Zezwalanie na uruchamianie plików systemu operacyjnego Windows
Opublikowano: 5 lipca 2010
Niniejszy temat opisuje kroki konieczne do weryfikacji, czy zasady funkcji AppLocker zezwolą na uruchamianie plików systemu operacyjnego Windows.
Zawartość strony
Krok 1: Tworzenie reguł domyślnych | |
Krok 2: Testowanie dostępu do systemu operacyjnego z zastosowanymi regułami domyślnymi | |
Krok 3: Wdrożenie zasad zawierających reguły domyślne |
Krok 1: Tworzenie reguł domyślnych
Funkcja AppLocker zawiera reguły domyślne dla każdej kolekcji reguł. Reguły te mają na celu pomoc w zapewnieniu, że pliki wymagane do poprawnego działania systemu Windows są dozwolone w kolekcji reguł funkcji AppLocker.
Ważne: |
Możliwe jest użycie reguł domyślnych jako szablonu przy tworzeniu własnych reguł. Reguły te jednak mają na celu działanie tylko jako zasady początkowe przy pierwszym testowaniu reguł funkcji AppLocker, tak, by uruchamianie plików systemowych w folderach systemu Windows było dozwolone. |
Reguły funkcji AppLocker dla plików wykonywalnych
Funkcja AppLocker definiuje reguły dla plików wykonywalnych jako reguły dla wszystkich plików z rozszerzeniem .exe oraz .com skojarzonych z aplikacją. Ponieważ wszystkie domyślne reguły dla kolekcji reguł dla plików wykonywalnych bazują na ścieżkach folderów, uruchamianie wszystkich plików w lokalizacjach określonych przez te ścieżki będzie dozwolone. Poniższa tabela zawiera listę domyślnych reguł dostępnych dla kolekcji reguł dla plików wykonywalnych.
Przeznaczenie | Nazwa | Użytkownik | Typ warunku reguły |
Zezwala członkom lokalnej grupy Administratorzy na uruchamianie wszystkich plików wykonywalnych | (Reguła domyślna) Wszystkie pliki | BUILTIN\Administratorzy | Ścieżka: * |
Zezwala wszystkim użytkownikom na uruchamianie plików wykonywalnych w folderze Windows | Reguła domyślna) Wszystkie pliki znajdujące się w folderze Windows | Wszyscy | Ścieżka: %windir%\* |
Zezwala wszystkim użytkownikom na uruchamianie plików wykonywalnych w folderze Program Files | (Reguła domyślna) Wszystkie pliki znajdujące się w folderze Program Files | Wszyscy | Ścieżka: %programfiles%\* |
Reguły Instalatora systemu Windows dla funkcji AppLocker
Reguły Instalatora system Windows dla funkcji AppLocker zdefiniowane są tak, aby obejmować jedynie następujące formaty plików:
- .msi
- .msp
Przeznaczeniem tej kolekcji jest pozwolenie na kontrolowanie instalowania plików na komputerach klienckich i serwerach za pomocą zasad grupy lub przystawki zasad zabezpieczeń lokalnych. Poniższa tabela zawiera listę domyślnych reguł dostępnych w kolekcji reguł dla Instalatora systemu Windows.
Przeznaczenie | Nazwa | Użytkownik | Typ warunku reguły |
Zezwala członkom lokalnej grupy Administratorzy na uruchamianie wszystkich plików Instalatora systemu Windows | (Reguła domyślna) Wszystkie pliki Instalatora systemu Windows | BUILTIN\Administratorzy | Ścieżka: * |
Zezwala wszystkim użytkownikom na uruchamianie podpisanych cyfrowo plików Instalatora systemu Windows | (Reguła domyślna) Wszystkie podpisane cyfrowo pliki Instalatora systemu Windows | Wszyscy | Wydawca: * (wszystkie podpisane pliki) |
Zezwala wszystkim użytkownikom na uruchamianie plików Instalatora systemu Windows znajdujących się w folderze Windows Installer | (Reguła domyślna) All Windows Installer files in %systemdrive%\Windows\Installer | Wszyscy | Ścieżka: %windir%\Installer\* |
Reguły funkcji AppLocker dla skryptów
Reguły funkcji AppLocker dla skryptów są zdefiniowane tak, że obejmują jedynie następujące format plików:
- .ps1
- .bat
- .cmd
- .vbs
- .js
Poniższa tabela zawiera listę domyślnych reguł dostępnych dla kolekcji reguł dla skryptów.
Reguły funkcji AppLocker dla bibliotek DLL
Reguły funkcji AppLocker dla bibliotek DLL obejmują jedynie następujące formaty plików:
- .dll
- .ocx
Poniższa tabela zawiera listę domyślnych reguł dostępnych dla kolekcji reguł dla bibliotek DLL.
Przeznaczenie | Nazwa | Użytkownik | Typ warunku reguły |
Zezwala członkom lokalnej grupy Administratorzy na uruchamianie wszystkich bibliotek DLL | (Reguła domyślna) Wszystkie biblioteki DLL | BUILTIN\ Administratorzy | Ścieżka: * |
Zezwala wszystkim użytkownikom na uruchamianie bibliotek DLL znajdujących się w folderze Windows | (Reguła domyślna) Biblioteki DLL systemu Microsoft Windows | Wszyscy | Ścieżka: %windir%\* |
Zezwala wszystkim użytkownikom na uruchamianie bibliotek DLL znajdujących się w folderze Program Files | (Reguła domyślna) Wszystkie biblioteki DLL znajdujące się w folderze Program Files | Wszyscy | Ścieżka: %programfiles%\* |
Ważne: |
Używając reguł dla bibliotek DLL konieczne jest na utworzenie reguły zezwalającej na użycie każdej biblioteki DLL używanej przez wszystkie dozwolone aplikacje. |
Uwaga: |
Gdy używane są reguły dla bibliotek DLL funkcja AppLocker musi sprawdzić każdą bibliotekę DLL wczytywaną przez aplikację. Z tego powodu użytkownicy mogą doświadczyć pogorszenia wydajności przy używaniu reguł dla bibliotek DLL. |
Utworzenie reguł domyślnych możliwe jest na każdym komputerze obsługującym funkcję AppLocker. Aby uzyskać informacje na temat tworzenia tych reguł, należy przeczytać temat Tworzenie reguł domyślnych funkcji AppLocker (j.ang.).
Reguły domyślne działają tak samo jak każde inne reguły: są widoczne w przystawce zasad zabezpieczeń lokalnych, mogą być edytowane, usuwane oraz eksportowane do obiektu Zasad Grupy (GPO) w celu wdrożenia.
Jeśli wymagane są dodatkowe zabezpieczenia aplikacji, konieczne może być zmodyfikowanie reguł utworzonych na podstawie wbudowanej kolekcji domyślnej. Na przykład domyślna reguła zezwalająca użytkownikom na uruchamianie pliku run.exe znajdującego się w folderze Windows bazuje na warunku ścieżki zezwalającym na uruchamianie wszystkich plików w folderze Windows. Folder ten zawiera podfolder Temp, dla którego uprawnienia grupy Użytkownicy określone są następująco:
- Przechodzenie przez folder/Wykonywanie pliku
- Tworzenie plików/Zapis danych
- Tworzenie folderów/Dołączanie danych
Powyższe ustawienia uprawnień są określone dla tego folderu w celu zachowania kompatybilności aplikacji. Ponieważ jednak każdy użytkownik może tworzyć pliki w tej lokalizacji, zezwalanie aplikacjom na uruchamianie z tej lokalizacji może konfliktować z polityką bezpieczeństwa w danej organizacji.
Do początku strony
Krok 2: Testowanie dostępu do systemu operacyjnego z zastosowanymi regułami domyślnymi
Jeśli reguły domyślne nie są odpowiednio skonfigurowane, krytyczne procesy systemowe mogą nie zostać uruchomione. Ważne jest przetestowanie konfiguracji reguł na komputerze nie będącym komputerem produkcyjnym, lub takim, który można łatwo odzyskać.
Jeśli utworzony został dokument planowania funkcji AppLocker, należy zweryfikować, czy użytkownik posiadający konto użytkownika standardowego jest w stanie uzyskać dostęp do komputera i wszystkich wymaganych aplikacji. Aby uzyskać informacje na temat tego dokumentu, należy przeczytać temat Tworzenie dokumentu planowania funkcji AppLocker (j.ang.).
Jeśli reguły domyślne zostały utworzone w trybie wyłącznej inspekcji, należy sprawdzić dzienniki funkcji AppLocker, aby zweryfikować, czy wszystkie pliki systemowe będą dostępne dla wybranego konta. Aby uzyskać informacje na temat konfigurowania zasad funkcji AppLocker w tym trybie, należy przeczytać temat Konfigurowanie zasad funkcji AppLocker w trybie inspekcji wyłącznej (j.ang.). Aby uzyskać informacje na temat przeglądania dzienników zdarzeń, należy przeczytać temat Podgląd dziennika funkcji AppLocker za pomocą podglądu zdarzeń (j.ang.) lub Przegląd zdarzeń funkcji AppLocker za pomocą apletu polecenia Get-AppLockerFileInformation (j.ang.).
Jeśli po zmodyfikowaniu reguł domyślnych pliki systemu operacyjnego są niedostępne, z związku czym logowanie do systemu jest niemożliwe, należy przeczytać następujący temat dotyczący rozwiązywania problemów Problem: Użytkownicy nie mogą logować się (j.ang.).
Do początku strony
Krok 3: Wdrożenie zasad zawierających reguły domyślne
Reguły domyślne wdrażane są w ten sam sposób jak pozostałe reguły funkcji AppLocker. Aby uzyskać informacje na temat wdrażania zasad, należy przeczytać temat Wdrażanie zasad funkcji AppLocker w środowisku produkcyjnym (j.ang.).
Do początku strony |