Администрирование политик ограниченного использования программ
Twitter LinkedIn Facebook Адрес электронной почты
- Статья
Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
Этот раздел предназначен для ИТ-специалистов и содержит процедуры для администрирования политик управления приложениями с помощью политик ограниченного использования программ (SRP), начиная с Windows Server 2008 и Windows Vista.
Введение
Политики ограниченного использования программ — это основанная на групповых политиках функция, которая выявляет программы, работающие на компьютерах в домене, и управляет возможностью выполнения этих программ. Эти политики позволяют создать конфигурацию со строгими ограничениями для компьютеров, где разрешается запуск только определенных приложений. Политики интегрируются с доменными службами Active Directory и групповой политикой, но также могут настраиваться на изолированных компьютерах. Подробные сведения о политиках ограниченного использования программ см. в разделе Политики ограниченного использования программ.
начиная с Windows Server 2008 R2 и Windows 7, Windows AppLocker можно использовать вместо или совместно с SRP для части стратегии управления приложениями.
Содержание раздела
Открытие окна «Политики ограниченного использования программ»
Создание новых политик ограниченного использования программ
Добавление или удаление назначенного типа файлов
Запрет применения политик ограниченного использования программ к локальным администраторам
Изменение уровня безопасности по умолчанию для политик ограниченного использования программ
Применение политик ограниченного использования программ к библиотекам DLL
Сведения о способах выполнения определенных задач с помощью политик ограниченного использования программ см.
Определение списка Allow-Deny и инвентаризации приложений для политик ограниченного использования программ
Работа с правилами политик ограниченного использования программ
Использование политик ограниченного использования программ для защиты компьютера от вирусов по электронной почте
Открытие окна «Политики ограниченного использования программ»
Для локального компьютера
Для домена, сайта или подразделения: вы находитесь на рядовом сервере или на рабочей станции, присоединенной к домену.
Для домена или подразделения: вы находитесь на контроллере домена или на рабочей станции, где установлены средства удаленного администрирования сервера.
Для сайта: вы находитесь на контроллере домена или на рабочей станции, где установлены средства удаленного администрирования сервера.
Для локального компьютера
Откройте окно «Локальные параметры безопасности».
В дереве консоли щелкните Политики ограниченного использования программ.
Которому?
- Параметры безопасности/Политики ограниченного использования программ
Примечание
Для выполнения данной процедуры необходимо входить в группу «Администраторы» на локальном компьютере или получить соответствующие полномочия путем делегирования.
Для домена, сайта или подразделения: вы находитесь на рядовом сервере или на рабочей станции, присоединенной к домену.
Откройте консоль управления (MMC).
В меню Файл выберите команду Добавить или удалить оснастку и затем нажмите кнопку Добавить.
Щелкните элемент Редактор объектов групповой политики и нажмите кнопку Добавить.
В окне Выбор объекта групповой политики нажмите кнопку Обзор.
В окне поиск групповая политика объектавыберите объект Групповая политика (GPO) в соответствующем домене, сайте или подразделении или создайте новый, а затем нажмите кнопку Готово.
Щелкните Закрыть, а затем нажмите кнопку ОК.
В дереве консоли щелкните Политики ограниченного использования программ.
Которому?
Примечание
Для выполнения этой процедуры необходимо быть членом группы «Администраторы домена».
Для домена или подразделения: вы находитесь на контроллере домена или на рабочей станции, где установлены средства удаленного администрирования сервера.
Откройте консоль управления групповыми политиками.
В дереве консоли правой кнопкой мыши щелкните объект групповой политики, для которого требуется открыть политики ограниченного использования программ.
Нажмите кнопку Изменить, чтобы открыть объект групповой политики для правки.
Также можно нажать кнопку Создать, чтобы создать новый объект групповой политики, а затем нажать кнопку Изменить.В дереве консоли щелкните Политики ограниченного использования программ.
Которому?
Примечание
Для выполнения этой процедуры необходимо быть членом группы «Администраторы домена».
Для сайта: вы находитесь на контроллере домена или на рабочей станции, где установлены средства удаленного администрирования сервера.
Откройте консоль управления групповыми политиками.
В дереве консоли щелкните правой кнопкой мыши сайт, для которого требуется задать групповую политику.
Которому?
- Active Directory — сайты и службы [имя_контроллера_домена.имя_домена]/Sites/Site
Щелкните объект в списке Ссылки объекта групповой политики, чтобы выбрать существующий объект групповой политики (GPO), а затем нажмите кнопку
В дереве консоли щелкните Политики ограниченного использования программ.
Where
Также можно нажать кнопку Создать, чтобы создать новый объект групповой политики, а затем нажать кнопку Изменить.Примечание
- Для выполнения данной процедуры необходимо входить в группу «Администраторы» на локальном компьютере или получить соответствующие полномочия путем делегирования. Если компьютер присоединен к домену, эту процедуру могут выполнять члены группы «Администраторы домена».
- Чтобы задать параметры политики, которые будут применяться к компьютерам независимо от пользователей, входящих в систему, щелкните Конфигурация компьютера.
- Чтобы задать параметры политики, которые будут применяться к пользователям независимо от компьютера, с которого они входят в систему, щелкните Конфигурация пользователя.
Создание новых политик ограниченного использования программ
Откройте окно «Политики ограниченного использования программ».
В меню Действие щелкните ссылку Создать политику ограниченного использования программ.
Предупреждение
Для выполнения этой процедуры требуются различные административные учетные данные в зависимости от среды.
- Если новые политики ограниченного использования программ создаются для локального компьютера: минимальным требованием для выполнения этой процедуры является членство в локальной группе Администраторы или аналогичной.
- Если новые политики ограниченного использования программ создаются для компьютера, присоединенного к домену, то эту процедуру могут выполнить члены группы «Администраторы домена».
Если политики ограниченного использования программ уже созданы для объекта групповой политики, то в меню Действие не отображается команда Создать политику ограниченного использования программ. Чтобы удалить политики ограниченного использования программ, применяемые к объекту групповой политики, щелкните правой кнопкой мыши узел Политики ограниченного использования программ в дереве консоли и выберите команду Удалить политики ограниченного использования программ.
При удалении политик ограниченного использования программ для объекта групповой политики также удаляются все правила политик ограниченного использования программ для этого объекта групповой политики. После удаления политик ограниченного использования программ можно создать новые политики ограниченного использования программ для этого объекта групповой политики.
При удалении политик ограниченного использования программ для объекта групповой политики также удаляются все правила политик ограниченного использования программ для этого объекта групповой политики. После удаления политик ограниченного использования программ можно создать новые политики ограниченного использования программ для этого объекта групповой политики.Добавление или удаление назначенного типа файлов
Откройте окно «Политики ограниченного использования программ».
В области сведений дважды щелкните элемент Назначенные типы файлов.
Выполните одно из следующих действий.
Чтобы добавить тип файла, введите расширение имени файла в поле Расширение имени файла, а затем нажмите кнопку Добавить.
Чтобы удалить тип файла, щелкните этот тип в окне Назначенные типы файлов и нажмите кнопку Удалить.
Примечание
Для выполнения этой процедуры требуются различные административные учетные данные в зависимости от среды, в которой добавляется или удаляется назначенный тип файлов.
- Если назначенный тип файлов добавляется или удаляется для локального компьютера: минимальным требованием для выполнения этой процедуры является членство в локальной группе Администраторы или аналогичной.
- Если новые политики ограниченного использования программ создаются для компьютера, присоединенного к домену, то эту процедуру могут выполнить члены группы «Администраторы домена».
Может понадобиться создать новый параметр политики ограниченного использования программ для объекта групповой политики, если это еще не сделано.
Список назначенных типов файлов для объекта групповой политики является общим для всех правил в разделах «Конфигурация компьютера» и «Конфигурация пользователя».
Запрет применения политик ограниченного использования программ к локальным администраторам
Откройте окно «Политики ограниченного использования программ».
В области сведений дважды щелкните элемент Применение.
В разделе Применять политики ограниченного использования программ к следующим пользователям выберите вариант всех пользователей, кроме локальных администраторов.
Предупреждение
- Чтобы выполнить эту процедуру, вы должны быть членом локальной группы Администраторы или аналогичной.
- Может понадобиться создать новый параметр политики ограниченного использования программ для объекта групповой политики, если это еще не сделано.
- Если на компьютерах организации пользователи часто входят в локальную группу «Администраторы», то этот параметр можно не включать.
- Если параметр политики ограниченного использования программ определяется для локального компьютера, то эта процедура предотвращает применение политик ограниченного использования программ к локальным администраторам. Если параметр политики ограниченного использования программ определяется для сети, отфильтруйте параметры политики пользователей в зависимости от членства в группах безопасности с помощью групповой политики.
Изменение уровня безопасности по умолчанию для политик ограниченного использования программ
Откройте окно «Политики ограниченного использования программ».
В области сведений дважды щелкните элемент Уровни безопасности.
Щелкните правой кнопкой мыши уровень безопасности, который следует установить по умолчанию, и выберите команду По умолчанию.
Внимание!
В некоторых каталогах задание уровня безопасности Запрещено в качестве уровня по умолчанию может отрицательно сказаться на работе операционной системы.
Примечание
- Для выполнения этой процедуры требуются различные административные учетные данные в зависимости от среды, в которой изменяется уровень безопасности по умолчанию для политик ограниченного использования программ.
- Может понадобиться создать новый параметр политики ограниченного использования программ для данного объекта групповой политики, если это еще не сделано.
- В области сведений текущий уровень безопасности по умолчанию обозначается черным кружком с отметкой. Если щелкнуть правой кнопкой мыши текущий уровень безопасности по умолчанию, то в меню не появится команда По умолчанию.
- Чтобы задать исключения для уровня безопасности по умолчанию, создаются правила политики ограниченного использования программ. Если уровень безопасности по умолчанию имеет значение Не ограничено, то в правилах можно указывать программное обеспечение, запуск которого не разрешается. Если уровень безопасности по умолчанию имеет значение Запрещено, то в правилах можно указывать программное обеспечение, запуск которого разрешается.
- Во время установки в политиках ограниченного использования программ для всех файлов в системе задается уровень безопасности по умолчанию Не ограничено.
Применение политик ограниченного использования программ к библиотекам DLL
Откройте окно «Политики ограниченного использования программ».
В области сведений дважды щелкните элемент Применение.
В разделе Применять политики ограниченного использования программ к следующим объектам выберите вариант ко всем файлам программ.
Примечание
- Для выполнения данной процедуры необходимо входить в группу «Администраторы» на локальном компьютере или получить соответствующие полномочия путем делегирования. Если компьютер присоединен к домену, эту процедуру могут выполнять члены группы «Администраторы домена».
- По умолчанию политики ограниченного использования программ не проверяют библиотеки динамической компоновки (DLL). Проверка библиотек DLL может понизить производительность системы, поскольку политики ограниченного использования программ должны вычисляться при каждой загрузке библиотеки DLL. Однако проверку библиотек DLL можно выполнять, если есть опасность заражения вирусом, затрагивающим библиотеки DLL. Если уровень безопасности по умолчанию имеет значение Запрещено и включена проверка библиотек DLL, то необходимо создать правила политик ограниченного использования программ, которые разрешают выполнение каждой библиотеки DLL.
Работа с правилами политик ограниченного использования программ
- Статья
Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
В этом разделе описываются процедуры, работающие с сертификатами, путями, зонами Интернета и правилами хеширования с помощью политик ограниченного использования программ.
Введение
С помощью политик ограниченного использования программ можно защитить вычислительную среду от ненадежного программного обеспечения, определив и указав, какое программное обеспечение разрешено для выполнения.
Можно определить уровень безопасности по умолчанию неограниченный или запрещенный для объекта Групповая политика (GPO), чтобы программное обеспечение было разрешено или запрещено по умолчанию. Исключения можно сделать на уровне безопасности по умолчанию, создав правила политик ограниченного использования программ для конкретного программного обеспечения. Например, если уровень безопасности по умолчанию имеет значение Запрещено, можно создавать правила, которые разрешают выполнение отдельных программ. Существуют следующие типы правил.
Правила для сертификатов
Процедуры см. в разделе о работе с правилами для сертификатов.
Правила хэширования
Процедуры см. в разделе о работе с правилами хэширования.
Правила для зон Интернета
Процедуры см. в разделе Работа с правилами зоны Интернета.
Правила для путей
Процедуры см.
в разделе о работе с правилами для путей.
в разделе о работе с правилами для путей.Сведения о других задачах для управления политиками ограниченного использования программ см. в разделе Администрирование политик ограниченного использования программ.
Работа с правилами для сертификатов
Политики ограниченного использования программ могут также обнаруживать программное обеспечение по его сертификату подписи. Можно создать правило для сертификата, которое определяет программу, а потом разрешает или запрещает ее запуск в зависимости от уровня безопасности. Например, с помощью правил для сертификатов можно автоматически считать доверенным программное обеспечение из доверенного источника в домене, не запрашивая пользователя. С помощью правил для сертификатов также можно запускать файлы в запрещенных областях операционной системы. По умолчанию правила для сертификатов не включены.
При создании правил для домена с помощью групповая политика необходимо иметь разрешения на создание или изменение объекта групповая политика.
При создании правил для локального компьютера необходимы административные учетные данные на этом компьютере.
Создание правила для сертификатов
Откройте окно «Политики ограниченного использования программ».
В дереве консоли или области сведений щелкните правой кнопкой мыши Дополнительные правила, а затем выберите команду создать правило сертификата.
Нажмите кнопку Обзор и выберите сертификат или подписанный файл.
В списке уровень безопасностивыберите значение запрещено или не ограничено.
В поле Описание введите описание данного правила и нажмите кнопку ОК.
Примечание
- Может понадобиться создать новый параметр политики ограниченного использования программ для объекта групповой политики, если это еще не сделано.
- По умолчанию правила для сертификатов не включены.
- Правила для сертификатов действуют только на те типы файлов, которые включены в список Назначенные типы файлов в области сведений для политик ограниченного использования программ. Все правила используют общий список назначенных типов файлов.
- Чтобы политики ограниченного использования программ вступили в силу, пользователи должны обновить параметры политики, выполнив выход из системы и войдя в систему на своих компьютерах.
- Если к параметрам политики применяется более одного правила политики ограниченного использования программ, для обработки конфликтов существует приоритет правил.
Включение правил для сертификатов
Правила для сертификатов включаются различными процедурами в зависимости от среды.
Для локального компьютера
Для объекта групповая политика и находится на сервере, присоединенном к домену.
Для групповая политика объекта, на контроллере домена или на рабочей станции с установленным средства удаленного администрирования сервера
Только для контроллеров домена, на контроллере домена или на рабочей станции с установленным пакетом средства удаленного администрирования сервера
Включение правил сертификатов для локального компьютера
Откройте окно «Локальные параметры безопасности».
в дереве консоли щелкните параметры безопасности , расположенные в разделе политики безопасности Параметры/local.
В области сведений дважды щелкните элемент Параметры системы: использовать правила сертификатов для исполняемых файлов Windows для политик ограниченного использования программ.
Выполните одно из следующих действий, а затем нажмите кнопку ОК.
Чтобы включить правила для сертификатов, выберите вариант Включено.
Чтобы отключить правила для сертификатов, выберите вариант Отключено.
Включение правил сертификатов для объекта групповая политика и на сервере, присоединенном к домену
Откройте консоль управления (MMC).
В меню Файл выберите команду Добавить или удалить оснастку и нажмите кнопку Добавить.
Щелкните элемент Редактор объектов групповой политики и нажмите кнопку Добавить.
В окне Выбор объекта групповой политики нажмите кнопку Обзор.
В окне поиск групповая политика объектавыберите объект Групповая политика (GPO) в соответствующем домене, сайте или подразделении или создайте новый, а затем нажмите кнопку Готово.
Щелкните Закрыть, а затем нажмите кнопку ОК.
в дереве консоли щелкните параметры безопасности , расположенные в разделе граупполициобжект [имя_компьютера] политика/конфигурация компьютера/Windows Параметры/секурити Параметры/local Policies/.
В области сведений дважды щелкните элемент Параметры системы: использовать правила сертификатов для исполняемых файлов Windows для политик ограниченного использования программ.
Если этот параметр политики еще не определен, установите флажок Определить параметры политики.
Выполните одно из следующих действий, а затем нажмите кнопку ОК.
Чтобы включить правила для сертификатов, выберите вариант Включено.
Чтобы отключить правила для сертификатов, выберите вариант Отключено.
Включение правил сертификатов для объекта групповая политика, на контроллере домена или на рабочей станции с установленным средства удаленного администрирования сервера
Откройте оснастку «Пользователи и компьютеры Active Directory».
В дереве консоли щелкните правой кнопкой мыши объект групповой политики, для которого следует включить правила для сертификатов.
Выберите пункт Свойства и перейдите на вкладку Групповая политика.
Нажмите кнопку Изменить, чтобы открыть объект групповой политики для правки. Также можно нажать кнопку Создать, чтобы создать новый объект групповой политики, а затем нажать кнопку Изменить.
в дереве консоли щелкните параметры безопасности , расположенные в разделе граупполициобжект[имя_компьютера] политика/конфигурация компьютера/Windows Параметры/секурити Параметры политики/local.
В области сведений дважды щелкните элемент Параметры системы: использовать правила сертификатов для исполняемых файлов Windows для политик ограниченного использования программ.
Если этот параметр политики еще не определен, установите флажок Определить параметры политики.
Выполните одно из следующих действий, а затем нажмите кнопку ОК.
Чтобы включить правила для сертификатов, выберите вариант Включено.
Чтобы отключить правила для сертификатов, выберите вариант Отключено.
Включение правил сертификатов только для контроллеров домена, на контроллере домена или на рабочей станции с установленным средства удаленного администрирования сервера
Откройте консоль параметров безопасности контроллера домена.
В дереве консоли щелкните элемент Параметры безопасности, расположенный в узле «Политика объект_групповой_политики[имя_компьютера]/Конфигурация компьютера/Конфигурация Windows/Параметры безопасности/Локальные политики».
В области сведений дважды щелкните элемент Параметры системы: использовать правила сертификатов для исполняемых файлов Windows для политик ограниченного использования программ.
Если этот параметр политики еще не определен, установите флажок Определить параметры политики.
Выполните одно из следующих действий, а затем нажмите кнопку ОК.
Чтобы включить правила для сертификатов, выберите вариант Включено.
Чтобы отключить правила для сертификатов, выберите вариант Отключено.
Примечание
Эту процедуру необходимо выполнить, чтобы правила для сертификатов вступили в силу.
Настройка параметров доверенного издателя
Все большее число издателей программного обеспечения и разработчиков приложений используют подписи для программного обеспечения, чтобы подтвердить, что их приложения поступают из надежного источника. Однако многие пользователи не понимают назначение сертификатов подписей, связанных с устанавливаемыми приложениями, или уделяют им мало внимания.
Параметры политики на вкладке Доверенные издатели в окне политики проверки пути сертификации позволяют администраторам контролировать, какие сертификаты могут приниматься как поступающие от доверенного издателя.
Настройка параметров политики доверенных издателей для локального компьютера
На начальном экране введитеgpedit. msc и нажмите клавишу ВВОД.
В дереве консоли в разделе Политика «Локальный компьютер»\Конфигурация компьютера\Конфигурация Windows\Параметры безопасности щелкните пункт Политики открытого ключа.
Дважды щелкните элемент Параметры подтверждения пути сертификата, а затем перейдите на вкладку Доверенные издатели.
Установите флажок Определить следующие параметры политики, выберите параметры политики, которые нужно применить, затем нажмите кнопку ОК, чтобы применить новые параметры.
Настройка параметров политики доверенных издателей для домена
Откройте раздел Управление групповой политикой.
В дереве консоли дважды щелкните Групповая политика объекты в лесу и домене, содержащие объект политики домена по умолчанию групповая политика объекта (GPO), который требуется изменить.
Щелкните объект Политика домена по умолчанию правой кнопкой мыши и выберите команду Изменить.
В дереве консоли в разделе Конфигурация компьютера\Параметры Windows\Параметры безопасности щелкните пункт Политики открытого ключа.
Дважды щелкните элемент Параметры подтверждения пути сертификата, а затем перейдите на вкладку Доверенные издатели.
Установите флажок Определить следующие параметры политики, выберите параметры политики, которые нужно применить, затем нажмите кнопку ОК, чтобы применить новые параметры.
Чтобы разрешить только администраторам управление сертификатами, используемыми для подписи кода на локальном компьютере, выполните следующие действия.
на начальном экране введите команду gpedit. msc в поле поиска программы и файлы или в Windows 8 на рабочем столе и нажмите клавишу ввод.
в дереве консоли в разделе политика домена по умолчанию или политика локального компьютерадважды щелкните конфигурация компьютера, Windows Параметрыи Параметры безопасности, а затем щелкните политики открытого ключа.
Дважды щелкните элемент Параметры подтверждения пути сертификата, а затем перейдите на вкладку Доверенные издатели.
Установите флажок Определить параметры политики.
В группе Управление доверенными издателями щелкните Разрешать всем администраторам управлять доверенными издателями, а затем нажмите кнопку ОК, чтобы применить новые параметры.
Чтобы разрешить только администраторам управление сертификатами, используемыми для подписи кода в домене, выполните следующие действия.
Откройте раздел Управление групповой политикой.
В дереве консоли дважды щелкните Групповая политика объектов в лесу и домене, содержащем объект групповой политики домена по умолчанию , который необходимо изменить.
Щелкните объект Политика домена по умолчанию правой кнопкой мыши и выберите команду Изменить.
В дереве консоли в разделе Конфигурация компьютера\Параметры Windows\Параметры безопасности щелкните пункт Политики открытого ключа.
Дважды щелкните элемент Параметры подтверждения пути сертификата, а затем перейдите на вкладку Доверенные издатели.
Установите флажок Определить следующие параметры политики, внесите нужные изменения, а затем нажмите кнопку ОК, чтобы применить новые параметры.
Работа с правилами хэширования
Хэш — это последовательность байтов фиксированной длины, уникальным образом определяющая программу или файл. Хэш вычисляется по хэш-алгоритму. Когда для программы создается правило хэширования, политики ограниченного использования программ вычисляют хэш программы. Когда пользователь пытается открыть программу, ее хэш сравнивается с существующими правилами хэширования для политик ограниченного использования программ.
Хэш программы остается неизменным независимо от ее расположения на компьютере. Однако если программа каким-либо образом меняется, то ее хэш также меняется и перестает совпадать с хэшем в правиле хэширования для политик ограниченного использования программ.
Например, можно создать правило хэширования и задать уровень безопасности Запрещено, чтобы запретить пользователям запускать определенный файл. Этот файл можно переименовать или переместить в другую папку, однако он будет иметь тот же хэш. Однако при изменении содержимого файла его хэш-значение также изменится, и файл сможет обойти ограничения.
Создание правила хэширования
Откройте окно «Политики ограниченного использования программ».
В дереве консоли или области сведений щелкните правой кнопкой мыши Дополнительные правила, а затем выберите создать правило хэширования.
Нажмите кнопку Обзор , чтобы найти файл.
Примечание
в Windows XP можно вставить предварительно вычисленный хэш в хэш файла. в Windows Server 2008 R2, Windows 7 и более поздних версиях этот параметр недоступен.
В списке уровень безопасностивыберите значение запрещено или не ограничено.
В поле Описание введите описание данного правила и нажмите кнопку ОК.
Примечание
- Может понадобиться создать новый параметр политики ограниченного использования программ для объекта групповой политики, если это еще не сделано.
- Правило хэширования можно создать для вируса или вредоносной программы типа «троянский конь», чтобы предотвратить их запуск.
- Если вы хотите, чтобы другие пользователи использовали правило хэширования, чтобы вирус не смог запуститься, вычислите хэш вируса с помощью политик ограниченного использования программ, а затем отдавайте по электронной почте значение хэша другим людям. Никогда не отменяйте электронную почту самого вируса.
- Если вирус был отправлен по электронной почте, можно также создать правило для пути, чтобы предотвратить выполнение вложений электронной почты.
- После переименования или перемещения в другую папку файл будет иметь тот же хэш. Любые изменения в самом файле приводят к другому хэшу.
- Правила хэширования действуют только на те типы файлов, которые включены в список Назначенные типы файлов в области сведений для политик ограниченного использования программ. Все правила используют общий список назначенных типов файлов.
- Чтобы политики ограниченного использования программ вступили в силу, пользователи должны обновить параметры политики, выполнив выход из системы и войдя в систему на своих компьютерах.
- Если к параметрам политики применяется более одного правила политики ограниченного использования программ, для обработки конфликтов существует приоритет правил.
Никогда не отменяйте электронную почту самого вируса.Работа с правилами зоны Интернета
Правила для зон Интернета применяются только к пакетам установщика Windows.
Правило для зоны может определять программу из зоны, заданной в Internet Explorer. Это зоны «Интернет», «Локальная интрасеть», «Опасные сайты», «Надежные сайты» и «Мой компьютер». Правило зоны Интернета предназначено для предотвращения загрузки и установки программного обеспечения пользователями.
Создание правила для зоны Интернета
Откройте окно «Политики ограниченного использования программ».
В дереве консоли или области сведений щелкните правой кнопкой мыши Дополнительные правила, а затем выберите создать правило зоны Интернета.
В поле Зона Интернета выберите зону Интернета.
На панели уровень безопасностивыберите запрещенные или неограниченные, а затем нажмите кнопку ОК.
Примечание
- Может понадобиться создать новый параметр политики ограниченного использования программ для объекта групповой политики, если это еще не сделано.
- Правила для зон применяются только к файлам типа MSI, то есть к пакетам установщика Windows.
- Чтобы политики ограниченного использования программ вступили в силу, пользователи должны обновить параметры политики, выполнив выход из системы и войдя в систему на своих компьютерах.
- Если к параметрам политики применяется более одного правила политики ограниченного использования программ, для обработки конфликтов существует приоритет правил.
Работа с правилами для путей
Правило для пути определяет программу по пути к ее файлу. Например, даже если для компьютера задан уровень безопасности по умолчанию Запрещено, можно предоставить каждому пользователю неограниченный доступ к определенной папке. Можно создать правило для пути с помощью пути к файлу и задать в правиле для пути уровень безопасности Не ограничено. Для этого типа правила часто используются пути %userprofile%, %windir%, %appdata%, %programfiles% и %temp%.
Также можно создавать правила для пути в реестре, где путем служит раздел реестра для программы.
Поскольку такие правила задаются для пути, при перемещении программы правило для пути перестает действовать.
Создание правила для пути
Откройте окно «Политики ограниченного использования программ».
В дереве консоли или области сведений щелкните правой кнопкой мыши Дополнительные правила, а затем выберите команду создать правило для пути.
В поле Путь введите путь или нажмите кнопку Обзор, чтобы найти файл или папку.
В списке уровень безопасностивыберите значение запрещено или не ограничено.
В поле Описание введите описание данного правила и нажмите кнопку ОК.
Внимание!
- в некоторых папках, например в папке Windows, установка уровня безопасности » запрещена » может негативно повлиять на работу операционной системы. Убедитесь, что не запрещается доступ к важному компоненту операционной системы или какой-либо из ее зависимых программ.
Убедитесь, что не запрещается доступ к важному компоненту операционной системы или какой-либо из ее зависимых программ.Примечание
- Может понадобиться создать новые политики ограниченного использования программ для объекта групповой политики, если это еще не сделано.
- Если создать правило для пути для программы с уровнем безопасности Запрещено, пользователи смогут запустить эту программу, скопировав ее в другое место.
- В правиле для пути поддерживаются подстановочные знаки звездочки (*) и вопроса (?).
- В правиле для пути можно использовать переменные среды, например %programfiles% и %systemroot%.
- Если нужно создать правило для программы, когда неизвестно ее расположение на компьютере, но имеется ее раздел реестра, то можно создать правило для пути в реестре.
- Чтобы запретить пользователям выполнять вложения электронной почты, можно создать правило для пути к каталогу вложений программы электронной почты, которое запрещает пользователям запускать вложения электронной почты.
- Правила для путей действуют только на те типы файлов, которые включены в список Назначенные типы файлов в области сведений для политик ограниченного использования программ. Все правила используют общий список назначенных типов файлов.
- Чтобы политики ограниченного использования программ вступили в силу, пользователи должны обновить параметры политики, выполнив выход из системы и войдя в систему на своих компьютерах.
- Если к параметрам политики применяется более одного правила политики ограниченного использования программ, для обработки конфликтов существует приоритет правил.
Создание правила для пути в реестре
На начальном экране введите regedit.
В дереве консоли щелкните правой кнопкой мыши раздел реестра, для которого нужно создать правило, и выберите команду Копировать имя раздела. Найдите параметр в области сведений.
Откройте окно «Политики ограниченного использования программ».
В дереве консоли или области сведений щелкните правой кнопкой мыши Дополнительные правила, а затем выберите команду создать правило для пути.
В поле путьвставьте имя раздела реестра, за которым следует имя значения.
Заключите путь реестра в знаки процента (%), например% HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PlatformSDK\Directories\InstallDir%.
В списке уровень безопасностивыберите значение запрещено или не ограничено.
В поле Описание введите описание данного правила и нажмите кнопку ОК.
Политики ограниченного использования программ | Microsoft Узнайте
Редактировать
Твиттер LinkedIn Фейсбук Электронная почта
- Статья
Применяется к: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
В этом разделе для ИТ-специалистов описаны политики ограниченного использования программ (SRP) в Windows Server 2012 и 2016 и Windows 8, а также приведены ссылки на техническую информацию о SRP, начиная с Windows Server 2003.
Важно
Политики ограниченного использования программ устарели, начиная с Windows 10 сборки 1803, а также применимы к Windows Server 2019 и более поздним версиям. Вы должны использовать Управление приложениями Защитника Windows (WDAC) или AppLocker, чтобы контролировать, какое программное обеспечение работает.
Процедуры и советы по устранению неполадок см. в разделах «Администрирование политик ограниченного использования программ» и «Устранение неполадок политик ограниченного использования программ».
Описание политик ограниченного использования программ
Политики ограниченного использования программ (SRP) — это функция на основе групповой политики, которая идентифицирует программы, работающие на компьютерах в домене, и контролирует возможность запуска этих программ.
Политики ограниченного использования программ являются частью стратегии безопасности и управления Майкрософт, призванной помочь предприятиям повысить надежность, целостность и управляемость своих компьютеров.
Вы также можете использовать политики ограниченного использования программ для создания строго ограниченной конфигурации для компьютеров, в которой вы разрешаете запуск только определенных приложений. Политики ограниченного использования программ интегрированы с Microsoft Active Directory и групповой политикой. Вы также можете создавать политики ограниченного использования программ на автономных компьютерах. Политики ограниченного использования программ — это политики доверия, которые представляют собой правила, установленные администратором для ограничения запуска сценариев и другого кода, не являющегося полностью доверенным.
Эти политики можно определить с помощью расширения «Политики ограниченного использования программ» редактора локальной групповой политики или оснастки «Локальные политики безопасности» в консоли управления Microsoft (MMC).
Подробную информацию о SRP см. в Техническом обзоре политик ограниченного использования программ.
Практические приложения
Администраторы могут использовать политики ограниченного использования программ для следующих задач:
Определить доверенный код
Разработка гибкой групповой политики для регулирования сценариев, исполняемых файлов и элементов управления ActiveX
Политики ограниченного использования программ применяются операционной системой и приложениями (такими как приложения для создания сценариев), которые соответствуют политикам ограниченного использования программ.
В частности, администраторы могут использовать политики ограниченного использования программ в следующих целях:
Указать, какое программное обеспечение (исполняемые файлы) можно запускать на клиентах
Запретить пользователям запускать определенные программы на общих компьютерах
Укажите, кто может добавлять доверенных издателей к клиентам
Установите область действия политик ограниченного использования программ (укажите, влияют ли политики на всех пользователей или на подмножество пользователей на клиентах)
Запрет запуска исполняемых файлов на локальном компьютере, в организационном подразделении (OU), на сайте или в домене.
Это было бы уместно в тех случаях, когда вы не используете политики ограниченного использования программ для решения потенциальных проблем со злонамеренными пользователями.
Это было бы уместно в тех случаях, когда вы не используете политики ограниченного использования программ для решения потенциальных проблем со злонамеренными пользователями.Новые и измененные функции
Нет изменений в функциях политик ограниченного использования программ.
Удаленные или устаревшие функции
Нет удаленных или устаревших функций для политик ограниченного использования программ.
Требования к программному обеспечению
Доступ к расширению политик ограниченного использования программ для редактора локальной групповой политики можно получить через MMC.
Для создания и поддержки политик ограниченного использования программ на локальном компьютере требуются следующие функции:
Если ваш проект требует развертывания этих политик в домене, в дополнение к приведенному выше списку потребуются следующие функции:
Информация диспетчера серверов
Политики ограниченного использования программ являются расширением редактора локальной групповой политики и не устанавливаются через Диспетчер серверов, добавление ролей и функций.
В следующей таблице приведены ссылки на соответствующие ресурсы для понимания и использования SRP.
| Тип содержимого | Ссылки |
|---|---|
| Оценка продукта | Блокировка приложений с помощью политик ограниченного использования программ |
| Планирование | Технический обзор политик ограниченного использования программ (Windows Server 2012) Технический справочник по политикам ограниченного использования программ (Windows Server 2003) |
| Развертывание | Нет доступных ресурсов. |
| Операции | Администрирование политик ограниченного использования программ (Windows Server 2012) Справка по продукту политик ограниченного использования программ (Windows Server 2003) |
| Поиск и устранение неисправностей | Устранение неполадок политик ограниченного использования программ (Windows Server 2012) Устранение неполадок политик ограниченного использования программ (Windows Server 2003) |
| Безопасность | Угрозы и контрмеры для политик ограниченного использования программ (Windows Server 2008) Угрозы и контрмеры для политик ограниченного использования программ (Windows Server 2008 R2) |
| Инструменты и настройки | Инструменты и параметры политик ограниченного использования программ (Windows Server 2003) |
| Ресурсы сообщества | Блокировка приложений с помощью политик ограниченного использования программ |
Обратная связь
Просмотреть все отзывы о странице
Администрирование политик ограниченного использования программ | Microsoft Узнайте
Редактировать
Твиттер LinkedIn Фейсбук Электронная почта
- Статья
Применяется к: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
Этот раздел для ИТ-специалистов содержит процедуры администрирования политик управления приложениями с помощью политик ограниченного использования программ (SRP), начиная с Windows Server 2008 и Windows Vista.
Введение
Политики ограниченного использования программ (SRP) — это функция на основе групповой политики, которая идентифицирует программы, работающие на компьютерах в домене, и контролирует возможность запуска этих программ. Вы используете политики ограниченного использования программ, чтобы создать строго ограниченную конфигурацию для компьютеров, в которой вы разрешаете запуск только определенных приложений. Они интегрированы с доменными службами Microsoft Active Directory и групповой политикой, но также могут быть настроены на автономных компьютерах. Дополнительные сведения о SRP см.
в политиках ограниченного использования программ.
Начиная с Windows Server 2008 R2 и Windows 7 Windows AppLocker можно использовать вместо или вместе с SRP для части вашей стратегии управления приложениями.
Этот раздел содержит:
Открытие политик ограниченного использования программ
Для создания новых политик ограниченного использования программ
Чтобы добавить или удалить назначенный тип файла
Для предотвращения применения политик ограниченного использования программ к локальным администраторам
Чтобы изменить уровень безопасности по умолчанию для политик ограниченного использования программ
Применение политик ограниченного использования программ к библиотекам DLL
Сведения о выполнении определенных задач с помощью SRP см. в следующих документах:
Определение списка разрешенных и запрещенных приложений и инвентаризации приложений для политик ограниченного использования программ
Работа с правилами политик ограниченного использования программ
Использование политик ограниченного использования программ для защиты компьютера от вирусов электронной почты
Открытие политик ограниченного использования программ
Для локального компьютера
Для домена, сайта или подразделения, и вы находитесь на рядовом сервере или на рабочей станции, присоединенной к домену
Для домена или подразделения, и вы находитесь на контроллере домена или на рабочей станции, на которой установлены средства удаленного администрирования сервера
Для сайта, и вы находитесь на контроллере домена или на рабочей станции, на которой установлены средства удаленного администрирования сервера
Для локального компьютера
Откройте локальные настройки безопасности.
В дереве консоли щелкните Политики ограниченного использования программ .
Где?
- Параметры безопасности/политики ограниченного использования программного обеспечения
Примечание
Для выполнения этой процедуры необходимо быть членом группы администраторов на локальном компьютере или иметь соответствующие полномочия.
Для домена, сайта или подразделения, если вы находитесь на рядовом сервере или на рабочей станции, присоединенной к домену
Откройте консоль управления Microsoft (MMC).
В меню Файл щелкните Добавить/удалить оснастку , а затем щелкните Добавить .
Щелкните Редактор объектов локальной групповой политики , а затем щелкните Добавить .
В выберите объект групповой политики , нажмите Обзор .
В Найдите объект групповой политики , выберите объект групповой политики (GPO) в соответствующем домене, сайте или организационном подразделении или создайте новый, а затем нажмите Готово .
Щелкните Закрыть , а затем щелкните OK .
В дереве консоли щелкните Политики ограниченного использования программ .
Где?
Примечание
Для выполнения этой процедуры вы должны быть членом группы администраторов домена.
Для домена или организационной единицы, и вы находитесь на контроллере домена или на рабочей станции, на которой установлены средства удаленного администрирования сервера
Откройте консоль управления групповыми политиками.
В дереве консоли щелкните правой кнопкой мыши объект групповой политики (GPO), для которого вы хотите открыть политики ограниченного использования программ.
Нажмите Изменить , чтобы открыть объект групповой политики, который вы хотите изменить. Вы также можете нажать New , чтобы создать новый объект групповой политики, а затем нажать Edit .
В дереве консоли щелкните Политики ограниченного использования программ .
Где?
Примечание
Для выполнения этой процедуры вы должны быть членом группы администраторов домена.
Для сайта, и вы находитесь на контроллере домена или на рабочей станции, на которой установлены средства удаленного администрирования сервера
Откройте консоль управления групповыми политиками.
В дереве консоли щелкните правой кнопкой мыши сайт, для которого вы хотите задать групповую политику.
Где?
- Сайты и службы Active Directory [ Domain_Controller_Name.Domain_Name ]/Sites/Site
Щелкните запись в разделе Ссылки на объекты групповой политики , чтобы выбрать существующий объект групповой политики (GPO), а затем щелкните Изменить .
Вы также можете нажать New для создания нового объекта групповой политики, а затем нажмите Edit .В дереве консоли щелкните Политики ограниченного использования программ .
Где
Вы также можете нажать New для создания нового объекта групповой политики, а затем нажмите Edit .Примечание
- Для выполнения этой процедуры необходимо быть членом группы администраторов на локальном компьютере или иметь соответствующие полномочия. Если компьютер присоединен к домену, члены группы «Администраторы домена» могут выполнить эту процедуру.
- Чтобы установить параметры политики, которые будут применяться к компьютерам независимо от того, какие пользователи входят в систему, щелкните Конфигурация компьютера .
- Чтобы установить параметры политики, которые будут применяться к пользователям, независимо от того, на каком компьютере они входят в систему, нажмите Конфигурация пользователя .
Для создания новых политик ограниченного использования программ
Откройте Политики ограниченного использования программ.
В меню Действие нажмите Новые политики ограниченного использования программ .
Предупреждение
Для выполнения этой процедуры требуются разные учетные данные администратора, в зависимости от вашей среды:
- Если вы создаете новые политики ограниченного использования программ для локального компьютера: Членство в локальной группе Администраторы или аналогичной группе является минимальным требованием для выполнения этой процедуры.
- Если вы создаете новые политики ограниченного использования программ для компьютера, присоединенного к домену, эту процедуру могут выполнять члены группы «Администраторы домена».
Если для объекта групповой политики (GPO) уже созданы политики ограниченного использования программ, команда Новые политики ограниченного использования программ не отображается в меню Действие .
Чтобы удалить политики ограниченного использования программ, применяемые к объекту групповой политики, в дереве консоли щелкните правой кнопкой мыши Политики ограниченного использования программ и выберите Удалить политики ограниченного использования программ . Когда вы удаляете политики ограниченного использования программ для объекта групповой политики, вы также удаляете все правила политик ограниченного использования программ для этого объекта групповой политики. После удаления политик ограниченного использования программ вы можете создать новые политики ограниченного использования программ для этого объекта групповой политики.
Чтобы удалить политики ограниченного использования программ, применяемые к объекту групповой политики, в дереве консоли щелкните правой кнопкой мыши Политики ограниченного использования программ и выберите Удалить политики ограниченного использования программ . Когда вы удаляете политики ограниченного использования программ для объекта групповой политики, вы также удаляете все правила политик ограниченного использования программ для этого объекта групповой политики. После удаления политик ограниченного использования программ вы можете создать новые политики ограниченного использования программ для этого объекта групповой политики.Чтобы добавить или удалить файл определенного типа
Откройте Политики ограниченного использования программ.
В области сведений дважды щелкните Назначенные типы файлов .
Выполните одно из следующих действий:
Чтобы добавить тип файла, в поле Расширение имени файла введите расширение имени файла и нажмите Добавить .
Чтобы удалить тип файла, в Назначенные типы файлов , щелкните тип файла, а затем щелкните Удалить .
Примечание
Для выполнения этой процедуры требуются разные учетные данные администратора, в зависимости от среды, в которой вы добавляете или удаляете файл определенного типа:
- Если вы добавляете или удаляете определенный тип файла для своего локального компьютера: Членство в локальной группе Администраторы или аналогичной группе является минимальным требованием для выполнения этой процедуры.
- Если вы создаете новые политики ограниченного использования программ для компьютера, присоединенного к домену, эту процедуру могут выполнять члены группы «Администраторы домена».
Возможно, потребуется создать новый параметр политики ограниченного использования программ для объекта групповой политики (GPO), если вы еще этого не сделали.
Список обозначенных типов файлов является общим для всех правил как для конфигурации компьютера, так и для конфигурации пользователя для объекта групповой политики.
Чтобы предотвратить применение политик ограниченного использования программ к локальным администраторам
Откройте политики ограниченного использования программ.
В области сведений дважды щелкните Принудительное применение .
В разделе Применить политики ограниченного использования программ к следующим пользователям щелкните Все пользователи, кроме локальных администраторов .
Предупреждение
- Членство в местном 9Группа администраторов 0112 или аналогичная — это минимум, необходимый для выполнения этой процедуры.
- Может потребоваться создать новый параметр политики ограниченного использования программ для объекта групповой политики (GPO), если вы еще этого не сделали.
- Если пользователи обычно являются членами локальной группы администраторов на своих компьютерах в вашей организации, вы можете не включать этот параметр.
- Если вы определяете параметр политики ограниченного использования программ для локального компьютера, используйте эту процедуру, чтобы запретить локальным администраторам применять к ним политики ограниченного использования программ. Если вы определяете параметр политики ограниченного использования программ для своей сети, отфильтруйте параметры политики пользователя на основе членства в группах безопасности с помощью групповой политики.
Чтобы изменить уровень безопасности политик ограниченного использования программ по умолчанию
Откройте Политики ограниченного использования программ.
В области сведений дважды щелкните Уровни безопасности .
Щелкните правой кнопкой мыши уровень безопасности, который вы хотите установить по умолчанию, и выберите Установить по умолчанию .
Предупреждение
В некоторых каталогах установка уровня безопасности по умолчанию на Disallowed может негативно повлиять на вашу операционную систему.
Примечание
- Для выполнения этой процедуры требуются разные учетные данные администратора в зависимости от среды, для которой вы изменяете уровень безопасности по умолчанию для политик ограниченного использования программ.
- Может потребоваться создать новый параметр политики ограниченного использования программ для этого объекта групповой политики (GPO), если вы еще этого не сделали.
- В области сведений текущий уровень безопасности по умолчанию обозначается черным кружком с галочкой внутри него. Если щелкнуть правой кнопкой мыши текущий уровень безопасности по умолчанию, Установить по умолчанию Команда не отображается в меню.
- Правила политик ограниченного использования программ создаются для указания исключений уровня безопасности по умолчанию. Если уровень безопасности по умолчанию установлен на Unrestricted , правила могут указывать программное обеспечение, запуск которого запрещен. Когда уровень безопасности по умолчанию установлен на Disallowed , правила могут указывать программное обеспечение, запуск которого разрешен.
- При установке уровень безопасности политик ограниченного использования программ по умолчанию для всех файлов в вашей системе установлен на Без ограничений .
Если уровень безопасности по умолчанию установлен на Unrestricted , правила могут указывать программное обеспечение, запуск которого запрещен. Когда уровень безопасности по умолчанию установлен на Disallowed , правила могут указывать программное обеспечение, запуск которого разрешен.Чтобы применить политики ограниченного использования программ к библиотекам DLL
Откройте политики ограниченного использования программ.
В области сведений дважды щелкните Принудительное применение .
В разделе Применить политики ограниченного использования программ к следующим щелкните Все файлы ПО .
Примечание
- Для выполнения этой процедуры необходимо быть членом группы администраторов на локальном компьютере или иметь соответствующие полномочия.
