Администрирование AppLocker
В этом разделе для ИТ-специалистов приведены ссылки на определенные процедуры, которые следует использовать при администрировании политик AppLocker.
AppLocker позволяет администраторам управлять доступом пользователей к исполняемым файлы, упакованным приложениям, сценариям, файлам установщика Windows и библиотекам DLL. AppLocker позволяет выполнять следующие действия.
Определение правил на основе атрибутов файлов, полученных из цифровой подписи, включая издателя, имя продукта, имя файла и версию файла. Например, можно создать правила, основанные на атрибуте издателя, который не меняется от обновления к обновлению, или же создать правила для определенной версии файла.
Назначение правил группе безопасности или определенному пользователю.
Создание исключений из правил. Например, можно создать правило, которое разрешает запуск всех процессов Windows за исключением редактора реестра (regedit.exe).
Использование режима только аудита для развертывания политики и определения ее влияния до непосредственного применения.
Импорт и экспорт правил. Импорт и экспорт влияют на всю политику. Например, при экспорте политики экспортируются все правила из всех коллекций правил, включая параметры принудительного применения для коллекций правил. При импорте политики текущая политика переопределяется.
Упрощенное создание правил AppLocker и управление ими с помощью командлетов AppLocker PowerShell.
Примечание
Дополнительные сведения о расширенных возможностях AppLocker по управлению приложениями Windows см. в разделе Правила упакованных приложений и установщика упакованных приложений в AppLocker.
В этом разделе
| Тема | Описание |
|---|---|
В этом разделе описывается поддержка правил в рамках политик AppLocker. |
|
В этом разделе для ИТ-специалистов описаны действия, которые необходимо выполнить для изменения политики AppLocker. |
|
В этом разделе рассматриваются действия, необходимые для тестирования политики AppLocker перед развертыванием. |
|
Развертывание политик AppLocker с помощью параметра применения правил |
В этом разделе для ИТ-специалистов описываются шаги по развертыванию политик AppLocker с помощью метода настройки принудительного применения. |
В этой статье для ИТ-специалистов описано, как каждый из командлетов Windows PowerShell для AppLocker может помочь вам в администрировании политик контроля приложений AppLocker. |
|
Использование AppLocker и политик ограниченного использования программ в одном домене |
В этой статье для ИТ-специалистов описываются концепции и процедуры, помогающие управлять стратегией контроля приложений, используя AppLocker и политики ограниченного использования программ (SRP). |
В этом разделе для ИТ-специалистов описываются способы оптимизации применения политик AppLocker. |
|
В этом разделе для ИТ-специалистов описан мониторинг использования приложений, когда применяются политики AppLocker. |
|
Этот раздел предназначен для ИТ-специалистов и посвящен описанию принципов и процедур, которые помогают в управлении упакованными приложениями с помощью AppLocker в рамках общей стратегии управления приложениями. |
|
В этой статье для ИТ-специалистов описаны типы правил AppLocker и рекомендации по работе с ними для ваших политик контроля приложений. |
|
В этой статье для ИТ-специалистов содержатся ссылки на описания процедур создания, обслуживания и тестирования политик AppLocker. |
Использование оснасток MMC для администрирования AppLocker
Консоль управления групповыми политиками позволяет администрировать политики AppLocker для создания или изменения объектов групповой политики (GPO), а также для создания или изменения политики AppLocker на локальном компьютере, используя оснастку редактора локальной групповой политики или оснастку локальной политики безопасности (secpol.msc).
Администрирование Applocker с помощью групповой политики
Для изменения объекта групповой политики необходимо иметь право на изменение параметров. По умолчанию это разрешение есть у участников групп Администраторы домена, Администраторы предприятия и Владельцы-создатели групповой политики. Кроме того, на компьютере должна быть включена функция управления групповой политикой.
Откройте консоль управления групповыми политиками (GPMC).
Найдите объект групповой политики, содержащий политику AppLocker, которую необходимо изменить, щелкните правой кнопкой мыши объект групповой политики и выберите Изменить.
В дереве консоли дважды щелкните Политики управления приложениями, дважды щелкните AppLocker, затем щелкните коллекцию правил, для которой необходимо создать правило.
Администрирование AppLocker на локальном компьютере
Щелкните Пуск, введите local security policy, а затем выберите Локальная политика безопасности.
Если откроется диалоговое окно Контроль учетных записей, убедитесь, что в нем указано требуемое действие, а затем нажмите кнопку Да.
В дереве консоли оснастки дважды щелкните Политики управления приложениями, дважды щелкните AppLocker, затем щелкните коллекцию правил, для которой необходимо создать правило.
Использование Windows PowerShell для администрирования AppLocker
Сведения об администрировании AppLocker с помощью Windows PowerShell см. в разделе Использование командлетов Windows PowerShell для AppLocker. Справочную информацию и примеры администрирования AppLocker с помощью Windows PowerShell см. в разделе Командлеты AppLocker.