczne tworzenie reguł domyślnych  Krok 2: Automatyczne tworzenie reguł domyślnych
Krok 3: Automatycznie generuj reguły  Krok 3: Automatycznie generuj reguły
Krok 4: Usuwanie niepotrzebnych reguł  Krok 4: Usuwanie niepotrzebnych reguł

Krok 1: Wykonanie zadań wstępnych

Aby wykonać zadania wstępne

  1. Zainstaluj wszystkie aplikacje, dla których chcesz utworzyć reguły na komputerze, który ma zostać użyty, jako komputer wzorcowy.Upewnij się, czy wszystkie aplikacje zostały zaktualizowane, lub czy są w wersji, dla której chcesz utworzyć reguły.
  2. Upewnij się, czy wszystkie aplikacje zostały zaktualizowane, lub czy są w wersji, dla której chcesz utworzyć reguły.

Do początku strony Do początku strony

Krok 2: Automatyczne tworzenie reguł domyślnych

Przed rozpoczęciem automatycznego generowania reguł utwórz dla wskazanego folderu reguły domyślne. Gwarantują one, że główne pliki systemu operacyjnego mogą być uruchamiane przez wszystkich użytkowników. Podczas testowania funkcji AppLocker należy dokładnie zastanowić się nad organizacją reguł między połączonymi obiektami zasad grupy (GPO). Jeśli obiekt GPO nie zawiera reguł domyślnych, dodaj reguły bezpośrednio do obiektu GPO, lub do obiektu GPO, który łączy się z GPO zawierającym reguły domyślne. W przypadku niniejszego scenariusza reguły domyślne tworzą punkt wyjściowy planowania bardziej szczegółowych zasad. Wstępnie zdefiniowane reguły funkcji AppLocker są automatycznie tworzone przy pomocy następującej procedury.

Tworzenie reguł domyślnych dla zbiorów reguł dla plików wykonywalnych

  1. Aby otworzyć przystawkę Zasady zabezpieczeń lokalnych Microsoft Management Console (MMC), kliknij Start, wpisz secpol.msc w polu Wyszukaj programy i pliki, a następnie wciśnij ENTER.

  2. W drzewie konsoli dwukrotnie kliknij Zasady sterowania aplikacjami, a następnie dwukrotnie kliknij AppLocker.

  3. Prawym przyciskiem myszy kliknij Reguły dla plików wykonywalnych, a następnie kliknij Utwórz domyślne reguły.

    Uwaga:
    Każdy zbiór reguł posiada oddzielny zbiór reguł domyślnych

Reguły domyślne pozwalają:

  • wszystkim użytkownikom uruchamiać pliki w domyślnym folderze Program Files.
  • wszystkim użytkownikom uruchamiać pliki w folderze Windows.
  • członkom wbudowanej grupy Administratorzy uruchamiać wszystkie pliki.

Uwaga:

Reguły domyślne można w dowolnym momencie utworzyć ponownie.

Do początku strony Do początku strony

Krok 3: Automatycznie generuj reguły

Aby automatycznie generować reguły z folderu referencyjnego

  1. Upewnij się, że przystawka Zasady zabezpieczeń lokalnych MMC jest otwarta.

  2. W drzewie konsoli, w Zasady sterowania aplikacjami\AppLocker, prawym przyciskiem myszy kliknij Reguły dla plików wykonywalnych, a następnie kliknij Automatycznie generuj reguły.

  3. Na stronie Folder i uprawnienia, kliknij Przeglądaj.

  4. W oknie dialogowym Przeglądanie w poszukiwaniu folderu wybierz folder zawierający pliki .exe, dla których chcesz utworzyć reguły.

    Ważne:
    Jeśli wybierzemy folder zawierający przynajmniej jeden profil użytkownika, możemy utworzyć wyłącznie reguły pliku wydawcy oraz skrótu. Tworzenie reguł ścieżek, aby zezwolić na pliki .exe w profilach użytkowników, może nie być bezpieczne, ponieważ użytkownicy mogą zapisywać w swoich profilach dowolne pliki, w tym pliki wykonywalne. Reguła zawierająca foldery profilu użytkownika zezwala użytkownikom na uruchamianie plików wykonywalnych z lokalizacji zapisywalnych przez użytkownika.

  5. Wpisz nazwę, aby zidentyfikować reguły, a następnie kliknij Dalej. Aby pomóc w sortowaniu reguł w widoku listy programu MMC, podana nazwa używana jest, jako prefiks nazwy każdej tworzonej reguły.

  6. Na stronie Preferencje reguł kliknij Dalej nie zmieniając żadnych wartości domyślnych. Podczas przetwarzania plików wyświetli się okno dialogowe Postęp generowania reguł.

  7. Na stronie Przejrzyj reguły kliknij Utwórz. Kreator zostanie zamknięty, a reguły zostaną dodane do okienka szczegółów Reguły dla plików wykonywalnych.

Do początku strony Do początku strony

Krok 4: Usuwanie niepotrzebnych reguł

Jeśli utworzyliśmy reguły domyślne, a następnie wybraliśmy folder Program Files, jako źródło automatycznego generowania reguł, w zbiorze Reguły dla plików wykonywalnych znajdzie się przynajmniej jedna niepotrzebna reguła. Kiedy tworzymy reguły domyślne, dodana zostaje reguła ścieżki, aby zezwolić na uruchamianie dowolnych plików .exe z całego folderu Program Files. Tę regułę dodaje się, aby upewnić się, że użytkownicy domyślnie nie zostaną pozbawieni możliwości uruchamiania aplikacji. Ponieważ reguła ta jest sprzeczna z regułami wygenerowanymi automatycznie w poprzednim kroku, usuń ją, aby zagwarantować uszczegółowione zasady. Nazwą reguły domyślnej jest (Default Rule) Microsoft Windows Program Files Rule.

Usuwanie reguły

  1. Upewnij się, że przystawka Zasady zabezpieczeń lokalnych MMC jest otwarta.
  2. W drzewie konsoli, w Zasady sterowania aplikacjami\AppLocker, kliknij Reguły dla plików wykonywalnych.
  3. W okienku szczegółów prawym przyciskiem myszy kliknij (Default Rule) Microsoft Windows Program Files Rule, a następnie kliknij Usuń.
  4. W oknie dialogowym AppLocker kliknij Tak.

Aby sprawdzić, czy jakiekolwiek aplikacje zostały wykluczone ze zbioru reguł, włącz tryb wymuszania Tylko inspekcja. Wykorzystanie inspekcji do śledzenia aplikacji w użyciu wyjaśnia, jak włączyć tryb wymuszania reguł oraz jak używać dziennika funkcji AppLocker w podglądzie zdarzeń, w celu wskazania, których plików dotyczą zasady.

Do początku strony Do początku strony