Работа с правилами AppLocker
В этой статье для ИТ-специалистов описаны типы правил AppLocker и рекомендации по работе с ними для ваших политик контроля приложений.
В этом разделе
| Тема | Описание |
|---|---|
В этом разделе для ИТ-специалистов показано, как создать правило AppLocker с условием хэша файлов. |
|
В этом разделе для ИТ-специалистов показано, как создать правило AppLocker с условием пути. |
|
В этом разделе для ИТ-специалистов показано, как создать правило AppLocker с условием издателя. |
|
В этом разделе для ИТ-специалистов описываются шаги по созданию стандартного набора правил AppLocker, которые разрешают запускать системные файлы Windows. |
|
В этой статье для ИТ-специалистов описан способ указать приложения, которые могут или не могут выполняться в виде исключения из правила AppLocker. |
|
В этом разделе для ИТ-специалистов показано, как создать правило AppLocker для упакованных приложений с условием издателя. |
|
В этом разделе для ИТ-специалистов описаны шаги по удалению правила AppLocker. |
|
В этом разделе для ИТ-специалистов описаны шаги для изменения правила издателя, правила пути и правила хэшей файлов в AppLocker. |
|
В этом разделе для ИТ-специалистов описаны шаги по включению компонента коллекции правил библиотек DLL для AppLocker. |
|
В этом разделе для ИТ-специалистов описано, как принудительно применить правила управления приложением с помощью AppLocker. |
|
В этом разделе для ИТ-специалистов описаны шаги для запуска мастера создания правил AppLocker на эталонном устройстве. |
В следующей таблице описаны три режима применения технологии AppLocker. Определенную здесь настройку режима принудительного применения можно перезаписать настройкой, извлеченной из связанного объекта групповой политики (GPO) с более высоким приоритетом.
| Режим принудительного применения | Описание |
|---|---|
Не настроено |
Это параметр по умолчанию, который означает, что определенные здесь правила будут применены, если только у связанного объекта групповой политики с более высоким приоритетом не другое значение для этой настройки. |
Принудительное применение правил |
Правила применяются. |
Только аудит |
Правила проходят аудит, но не применяются. Когда пользователь запускает приложение, на которое влияет правило AppLocker, это приложение запускается, а информация об этом приложении добавляется в журнал событий AppLocker. Режим применения "Только аудит" помогает определить, на какие приложения повлияет эта политика, до начала реализации политики. Если для политики AppLocker для коллекции правил задано значение Только аудит, правила этой коллекции правил не применяются. |
Если политики AppLocker из различных объектов групповой политики объединены, правила всех объектов групповой политики также объединяются и действует настройка режима принудительного применения ведущего объекта групповой политики.
Коллекции правил
На консоли AppLocker вы найдете коллекции правил, представляющие собой исполняемые файлы, скрипты, файлы установщика Windows, упакованные приложения и установщики упакованных приложений, а также файлы DLL. Эти коллекции позволяют дифференцировать правила для разных типов приложений. В следующей таблице перечислены форматы файлов, которые включены в каждую из коллекций правил.
| Коллекция правил | Связанные форматы файлов |
|---|---|
Исполняемые файлы |
.exe .com |
Скрипты |
.ps1 .bat .cmd .vbs .js |
Файлы установщика Windows |
.msi .msp .mst |
Упакованные приложения и установщики упакованных приложений |
.appx |
Файлы библиотек DLL |
.dll .ocx |
Важно
Если вы используете правила DLL, необходимо создать разрешающее правило для каждой библиотеки DLL, которая используется всеми разрешенными приложениями.
При использовании правил DLL AppLocker должен проверять каждую загружаемую приложением библиотеку DLL. Следовательно, при использовании правил DLL пользователи могут заметить снижение производительности.
Коллекция правил DLL не включена по умолчанию. Включение коллекции правил DLL рассматривается в статье Коллекции правил DLL.
Условия правил
Условия правил — это критерии, которые помогают AppLocker определить приложения, к которым применяется правило. Три основных условия правил: издатель, путь и хеш файла.
Издатель: определяет приложение на основе его цифровой подписи.
Путь: определяет приложение по его расположению в файловой системе компьютера или в сети.
Хеш файла: представляет вычисленный системой криптографический хеш конкретного файла.
Издатель
Это условие определяет приложение на основе его цифровой подписи и расширенных атрибутов, если они доступны. Цифровая подпись содержит сведения о компании, создавшей приложение (издателе). Исполняемые файлы, библиотеки DLL, установщики Windows, упакованные приложения и установщики упакованных приложений также имеют расширенные атрибуты, которые получаются из двоичного ресурса. В случае с исполняемыми файлами, библиотеками DLL и установщиками Windows эти атрибуты содержат имя продукта, частью которого является файл, исходное имя файла, указанное издателем, и номер версии файла. В случае с упакованными приложениями и установщиками упакованных приложений эти расширенные атрибуты содержат имя и версию пакета приложения.
Примечание
Правила, созданные в коллекции правил упакованных приложений и установщиков упакованных приложений, могут иметь только условия издателя, поскольку Windows не поддерживает неподписанные упакованные приложения и установщики упакованных приложений.
Примечание
По возможности используйте условие правила "Издатель", потому что оно хорошо переносит обновление приложений и изменение расположений файлов.
При выборе эталонного файла для условия "Издатель" мастер создает правило, которое задает издателя, продукт, имя файла и номер версии. Можно сделать правило более универсальным, переместив ползунок вверх или воспользовавшись подстановочным знаком (*) в полях продукта, имени файла или номера версии.
Примечание
Для ввода собственных значений в любом из полей условия правила "Издатель" в мастере создания правил необходимо установить флажок Пользовательские значения. Если этот флажок установлен, использовать ползунок невозможно.
Значения Версия файла и Версия пакета контролируют, может ли пользователь запускать конкретную версию приложения, а также его более ранние и более поздние версии. Можно выбрать номер версии и настроить следующие параметры.
Точно. Правило применяется только к конкретной версии приложения.
И выше. Правило применяется к этой и всем последующим версиям приложения.
И ниже. Правило применяется к этой и всем более ранним версиям приложения.
В следующей таблице описано применение условия издателя.
| Параметр | Условие издателя разрешает или запрещает следующее. |
|---|---|
Все подписанные файлы |
Все файлы, которые подписаны любым издателем. |
Только издатель |
Все файлы, которые подписаны именованным издателем. |
Издатель и имя продукта |
Все файлы для конкретного продукта, подписанные именованным издателем. |
Издатель и имя продукта, а также имя файла |
Любая версия именованного файла или пакета для именованного продукта, подписанная издателем. |
Издатель, имя продукта, имя файла и версия файла |
Точно Заданная версия именованного файла или пакета для именованного продукта, подписанная издателем. |
Издатель, имя продукта, имя файла и версия файла |
И выше Заданная версия именованного файла или пакета и любые новые выпуски для продукта, подписанного издателем. |
Издатель, имя продукта, имя файла и версия файла |
И ниже Заданная версия именованного файла или пакета и любые более ранние версии для продукта, подписанного издателем. |
Пользовательское |
Можно отредактировать поля Издатель, Имя продукта, Имя файла, Версия, Имя пакета и Версия пакета, чтобы создать собственное правило. |
Путь
Это условие правила определяет приложение по его расположению в файловой системе компьютера или в сети.
AppLocker использует пользовательские переменные пути для известных путей, например папок Program Files и Windows.
В следующей таблице эти переменные пути описаны подробнее.
| Каталог Windows или диск | Переменная пути AppLocker | Переменная среды Windows |
|---|---|---|
Windows |
%WINDIR% |
%SystemRoot% |
System32 |
%SYSTEM32% |
%SystemDirectory% |
Каталог установки Windows |
%OSDRIVE% |
%SystemDrive% |
Program Files |
%PROGRAMFILES% |
%ProgramFiles% и %ProgramFiles(x86)% |
Съемные носители (например, компакт-диск или DVD-диск) |
%REMOVABLE% |
|
Съемные носители (например, USB-устройство флеш-памяти) |
%HOT% |
Важно
Поскольку условие правила "Путь" можно настроить так, чтобы оно включало множество папок и файлов, условия "Путь" нужно тщательно планировать. Например, если разрешающее правило с условием "Путь" включает папку, в которую не имеющие прав администратора пользователи имеют право записывать данные, пользователь может копировать неутвержденные файлы в это расположение и запускать файлы. По этой причине рекомендуется не создавать условия "Путь" для расположений, где могут осуществлять запись обычные пользователи, например в профиле пользователя.
Хеш файла
Если выбрано условие правила "Хеш файла", система вычисляет криптографический хеш конкретного файла. Преимущество этого условия правила заключается в том, что условие правила "Хеш файла" применяется только к одному файлу, потому что у каждого файла уникальный хеш. Недостаток такого подхода заключается в том, что хеш файла меняется всякий раз, когда файл обновляется (в обновлении для системы безопасности или обновлении версии). В результате необходимо обновлять правила хеша вручную.
Правила AppLocker по умолчанию
AppLocker позволяет создавать правила по умолчанию для каждой коллекции правил.
Типы правил по умолчанию для исполняемых файлов включают следующее.
Разрешить членам локальной группы Администраторы запускать все приложения.
Разрешить членам группы Все запускать приложения, расположенные в папке Windows.
Разрешить членам группы Все запускать приложения, расположенные в папке Program Files.
Типы правил по умолчанию для скриптов включают следующее.
Разрешить членам локальной группы Администраторы запускать все скрипты.
Разрешить членам группы Все запускать скрипты, расположенные в папке Program Files.
Разрешить членам группы Все запускать скрипты, расположенные в папке Windows.
Типы правил по умолчанию для установщиков Windows включают следующее.
Разрешить членам локальной группы Администраторы выполнять все файлы установщика Windows.
Разрешить членам группы Все выполнять все файлы установщика Windows с цифровой подписью.
Разрешить членам группы Все выполнять все файлы установщика Windows, расположенные в папке Windows\Installer.
Типы правил по умолчанию для библиотек DLL включают следующее.
Разрешить членам локальной группы Администраторы запускать все библиотеки DLL.
Разрешить членам группы Все запускать библиотеки DLL, расположенные в папке Program Files.
Разрешить членам группы Все запускать библиотеки DLL, расположенные в папке Windows.
Типы правил по умолчанию для упакованных приложений включают следующее.
- Разрешить членам группы Все устанавливать и запускать все подписанные упакованные приложения и установщики упакованных приложений.
Поведение правил AppLocker
Если правила AppLocker для определенной коллекции правил не существуют, то все файлы этого формата можно запускать. Однако если для коллекции создано правило AppLocker, разрешен только запуск файлов, явно указанных в правиле. Например, если вы создали правило для исполняемых файлов, которое разрешает запуск EXE-файлов в %SystemDrive%\FilePath, запускать можно только исполняемые файлы, расположенные по этому пути.
Правило можно настроить для использования разрешающих или запрещающих действий.
Разрешить. Можно указать, какие файлы можно запускать в вашей среде и для каких пользователей или групп пользователей. Кроме того, можно настроить исключения, чтобы указать файлы, исключенные из правила.
Запретить. Можно указать, какие файлы не (not) разрешено запускать в вашей среде и для каких пользователей или групп пользователей. Кроме того, можно настроить исключения, чтобы указать файлы, исключенные из правила.
Важно
Рекомендуется использовать разрешающие действия с исключениями. Можно использовать разрешающие действия в сочетании с запрещающими, однако необходимо понимать, что запрещающие действия в любых случаях переопределяют разрешающие и их можно обойти.
Важно
Если компьютер под управлением ОС не ниже Windows Server 2012 или Windows 8 присоединяется к домену, где уже применяются правила AppLocker для исполняемых файлов, пользователи не смогут выполнять никакие упакованные приложения, если не будут созданы правила для упакованных приложений. Если нужно разрешить любые упакованные приложения в вашей среде и продолжать контролировать исполняемые файлы, необходимо создать правила по умолчанию для упакованных приложений и настроить режим принудительного применения "Только аудит" для коллекции правил упакованных приложений.
Исключения из правил
Правила AppLocker можно применять к отдельным пользователям или группе пользователей. Если правило применяется к группе пользователей, оно влияет на каждого пользователя в этой группе. Если необходимо разрешить использовать приложение для подмножества группы пользователей, следует создать для этого подмножества отдельное правило. Например, правило "Разрешить всем запускать Windows, кроме редактора реестра" позволяет всем в организации запускать ОС Windows, но никому не позволяет открывает редактор реестра.
Это правило не позволит, например, сотрудникам службы поддержки запускать программу, которая требуется для их работы. Чтобы устранить эту проблему, создайте второе правило, которое применяется к группе пользователей службы поддержки: "Разрешить службе поддержки запускать редактор реестра". Если вы создаете запрещающее правило, которое никому не позволяет запускать редактор реестра, запрещающее правило переопределяет второе правило, которое позволяет группе пользователей службы поддержки открывать редактор реестра.
Коллекция правил DLL
Поскольку коллекция правил DLL не включена по умолчанию, необходимо выполнить следующую процедуру, прежде чем можно будет создавать и применять правила DLL.
Чтобы выполнить эту процедуру, необходимо быть членом локальной группы Администраторы или аналогичной группы.
.gif "Mt431872.wedge(ru-ru,VS.85).gif")
Включение коллекции правил DLL
Нажмите кнопку Пуск, введите secpol.msc и нажмите клавишу ВВОД.
Если откроется диалоговое окно Контроль учетных записей, убедитесь, что в нем указано требуемое действие, а затем нажмите кнопку Да.
В дереве консоли дважды щелкните Политики контроля приложений, щелкните правой кнопкой мыши AppLocker и выберите Свойства.
Перейдите на вкладку Дополнительно, установите флажок Включить коллекцию правил DLL и нажмите кнопку ОК.
Важно
Перед применением правил DLL убедитесь, что существуют разрешающие правила для каждой библиотеки DLL, которая используется любым из разрешенных приложений.
Мастеры AppLocker
Можно создавать правила с помощью двух мастеров AppLocker.
Мастер создания правил позволяет создавать по одному правилу.
Мастер автоматического создания правил позволяет создавать несколько правил за раз. Можно выбрать папку и разрешить мастеру создавать правила для нужных файлов в этой папке или (в случае с упакованными приложениями) позволить мастеру создавать правила для всех упакованных приложений, установленных на компьютере. Можно также указать пользователя или группу, к которой будут применены эти правила. Этот мастер автоматически создает только разрешающие правила.
Дополнительные рекомендации
По умолчанию правила AppLocker не разрешают пользователям открывать или выполнять любые файлы, которые явно не разрешены. Администраторы должны поддерживать в актуальном состоянии список разрешенных приложений.
Существует два типа условий AppLocker, которые не сохраняют свою силу после обновления приложения.
Условие хеша файла. Условия правил "Хеш файла" можно использовать с любым приложением, потому что криптографическое хеш-значение приложения создается в момент создания правила. Однако хеш-значение относится к конкретной версии приложения. Если в организации используется нескольких версий приложения, необходимо создать условия "Хеш файла" для каждой используемой версии и для всех новых выпускаемых версий.
Условие "Издатель" с определенным набором версий продукта. Если создается условие правила "Издатель", которое использует вариант Точно для параметра версии, правило не сохранит свою силу, если будет установлена новая версия приложения. Необходимо создать новое условие "Издатель" или отредактировать версию в правиле, чтобы сделать его менее конкретным.
Если приложение не имеет цифровой подписи, невозможно использовать для этого приложения условие правила "Издатель".
Правила AppLocker невозможно использовать для управления компьютерами с ОС Windows ранее Windows Server 2008 R2 или Windows 7. Для управления такими компьютерами следует использовать политики ограниченного использования программ. Если правила AppLocker определены в объекте групповой политики (GPO), применяются только эти правила. Чтобы обеспечить совместимость правил SRP и AppLocker, определяйте эти правила в разных объектах групповой политики.
Упакованные приложения и коллекция правил для установщиков упакованных приложений доступны на устройствах под управлением ОС не ниже Windows Server 2012 и Windows 8.
Если правила для коллекции правил для исполняемых файлов применяются, а упакованные приложения и коллекция правил для установщиков упакованных приложений не содержит никаких правил, запуск упакованных приложений и установщиков упакованных приложений не разрешен. Чтобы разрешить упакованные приложения и установщики упакованных приложений, необходимо создать правила для коллекции правил для упакованных приложений и установщиков упакованных приложений.
Если для коллекции правил AppLocker задано значение Только аудит, правила не применяются. Если пользователь выполняет приложение, включенное в правило, приложение открывается и выполняется как обычно, а информация об этом приложении добавляется в журнал событий AppLocker.
Настроенный URL-адрес можно включить в сообщение, отображаемое при блокировке приложения.
Изначально, до тех пор пока пользователи не поймут, что запуск неразрешенных приложений невозможен, следует ожидать увеличения числа обращений в службу поддержки по поводу заблокированных приложений.