AppLocker в Windows 7. Блокируем сторонние браузеры

AppLocker это новая технология в Windows 7, позволяющая системному администратору блокировать выполнение определенных исполняемых файлов на компьютерах сети. AppLocker — это расширение технологии Software Restriction Policy (используемой в Windows XP/Vista), однако последняя могла блокировать выполнение программ, основываясь лишь на имени файла, пути и хэша файла. В AppLocker появилась возможность блокировки исполняемых файлов, основываясь на их цифровой подписи, в результате можно блокировать программы, основываясь на имени программы, версии и вендоре. Это означает, что если производитель обновит версию программы, то правила AppLocker продолжат блокировать обновленное приложение, снижая тем самым нагрузку на системного администратора. Также, например, можно создать правило AppLocker, основанное на версии ПО, тем самым можно разрешить запуск только определенных заранее разрешенных версий программ. Еще одно преимущество AppLocker заключается в том, что теперь не имеет значение откуда запускается программа (хоть с карты памяти), AppLocker в любом случае будет блокировать запуск программы.

Данную методику блокировки выполнения определенных программ при помощи AppLocker можно использовать для блокирования выполнения любого исполняемого файла, выпущенного Microsoft либо сторонними разработчиками. В данном примере мы попытаемся запретить использование браузера Google Chrome с помощью групповой политики и технологии AppLocker (это браузер я беру чисто для примера, а не из-за нелюбви к нему, как многие возможно подумали 🙂 ).

1. Откройте объект групповой политики, которая применяется на целевые компьютеры. Откройте раздел политики Computer Configuration > Policies > Windows Settings > Security Settings > Application Control Policies и выберите опцию “Configure rule enforcement”

2. В разделе Executable rules отметьте опцию “Configured” и выберите “Enforce rules”, затем нажмите “OK”.

3. Щелкните правой кнопкой мыши по “Executable Rules” и создайте новое правило “Create New Rule.”

4. Нажмите “Next”

5. Выберите “Deny” и “Next”

6. В качестве условия (condition) выберите “Publisher” (издатель) и нажмите “Next”

Примечание: Опции “Path” и “File hash” соответствуют правилам, применяемым в политиках Software Restriction в Windows XP / Vista.

7. Нажмите кнопку “Browse”

8. Выберите исполняемый файл Google Chrome “chrome.exe” и нажмите “Open”

9. В данном примере, мы удовлетворимся настройками по-умолчанию, поэтому просто нажмите “Next”.

Примечание: Если вы хотите заблокировать определённую версию программы, тогда отметьте “Use custom values” и в соответствующем поле “File version” задайте номер версии, использование которой вы хотите заблокировать данной политикой.

10: Жмем “Next”

11: И, наконец, создаем правило — “Create”

13: Если вы хотите, чтобы правила AppLocker применялись и к компьютерам администраторов, то в правой панели выделите правило для “BUILTIN\Administrators” и удалить его

14: На запрос отвечаем “Yes”

Теперь наши правила AppLocker настроены и выглядят примерно так:

Последнее, что нам нужно сделать – активировать работу AppLocker на целевых компьютерах

15. В той же самой групповой политике перейдите в ветку Computer Configuration > Policies > Windows Settings > Security Settings > System Services и дважды щелкните по службе “Application Identity”.

Application Identity – это приложение, которое перед запуском любого исполняемого файла выполняет его сканирования, выявляя его имя, хеш и сигнатуру. В том случае, если эта служба отключена, AppLocker работать не будет.

16: Выберите “Define this policy setting” и “Automatic”, затем нажмите “OK”

Секция системных служб будет выглядеть так:

Вот и все. После применения этой политики, если пользователь попытается запустить запрещенное приложение (в нашем случае это Google Chrome), появится такое диалоговое окно:

Что такое AppLocker? What Is AppLocker?

Область применения Applies to

• Windows 10. Windows 10
• Windows Server Windows Server

В этом разделе для ИТ-специалистов описывается, что такое AppLocker и чем его функции отличаются от политик ограничения программного обеспечения. This topic for the IT professional describes what AppLocker is and how its features differ from Software Restriction Policies.

AppLocker усовершенствовает функции управления приложениями и функции политик ограничения программного обеспечения. AppLocker advances the app control features and functionality of Software Restriction Policies. AppLocker содержит новые возможности и расширения, которые позволяют создавать правила, позволяющие разрешить или запретить запуск приложений на основе уникальных удостоверений файлов и указать, какие пользователи или группы могут запускать эти приложения. AppLocker contains new capabilities and extensions that allow you to create rules to allow or deny apps from running based on unique identities of files and to specify which users or groups can run those apps.

С помощью AppLocker вы можете: Using AppLocker, you can:

• Управление следующими типами приложений: исполняемые файлы (.exe и .com), сценарии (JS, PS1, VBS, CMD и .bat), файлы установщика Windows (MST, MSI и MSP) и DLL-файлы (DLL и OCX), а также упакованные приложения и установщики упакованных приложений (appx). Control the following types of apps: executable files (.exe and .com), scripts (.js, .ps1, .vbs, .cmd, and .bat), Windows Installer files (.mst, .msi and .msp), and DLL files (.dll and .ocx), and packaged apps and packaged app installers (appx).
• Определите правила на основе атрибутов файла, производных от цифровой подписи, включая издателя, название продукта, имя файла и версию файла. Define rules based on file attributes derived from the digital signature, including the publisher, product name, file name, and file version. Например, можно создать правила на основе атрибута издателя, сохраняемого посредством обновлений, или создать правила для определенной версии файла. For example, you can create rules based on the publisher attribute that is persistent through updates, or you can create rules for a specific version of a file.
• Назначение правил группе безопасности или определенному пользователю. Assign a rule to a security group or an individual user.
• Создание исключений из правил. Create exceptions to rules. Например, можно создать правило, позволяя запускать все процессы Windows, кроме редактора реестра (Regedit.exe). For example, you can create a rule that allows all Windows processes to run except Registry Editor (Regedit.exe).
• Использование режима только аудита для развертывания политики и определения ее влияния до непосредственного применения. Use audit-only mode to deploy the policy and understand its impact before enforcing it.
• Правила импорта и экспорта. Import and export rules. Импорт и экспорт влияют на всю политику. The import and export affects the entire policy. Например, при экспорте политики экспортируются все правила из всех коллекций правил, в том числе параметры для коллекций правил. For example, if you export a policy, all of the rules from all of the rule collections are exported, including the enforcement settings for the rule collections. При импорте политики все условия в существующей политике перезаписываются. If you import a policy, all criteria in the existing policy are overwritten.
• Упрощение создания и управления правилами AppLocker с помощью Windows PowerShell управления. Streamline creating and managing AppLocker rules by using Windows PowerShell cmdlets.

AppLocker помогает сократить административные издержки и снизить затраты организации на управление вычислительными ресурсами, уменьшая количество звонков в службу поддержки, которые являются результатом работы пользователей, запускающих неутверченные приложения AppLocker helps reduce administrative overhead and helps reduce the organization’s cost of managing computing resources by decreasing the number of help desk calls that result from users running unapproved apps

Сведения о сценариях управления приложениями, адресуемого AppLocker, см. в сценариях использования политик AppLocker. For information about the application control scenarios that AppLocker addresses, see AppLocker policy use scenarios.

Какие функции отличаются между политиками ограничения программного обеспечения и AppLocker? What features are different between Software Restriction Policies and AppLocker?

Отличия функций Feature differences

В следующей таблице сравнивает AppLocker с политиками ограничения программного обеспечения. The following table compares AppLocker to Software Restriction Policies.

Область действия правила Rule scope

Все пользователи All users

Конкретный пользователь или группа Specific user or group

Предоставленные условия правил Rule conditions provided

Hash файла, путь, сертификат, путь в реестре и зона Интернета File hash, path, certificate, registry path, and Internet zone

Hash, path, and publisher файла File hash, path, and publisher

Предоставленные типы правил Rule types provided

Определяется уровнями безопасности: Defined by the security levels:

Базовый пользователь Basic User

Разрешить и запретить Allow and deny

Действие правила по умолчанию Default rule action

Неявный запрет Implicit deny

Режим только аудита Audit-only mode

Мастер создания нескольких правил одновременно Wizard to create multiple rules at one time

Импорт и экспорт политик Policy import or export

Коллекция правил Rule collection

Windows PowerShell поддержки Windows PowerShell support

Настраиваемые сообщения об ошибках Custom error messages

Различия функций управления приложениями Application control function differences

В следующей таблице сравниваются функции управления приложениями политик ограничения программного обеспечения (SRP) и AppLocker. The following table compares the application control functions of Software Restriction Policies (SRP) and AppLocker.

Функция Feature	Политики ограниченного использования программ Software Restriction Policies	AppLocker AppLocker

Область действия операционной системы Operating system scope

Политики SRP можно применять во всех операционных системах Windows, начиная с Windows XP и Windows Server 2003. SRP policies can be applied to all Windows operating systems beginning with Windows XP and Windows Server 2003.

Политики AppLocker применяются только к поддерживаемые версии операционной системы и выпуски, перечисленные в требованиях для использования AppLocker. AppLocker policies apply only to those supported operating system versions and editions listed in Requirements to use AppLocker. Но эти системы также могут использовать SRP. But these systems can also use SRP.

Используйте различные GOS для правил SRP и AppLocker. Use different GPOs for SRP and AppLocker rules.

Поддержка пользователей User support

SRP позволяет пользователям устанавливать приложения в качестве администратора. SRP allows users to install applications as an administrator.

Политики AppLocker поддерживаются посредством групповой политики, и только администратор устройства может обновить политику AppLocker. AppLocker policies are maintained through Group Policy, and only the administrator of the device can update an AppLocker policy.

AppLocker позволяет настраивать сообщения об ошибках, чтобы направлять пользователей на веб-страницу для получения справки. AppLocker permits customization of error messages to direct users to a Web page for help.

Обслуживание политик Policy maintenance

Политики SRP обновляются с помощью оснастки «Локализованная политика безопасности» или консоли управления групповыми политиками (GPMC). SRP policies are updated by using the Local Security Policy snap-in or the Group Policy Management Console (GPMC).

Политики AppLocker обновляются с помощью оснастки «Локалная политика безопасности» или GPMC. AppLocker policies are updated by using the Local Security Policy snap-in or the GPMC.

AppLocker поддерживает небольшой набор cmdlets PowerShell для помощи в администрировании и обслуживании. AppLocker supports a small set of PowerShell cmdlets to aid in administration and maintenance.

Инфраструктура управления политиками Policy management infrastructure

Для управления политиками SRP SRP использует групповую политику в домене и оснастку «Локализованная политика безопасности» для локального компьютера. To manage SRP policies, SRP uses Group Policy within a domain and the Local Security Policy snap-in for a local computer.

Для управления политиками AppLocker AppLocker использует групповую политику в домене и оснастку «Локализованная политика безопасности» для локального компьютера. To manage AppLocker policies, AppLocker uses Group Policy within a domain and the Local Security Policy snap-in for a local computer.

Блокировка вредоносных сценариев Block malicious scripts

Правила блокировки вредоносных сценариев не могут запускать все сценарии, связанные с ведущим скриптом Windows, за исключением сценариев, подписанных вашей организацией с цифровой подписью. Rules for blocking malicious scripts prevents all scripts associated with the Windows Script Host from running, except those that are digitally signed by your organization.

Правила AppLocker могут управлять следующими форматами файлов: PS1, BAT, CMD, VBS и JS. AppLocker rules can control the following file formats: .ps1, .bat, .cmd, .vbs, and .js. Кроме того, можно настроить исключения, чтобы разрешить запуск определенных файлов. In addition, you can set exceptions to allow specific files to run.

Управление установкой программного обеспечения Manage software installation

SRP может предотвратить установку всех пакетов установщика Windows. SRP can prevent all Windows Installer packages from installing. Он позволяет устанавливать MSI-файлы, подписанные вашей организацией с цифровой подписью. It allows .msi files that are digitally signed by your organization to be installed.

Коллекция правил установщика Windows — это набор правил, созданных для типов файлов установщика Windows (MST, MSI и MSP), позволяющих управлять установкой файлов на клиентских компьютерах и серверах. The Windows Installer rule collection is a set of rules created for Windows Installer file types (.mst, .msi and .msp) to allow you to control the installation of files on client computers and servers.

Управление всем программным обеспечением на компьютере Manage all software on the computer

Все программное обеспечение управляется в одном наборе правил. All software is managed in one rule set. По умолчанию политика управления всем программным обеспечением на устройстве не позволяет управлять всем программным обеспечением на устройстве пользователя’, за исключением программного обеспечения, установленного в папке Windows, папке Program Files или вложенных папках. By default, the policy for managing all software on a device disallows all software on the user’s device, except software that is installed in the Windows folder, Program Files folder, or subfolders.

В отличие от SRP, каждая коллекция правил AppLocker функционирует как разрешенный список файлов. Unlike SRP, each AppLocker rule collection functions as an allowed list of files. Запускать можно только те файлы, которые указаны в коллекции правил. Only the files that are listed within the rule collection will be allowed to run. Эта конфигурация упрощает администраторам определение того, что произойдет при применении правила AppLocker. This configuration makes it easier for administrators to determine what will occur when an AppLocker rule is applied.

Различные политики для разных пользователей Different policies for different users

Правила применяются равномерно для всех пользователей на определенном устройстве. Rules are applied uniformly to all users on a particular device.

На устройстве, доступ к которому есть у нескольких пользователей, администратор может указать группы пользователей, которые могут получить доступ к установленному программному обеспечению. On a device that is shared by multiple users, an administrator can specify the groups of users who can access the installed software. С помощью AppLocker администратор может указать пользователя, к которому должно применяться определенное правило. Using AppLocker, an administrator can specify the user to whom a specific rule should apply.

Функция управления приложениями Application control function	SRP SRP	AppLocker AppLocker