Выбор типов создаваемых правил
В этом разделе перечислены ресурсы, которые можно использовать при выборе правил политики управления приложениями с помощью AppLocker.
При определении типов правил, которые можно создавать для каждой группы, необходимо также установить, какой параметр принудительного применения следует использовать для каждой группы. Различные типы правил больше подходят для некоторых приложений в зависимости от способа развертывания приложений в определенной бизнес-группе.
В следующих разделах приведены дополнительные сведения о правилах AppLocker, которые помогут решить, какие правила следует использовать для ваших приложений:
Общие сведения о разрешающих и запрещающих действиях AppLocker в отношении правил
Общие сведения о правилах AppLocker, используемых по умолчанию
Выбор коллекции правил
Созданные правила будут находиться в одном из следующих коллекции правил:
Исполняемые файлы: EXE и COM
Файлы установщика Windows: MSI, MSP и MST
Сценарии: PS1, BAT, CMD, VBS и JS
Упакованные приложения и установщики упакованных приложений: APPX
Библиотеки DLL: DLL и OCX
По умолчанию правила позволяют запустить файл на основе привилегии пользователя или группы. Если вы используете правила библиотек DLL, необходимо создать разрешающее правило для каждой библиотеки DLL, используемой всеми разрешенными приложениями. Коллекция правил DLL не включена по умолчанию.
В примере банка Woodgrove бизнес-приложение для группы банковских служащих (C:\Program Files\Woodgrove\Teller.exe) должно быть включено в правило. Кроме того, это правило является частью списка разрешенных приложений, поэтому также необходимо включить все файлы Windows в папке C:\Windows.
Определение условия правила
Условие правила представляет собой критерий, на котором основывается правило AppLocker. Это может быть только одно из условий правил, представленных в следующей таблице.
| Условие правила | Сценарии использования | Ресурсы |
|---|---|---|
Издатель |
Для использования условия издателя файлы должны иметь цифровую подпись издателя программного обеспечения или быть подписаны с помощью внутреннего сертификата. Может понадобиться обновление правил, заданных для уровня версии, в случае выпуска новой версии файла. |
Дополнительные сведения об этом условии правила см. в разделе Общие сведения об условии правила издателя в AppLocker. |
Путь |
Для любого файла можно назначить такое условие правила. Однако, так как правила пути определяют расположение в файловой системе, любой подкаталог также будет затронут этим правилом (если не был явно исключен). |
Подробные сведения об этом условии правила см. в разделе Общие сведения об условии правила пути в AppLocker. |
Хэш файла |
Любому файлу можно назначить такое условие правила; однако правило следует обновлять каждый раз после выпуска новой версии файла, поскольку хэш-значение частично основывается на версии. |
Дополнительные сведения об этом условии правила см. в разделе Общие сведения об условии правила хэша файла в AppLocker. |
В примере банка Woodgrove бизнес-приложение для группы банковских служащих имеет подпись и располагается в каталоге C:\Program Files\Woodgrove\Teller.exe. Следовательно, правило можно установить с условием издателя. Если правило определено для конкретной версии и более поздних (например, для Teller.exe 8.0 и более поздних версий), это позволит применять любые обновления для данного приложения без прерывания доступа пользователей, если имя и подписанные атрибуты приложения остаются прежними.
Определение способа разрешения запуска системных файлов
Так как правила AppLocker формируют список разрешенных приложений, следует создать правило или правила, которые разрешали бы запуск всех файлов Windows. AppLocker предоставляет способ убедиться, что системные файлы надлежащим образом учтены в вашей коллекции правил путем генерации правил по умолчанию для каждой коллекции правил. Можно использовать правила по умолчанию в качестве шаблона при создании собственных правил. Однако эти правила предназначены только для функционирования в качестве начальной политики при первом тестировании правил AppLocker, поэтому системные файлы в папках Windows получат разрешение на запуск. Созданное правило по умолчанию отображается в коллекции правил со словами "Правило по умолчанию" в имени.
Также можно создать правило для системных файлов на основе условия пути. В предыдущем примере для группы банковских служащих все файлы Windows находятся в папке C:\Windows и могут быть заданы типом условия правила пути. Это позволит предоставить доступ к таким файлам при их изменении и применении обновлений. Если нужно обеспечить дополнительную безопасность приложения, может потребоваться изменить созданные правила во встроенном наборе правил по умолчанию. Например, правило по умолчанию для разрешения всем пользователям запускать EXE-файлы в папке Windows основывается на условии пути, которое разрешает запускать все файлы из папки Windows. Папка Windows содержит вложенную папку Temp, к которой группе пользователей предоставлены следующие разрешения:
Обзор папок / Выполнение файлов;
Создание файлов / Запись данных;
Создание папок / Добавление данных.
Эти параметры разрешений применяются к данной папке для обеспечения совместимости приложений. Однако любой пользователь может создавать файлы в этом расположении, поэтому разрешение на запуск приложений из этого расположения может противоречить политике безопасности вашей организации.
Следующие шаги
Выбрав типы правил для создания, запишите данные, как показано в разделе Document your AppLocker rules (Документирование правил AppLocker).
Записав сведения о правилах AppLocker, которые нужно создать, необходимо выбрать способ принудительного выполнения правил. Сведения о том, как это сделать, см. в разделе Определения групповой политики структуры и применения правил.