Запуск мастера автоматического создания правил

  • Статья

В этом разделе для ИТ-специалистов описаны шаги для запуска мастера создания правил AppLocker на эталонном устройстве.

AppLocker позволяет автоматически создавать правила для всех файлов в папке. Мастер просканирует указанную папку и создаст типы условий, которые выбраны для каждого файла в этой папке.

Выполнить эту задачу можно с помощью консоли управления групповыми политиками для политики AppLocker в объекте групповой политики или с помощью оснастки "Локальная политика безопасности" для политики AppLocker на локальном устройстве или в шаблоне безопасности. Сведения об использовании этих оснасток MMC для администрирования AppLocker см. в статье Администрирование AppLocker.

Mt431815.wedge(ru-ru,VS.85).gifАвтоматическое создание правил

  1. Откройте консоль AppLocker.

  2. Щелкните правой кнопкой соответствующий тип правил, который вы хотите добавить для автоматического создания правил. Вы можете автоматически создавать правила для исполняемых файлов, установщика Windows, сценария и правила для упакованных приложений.

  3. Щелкните Автоматическое создание правил.

  4. На странице Папка и разрешения щелкните Обзор, чтобы выбрать папку для анализа. По умолчанию эта папка — Program Files.

  5. Щелкните Выбрать, чтобы выбрать группу безопасности, в которой требуется применить правила по умолчанию. По умолчанию эта группа — Все пользователи.

  6. Мастер предоставляет имя в поле Имя для определения этого набора правил на основании имени выбранной папки. Примите предоставленное имя или введите новое, после чего нажмите кнопку Далее.

  7. На странице Параметры правил выберите условия, которые будут использоваться мастером при создании правил, после чего нажмите кнопку Далее. Дополнительные сведения об условиях правил см. в разделе Общие сведения о типах условий правил AppLocker.

    Примечание  

    Флажок Сократить количество созданных правил путем группирования похожих файлов установлен по умолчанию. Это помогает организовывать правила AppLocker и сократить количество создаваемых правил, выполнив следующие операции над выбираемым условием правила.

    • Создается одно условие издателя для всех файлов с одним и тем же издателем и названием продукта.

    • Создается одно условие пути для выбираемой папки. Например, при выборе C:\Program Files\ProgramName\, а файлы в этой папке не подписаны, мастер создаст правило для %programfiles%\ProgramName\*.

    • Создается одно условие хэша файла, содержащее хэши всех файлов. Когда группирования правил отключено, мастер создает правило хэша файла для каждого файла.

     

  8. Просмотрите проанализированные файлы и правила, которые будут созданы автоматически. Чтобы внести изменения, щелкните Назад и вернитесь на страницу, на которой вы можете поменять выбранные параметры. После просмотра правил щелкните Создать.

Примечание  

Если вы запустили мастер, чтобы создать первые правила для объекта групповой политики, вам будет выведен запрос на создание правил по умолчанию, которые позволят запускать критически важные системные файлы после завершения работы мастера. Вы можете изменить правила по умолчанию в любой момент. Если ваша организация решила изменить правила по умолчанию или создать индивидуальные правила, чтобы разрешить запуск системных файлов Windows, убедитесь, что вы удалили правила по умолчанию после их замены своими собственными правилами.