Общие сведения о правилах AppLocker и наследовании параметра принудительного применения в групповой политике

  • Статья

В этом разделе для ИТ-специалистов рассматривается применение политик управления приложениями, настроенных в AppLocker, с помощью групповой политики.

Принудительное применение правил относится только к коллекции правил, а не к отдельным правилам. AppLocker делит правила на следующие коллекции: исполняемые файлы, файлы установщика Windows, сценарии, упакованные приложения и установщики упакованных приложений, а также файлы DLL. Параметры для принудительного применения правил: Не настроено, Принудительное применение правил или Только аудит. В совокупности все коллекции правил AppLocker составляют политику управления приложениями, или политику AppLocker.

Групповая политика объединяет политику AppLocker двумя способами.

  • Правила. Групповая политика не перезаписывает / не заменяет правила, которые уже присутствуют в связанном объекте групповой политики (GPO). Например, если текущий GPO имеет 12 правил, а связанный GPO — 50 правил, то ко всем компьютерам, получающим политику AppLocker, применяется 62 правила.

    Важно  

    При определении того, разрешен ли запуск файла, AppLocker обрабатывает правила в следующем порядке.

    1. Явный отказ. Администратор создал правило для запрета файла.

    2. Явное разрешение. Администратор создал правило для разрешения файла.

    3. Неявный отказ. Также называется отказом по умолчанию, так как все файлы, которые не затронуты правилом разрешения, автоматически блокируются.

     

  • Параметры принудительного применения. Применяется последняя запись политики. Например, если параметру принудительного применения GPO более высокого уровня задано значение Применить правила, а этот же параметр ближайшего GPO имеет значение Только аудит, значит, будет принудительно применен параметр Только аудит. Если принудительное применение не настроено в ближайшем GPO, будет применен параметр из наиболее близкого связанного объекта GPO.

Поскольку действующая политика компьютера включает правила для каждого связанного объекта GPO, дублирующие или конфликтующие правила могут быть принудительно применены на компьютере пользователя. Поэтому следует планировать процесс развертывания с осторожностью, чтобы обеспечить наличие в GPO только необходимых правил.

На следующем рисунке представлено применение правила AppLocker с помощью связанных объектов GPO.

Диаграмма наследования принудительного применения правил AppLocker

На предшествующем рисунке обратите внимание, что все объекты GPO, связанные с Contoso, применяются в заданном порядке. Также применяются правила, которые не настроены. Например, к объектам GPO Contoso и отдела кадров применено 33 правила, как показано в HR-Term1 клиента. Объекты GPO отдела кадров содержат 10 ненастроенных правил. Когда коллекция правил имеет параметр Только аудит, никакие правила не применяются.

При создании архитектуры групповой политики для применения политик AppLocker важно помнить о следующем.

  • Будут принудительно применены коллекции правил, которые не настроены.

  • Групповая политика не перезаписывает / не заменяет правила, которые уже присутствуют в связанном GPO.

  • AppLocker обрабатывает конфигурацию правила явного отказа перед конфигурацией правила разрешения.

  • Для принудительного применения правил используется последняя запись в объект групповой политики.