Видеоурок «Applocker — запрет на запуск программ»

Applocker - Запрет на запуск программ

AppLocker это компонент управления приложениями предназначенный для того, чтобы запретить  пользователям запускать программы.

В 7, данный компонент доступен только в версиях Unlimited и Enterprise (максимальная и корпоративная), а в 2008 сервере R2 во всех версиях.

Ну и давайте разберемся что это за компонент. Для запуска в выполнить вводим gpedit.msc и запускается редактор локальной групповой политики. Далее идем конфигурация компьютера \ Конфигурация Windows \ Параметры безопасности \ Политики управления приложениями \ AppLocker

И тут у нас есть три пункта, это правила для приложений, установщиков и сценариев.

А нас в частности интересует пункт исполняемые файлы, т.е. правила для приложений. Изначально никакие правила не созданы, по этому первым делом давайте создадим правила по умолчанию. Эти правила создаются для того, что бы администратор, случайно не заблокировал выполнение важных системных файлов и не лишил себя прав на доступ к определенным административным инструментам.

И так, щелкаем правой кнопкой мыши на Исполняемые правила \ Создать правила по умолчанию

Теперь давайте разберемся, что же за правила у нас создались, это 3 правила

  • Правила исполняемых файлов могут разрешать или запрещать запуск файлов *.exe и *.com.
  • Правила установщика Windows могут разрешать или запрещать исполнение файлов *.msi (файлы установщика Windows) и *.msp (файлы обновлений установщика Windows).
  • Правила сценариев могут разрешать или запрещать исполнение файлов сценариев различных типов (*.ps1, *.bat, *.cmd, *.vbs, *.js).

Перед тем как редактировать и проверять правила, создадим пользователя, для которого они будут применяться. Если у вас пользователь, которого нужно урезать в правах на запуск приложений, уже существует, то можете пропустить данный шаг. Пускай, это будет пользователь Проверка и он не должен состоять в группе администраторы.

Идем далее, допустим у нас задача заблокировать для пользователей запуск стандартных игр Windows, но они находятся в папке Program Files, а как сказано в первом правиле, Все имеют доступ ко всем файлам папки Program Files, по этому, заходим в исключения данного правила и указываем там маску для папки %PROGRAMFILES%\Microsoft Games\*. Т.е. exe файлы, находящиеся по пути PROGRAMFILES\Microsoft Games\ и далее, будут запрещены.

Можно так же не добавлять в разрешающее правило, наше исключение, можно создать новое правило на запрет, суть одна и та же.

Служба Удостоверение приложения должна быть постоянно запущена, в автоматическом режиме \ Перезагружаемся

Теперь давайте проверим, как у нас все отработало

Допустим, пользователь принес портативную игру на флешке, которая не требует установки в систему и пытается её запустить.

Для простоты конфигурации в одноранговой сети, можно экспортировать и импортировать правила. В домене все это можно сделать групповой политикой домена

Что касается двух других пунктов, рекомендую создать для них правила по умолчанию, так как вирус может заразить систему как раз через файл сценария.

Скачать видеоурок «Applocker — запрет на запуск программ»

Понравился видеоурок!? Отблагодари автора, поставь лайк!

Опубликовать в Google Plus
Опубликовать в LiveJournal
Опубликовать в Мой Мир
Опубликовать в Одноклассники
Опубликовать в Яндекс

Вы можете оставить комментарий, или ссылку на Ваш сайт.

7 комментариев к записи “Видеоурок «Applocker — запрет на запуск программ»”

  1. Аноним пишет:

    Добрый вечер! Антон у меня такой вопрос! Как установить uTorrent на сервер, какие порты надо прописывать в нём, и как сделать чтобы запускался у определённых клиентов?! Спасибо!

    Севостьянов Антон Reply:

    Я подобным вопросом не занимался, в домене не применял! И если честно, нет времени его изучать :- ( Так что, уж как-нибудь своими силами.

  2. ITemciuc пишет:

    Windows 7 «Unlimited»? Может вы имели в виду Ultimate?

    Севостьянов Антон Reply:

    Упс, ага, она самая. Но суть та же, без ограничений :-)

  3. Артем пишет:

    А как можно сделать в домене, чтобы группе пользователей «Все» были заблокированы «Правила сценариев», а через единственную доменную учетку их можно было запускать.

    Пробовал выставлять запрет Всем на запуск сценариев и отдельно создавал правило на разрешение для той учетной записи которой разрешается запск. Ничего не получилось, ему тоже запрещен запуск сценариев. Как быть?

    Севостьянов Антон Reply:

    Не сталкивался с подобной задачей. Экспериментировать!

    Артем Reply:

    Все выяснил, не поддерживалась на Windows 7 Профессиональной, работает только на Максимальной и Корпоративной версии

Оставить комментарий

Вы должны быть авторизованы, чтобы разместить комментарий.