Использование политик ограниченного использования программ и политик AppLocker

В этой статье для ИТ-специалистов описано использование политик ограниченного использования программ (SRP) и AppLocker в одном развертывании Windows.

Различия между SRP и AppLocker

Может возникнуть необходимость развернуть политики контроля приложений в ОС Windows версий до Windows Server 2008 R2 или Windows 7. Политики AppLocker можно использовать только в поддерживаемых версиях и выпусках Windows, как указано в статье Необходимые условия для использования AppLocker. С другой стороны, SRP можно использовать в этих поддерживаемых выпусках Windows, а также в Windows Server 2003 и Windows XP. Сравнение компонентов и функций SRP и AppLocker см. в статье Определение целей по управлению приложениями. Эта информация позволит определить, какую технологию использовать для решения задач в области контроля приложений в вашей организации.

Использование SRP и AppLocker в одном домене

SRP и AppLocker используют групповую политику для управления доменами. Однако когда политики, созданные SRP и AppLocker существуют в одном и том же домене и реализуются через групповую политику, политики AppLocker имеют приоритетную силу над политиками, созданными SRP, на компьютерах под управлением ОС, которая поддерживает AppLocker. Сведения о том, как наследование в групповой политике применяется к политикам AppLocker и политикам, созданным SRP, см. в статье Общие сведения о правилах AppLocker и наследовании параметра принудительного применения в групповой политике.

Важно  

Настоятельно рекомендуется использовать для реализации политик SRP и AppLocker отдельные объекты групповой политики. Для уменьшения объема работ по диагностике и устранению проблем не следует объединять две технологии в одном объекте групповой политики.

В следующем сценарии приводится пример влияния этих политик на приложение для банковской кассы, если приложение развертывается в разных настольных ОС Windows и управляется объектом групповой политики «Кассы» (Tellers).

Примечание  

Сведения о поддерживаемых выпусках и версиях ОС Windows см. в статье Необходимые условия для использования AppLocker.

Тестирование и проверка политик SRP и AppLocker, развернутых в одной среде

Поскольку политики AppLocker и SRP функционируют по-разному, не рекомендуется реализовывать их в одном объекте групповой политики. Только в этом случае результаты тестирования политики будут однозначными, а это имеет решающее значение для успешного контроля использования приложений в организации. Настройка системы тестирования и распространения политик поможет понять результаты реализации конкретной политики. Результаты реализации политик, созданных политиками AppLocker и SRP, должны тестироваться отдельно и с использованием разных инструментов.

Шаг 1. Тестирование результатов реализации SRP

Для оценки результатов применения SRP с помощью объектов групповой политики можно воспользоваться консолью управления групповыми политиками (GPMC) или оснасткой «Результирующая политика» (RSoP).

Шаг 2. Проверка результатов реализации политик AppLocker

Для тестирования политик AppLocker можно воспользоваться командлетами Windows PowerShell. Сведения об изучении результатов реализации политики см. в следующих статьях.

• Тестирование политики AppLocker с помощью Test-AppLockerPolicy

• Мониторинг использования приложений с помощью AppLocker

Существует и другой метод, позволяющий определить результат применения политики: достаточно установить режим применения Только аудит. При развертывании политики события записываются в журналы AppLocker, как если бы политика применялась. Сведения об использовании режима Только аудит см. в следующих статьях.

Общие сведения о параметрах принудительного применения AppLocker

Настройка политики AppLocker только для аудита

См. также

Руководство по развертыванию AppLocker