- Необходимые условия для использования AppLocker Requirements to use AppLocker
- Общие требования General requirements
- Требования к операционной системе Operating system requirements
- Используйте AppLocker для создания киоска на базе Windows 10, на котором запущено несколько приложений Use AppLocker to create a Windows 10 kiosk that runs multiple apps
- Установка приложений Install apps
- Использование AppLocker для настройки правил для приложений Use AppLocker to set rules for apps
- Другие параметры блокировки Other settings to lock down
- Настройка макета начального экрана на устройстве (рекомендуется) Customize Start screen layout for the device (recommended)
Необходимые условия для использования AppLocker Requirements to use AppLocker
Относится к: Applies to
- Windows 10. Windows 10
- Windows Server Windows Server
В этом разделе для специалистов по ИТ приводится список требований к программному обеспечению для использования AppLocker в поддерживаемых операционных системах Windows. This topic for the IT professional lists software requirements to use AppLocker on the supported Windows operating systems.
Общие требования General requirements
Чтобы использовать AppLocker, необходимо следующее. To use AppLocker, you need:
- Устройство под управлением поддерживаемой операционной системы для создания правил. A device running a supported operating system to create the rules. Компьютер может быть контроллером домена. The computer can be a domain controller.
- Для развертывания групповой политики необходимо хотя бы одно устройство с установленной консолью управления групповыми политиками (GPMC) или средствами удаленного администрирования сервера (RSAT), на котором будут размещаться правила AppLocker. For Group Policy deployment, at least one device with the Group Policy Management Console (GPMC) or Remote Server Administration Tools (RSAT) installed to host the AppLocker rules.
- Устройства под управлением поддерживаемой операционной системы для применения создаваемых правил AppLocker. Devices running a supported operating system to enforce the AppLocker rules that you create.
Примечание. Вы можете применять с AppLocker политики ограниченного использования программ. Однако для такого применения имеются некоторые ограничения. Note: You can use Software Restriction Policies with AppLocker, but with some limitations. Дополнительные сведения см. в статье Использование AppLocker и политик ограниченного использования программ в одном домене. For more info, see Use AppLocker and Software Restriction Policies in the same domain.
Требования к операционной системе Operating system requirements
В следующей таблице показано, какие операционные системы поддерживают функции AppLocker. The following table show the on which operating systems AppLocker features are supported.
| Версия Version | Можно настроить Can be configured | Можно применить Can be enforced | Доступные правила Available rules | Примечания Notes |
|---|---|---|---|---|
| Windows 10 Windows 10 | Да Yes | Да Yes | Упакованные приложения Packaged apps Исполняемый файл Executable Установщик Windows Windows Installer Сценарий Script DLL DLL | CSP AppLocker можно использовать для настройки политик AppLocker в любом выпуске Windows 10, поддерживаемом управлением мобильными устройствами (MDM). You can use the AppLocker CSP to configure AppLocker policies on any edition of Windows 10 supported by Mobile Device Management (MDM). AppLocker можно управлять только с помощью групповой политики на устройствах, работающих под управлением Windows 10 Корпоративная, Windows 10 для образовательных учреждений и Windows Server 2016. You can only manage AppLocker with Group Policy on devices running Windows 10 Enterprise, Windows 10 Education, and Windows Server 2016. |
| WindowsServer2019 Windows Server 2019 Windows Server 2016 Windows Server 2016 Windows Server2012R2 Windows Server 2012 R2 Windows Server 2012 Windows Server 2012 | Да Yes | Да Yes | Упакованные приложения Packaged apps Исполняемый файл Executable Установщик Windows Windows Installer Сценарий Script DLL DLL | |
| Windows8.1 Профессиональная Windows 8.1 Pro | Да Yes | Нет No | Н/Д N/A | |
| Windows8.1 Корпоративная Windows 8.1 Enterprise | Да Yes | Да Yes | Упакованные приложения Packaged apps Исполняемый файл Executable Установщик Windows Windows Installer Сценарий Script DLL DLL | |
| Windows RT 8.1 Windows RT 8.1 | Нет No | Нет No | Н/Д N/A | |
| Windows 8 Профессиональная Windows 8 Pro | Да Yes | Нет No | Н/Д N/A | |
| Windows 8 Корпоративная Windows 8 Enterprise | Да Yes | Да Yes | Упакованные приложения Packaged apps Исполняемый файл Executable Установщик Windows Windows Installer Сценарий Script DLL DLL | |
| Windows RT Windows RT | Нет No | Нет No | Н/д N/A | |
| Windows Server 2008 R2 Standard Windows Server 2008 R2 Standard | Да Yes | Да Yes | Исполняемый файл Executable Установщик Windows Windows Installer Сценарий Script DLL DLL | Правила для упакованных приложений не будут применяться. Packaged app rules will not be enforced. |
| Windows Server 2008 R2 Enterprise Windows Server 2008 R2 Enterprise | Да Yes | Да Yes | Исполняемый файл Executable Установщик Windows Windows Installer Сценарий Script DLL DLL | Правила для упакованных приложений не будут применяться. Packaged app rules will not be enforced. |
| Windows Server 2008 R2 Datacenter Windows Server 2008 R2 Datacenter | Да Yes | Да Yes | Исполняемый файл Executable Установщик Windows Windows Installer Сценарий Script DLL DLL | Правила для упакованных приложений не будут применяться. Packaged app rules will not be enforced. |
| Windows Server 2008 R2 для систем на базе Itanium Windows Server 2008 R2 for Itanium-Based Systems | Да Yes | Да Yes | Исполняемый файл Executable Установщик Windows Windows Installer Сценарий Script DLL DLL | Правила для упакованных приложений не будут применяться. Packaged app rules will not be enforced. |
| Windows 7 Максимальная Windows 7 Ultimate | Да Yes | Да Yes | Исполняемый файл Executable Установщик Windows Windows Installer Сценарий Script DLL DLL | Правила для упакованных приложений не будут применяться. Packaged app rules will not be enforced. |
| Windows 7 Корпоративная Windows 7 Enterprise | Да Yes | Да Yes | Исполняемый файл Executable Установщик Windows Windows Installer Сценарий Script DLL DLL | Правила для упакованных приложений не будут применяться. Packaged app rules will not be enforced. |
| Windows 7 Профессиональная Windows 7 Professional | Да Yes | Нет No | Исполняемый файл Executable Установщик Windows Windows Installer Сценарий Script DLL DLL | Правила AppLocker не применяются. No AppLocker rules are enforced. |
AppLocker не поддерживается в версиях операционной системы Windows, которые не указанные выше. AppLocker is not supported on versions of the Windows operating system not listed above. Политики ограничения программного обеспечения могут использоваться в операционных системах этих версий. Software Restriction Policies can be used with those versions. Однако функция SRP Basic User не поддерживается в вышеуказанных операционных системах. However, the SRP Basic User feature is not supported on the above operating systems.
Используйте AppLocker для создания киоска на базе Windows 10, на котором запущено несколько приложений Use AppLocker to create a Windows 10 kiosk that runs multiple apps
Область применения Applies to
Узнайте, как настроить устройство под управлением Windows 10 Корпоративная или Windows 10 для образовательных учреждений, версия 1703 и более ранние версии, таким образом, чтобы пользователи могли запускать на нем только несколько определенных приложений. Learn how to configure a device running Windows 10 Enterprise or Windows 10 Education, version 1703 and earlier, so that users can only run a few specific apps. Результат использования описанной в этом разделе функции схож с действием устройства киоска, но при этом доступны несколько приложений. The result is similar to a kiosk device, but with multiple apps available. Например, библиотечный компьютер можно настроить таким образом, чтобы пользователи могли выполнять поиск по каталогу и просматривать веб-страницы, но не имели возможности запускать другие приложения или изменять параметры компьютера. For example, you might set up a library computer so that users can search the catalog and browse the Internet, but can’t run any other apps or change computer settings.
Для устройств под управлением Windows 10, версия 1709, мы рекомендуем метод киоска для нескольких приложений. For devices running Windows 10, version 1709, we recommend the multi-app kiosk method.
С помощью функции AppLockerвы можете разрешить пользователям доступ только к определенному набору приложений на устройстве под управлением Windows 10 Корпоративная или Windows 10 для образовательных учреждений. You can restrict users to a specific set of apps on a device running Windows 10 Enterprise or Windows 10 Education by using AppLocker. Правила AppLocker определяют, какие приложения можно запускать на устройстве. AppLocker rules specify which apps are allowed to run on the device.
Правила AppLocker организованы в коллекции на основе формата файла. AppLocker rules are organized into collections based on file format. Если правила AppLocker для определенной коллекции правил не существуют, то все файлы этого формата можно запускать. If no AppLocker rules for a specific rule collection exist, all files with that file format are allowed to run. Однако если для коллекции создано правило AppLocker, разрешен только запуск файлов, явно указанных в правиле. However, when an AppLocker rule for a specific rule collection is created, only the files explicitly allowed in a rule are permitted to run. Подробнее об этом см. в разделе Как работает AppLocker. For more information, see How AppLocker works.
В этом разделе описывается, как блокировать приложения на локальном устройстве. This topic describes how to lock down apps on a local device. AppLocker также можно использовать, чтобы устанавливать правила для приложений в домене с помощью групповой политики. You can also use AppLocker to set rules for applications in a domain by using Group Policy.
Установка приложений Install apps
Сначала установите на устройстве нужные приложения, используя целевую учетную запись (записи) пользователя. First, install the desired apps on the device for the target user account(s). Это работает как для приложений единой платформы Windows (UWP), так и для настольных приложений Windows. This works for both Unified Windows Platform (UWP) apps and Windows desktop apps. Для приложений UWP необходимо войти в систему в качестве этого пользователя для установки приложения. For UWP apps, you must log on as that user for the app to install. Для настольных приложений можно установить приложение для всех пользователей, не входя в определенную учетную запись. For desktop apps, you can install an app for all users without logging on to the particular account.
Использование AppLocker для настройки правил для приложений Use AppLocker to set rules for apps
После установки необходимых приложений настройте правила AppLocker, чтобы разрешить запуск только определенных приложений, и заблокируйте все остальные. After you install the desired apps, set up AppLocker rules to only allow specific apps, and block everything else.
Запустите локальную политику безопасности (secpol.msc) от имени администратора. Run Local Security Policy (secpol.msc) as an administrator.
Откройте Параметры безопасности > Политики управления приложениями > AppLocker и выберите Настроить применение правил. Go to Security Settings > Application Control Policies > AppLocker, and select Configure rule enforcement.
Установите флажок Настроено в разделе Исполняемые правила, а затем нажмите ОК. Check Configured under Executable rules, and then click OK.
Щелкните параметр Исполняемые правила правой кнопкой мыши и выберите Создать правила автоматически. Right-click Executable Rules and then click Automatically generate rules.
Выберите папку, содержащую приложение, доступ к которому вы хотите разрешить, или выберите C:\, чтобы проанализировать все приложения. Select the folder that contains the apps that you want to permit, or select C:\ to analyze all apps.
Введите имя набора правил и нажмите Далее. Type a name to identify this set of rules, and then click Next.
На странице Параметры правил нажмите кнопку Далее. On the Rule Preferences page, click Next. Обратите внимание, что создание правил может занять некоторое время. Be patient, it might take awhile to generate the rules.
На странице Проверка правил выберите команду Создать. On the Review Rules page, click Create. Мастер создаст набор правил, разрешающих использование набора установленных приложений. The wizard will now create a set of rules allowing the installed set of apps.
Прочтите сообщение и нажмите Да. Read the message and click Yes.
Если вы хотите применить правило к выбранной группе пользователей, щелкните его правой кнопкой мыши и выберите Свойства(необязательно). (optional) If you want a rule to apply to a specific set of users, right-click on the rule and select Properties. Затем выберите пользователя или группу пользователей в диалоговом окне. Then use the dialog to choose a different user or group of users.
Если для приложений, использование которых запрещено, созданы правила, их можно удалить, щелкнув правило правой кнопкой мыши и выбрав команду Удалить(необязательно). (optional) If rules were generated for apps that should not be run, you can delete them by right-clicking on the rule and selecting Delete.
Чтобы обеспечить выполнение правил AppLocker, необходимо включить службу Удостоверение приложения . Before AppLocker will enforce rules, the Application Identity service must be turned on. Чтобы служба «Удостоверение приложения» автоматически запускалась при сбросе параметров, откройте командную строку и выполните следующую команду: To force the Application Identity service to automatically start on reset, open a command prompt and run:
Перезагрузите устройство. Restart the device.
Другие параметры блокировки Other settings to lock down
Помимо определения разрешенных приложений, необходимо также запретить доступ к некоторым параметрам и функциям на устройстве. In addition to specifying the apps that users can run, you should also restrict some settings and functions on the device. Чтобы повысить безопасность взаимодействия, рекомендуем внести в конфигурацию устройства приведенные ниже изменения. For a more secure experience, we recommend that you make the following configuration changes to the device:
Удалите список Все приложения Remove All apps.
Перейдите в раздел Редактор групповой политики > Конфигурация пользователя > Административные шаблоны\Меню «Пуск» и панель задач\Удалить список всех программ в меню «Пуск». Go to Group Policy Editor > User Configuration > Administrative Templates\Start Menu and Taskbar\Remove All Programs list from the Start menu.
Скройте компонент Специальные возможности на экране входа. Hide Ease of access feature on the logon screen.
Перейдите в раздел Панель управления > Специальные возможности > Центр специальных возможностей и отключите все средства специальных возможностей. Go to Control Panel > Ease of Access > Ease of Access Center, and turn off all accessibility tools.
Отключите аппаратную кнопку питания. Disable the hardware power button.
Перейдите в раздел Электропитание > Действие кнопки питания, измените значение на Действие не требуется и выберите Сохранить изменения. Go to Power Options > Choose what the power button does, change the setting to Do nothing, and then Save changes.
Отключите камеру. Disable the camera.
Перейдите в раздел Параметры > Конфиденциальность > Камера и отключите параметр Разрешить приложениям использовать камеру. Go to Settings > Privacy > Camera, and turn off Let apps use my camera.
Отключите отображение уведомлений приложений на экране блокировки. Turn off app notifications on the lock screen.
Перейдите в раздел Редактор групповой политики > Конфигурация компьютера > Административные шаблоны\Система\Вход в систему\Отключить уведомления приложений на экране блокировки. Go to Group Policy Editor > Computer Configuration > Administrative Templates\System\Logon\Turn off app notifications on the lock screen.
Отключите съемные носители. Disable removable media.
Перейдите в меню Редактор групповой политики > Конфигурация компьютера > Административные шаблоны\Система\Установка устройств\Ограничения на установку устройств. Go to Group Policy Editor > Computer Configuration > Administrative Templates\System\Device Installation\Device Installation Restrictions. Проверьте параметры политики, отображаемые в разделе Ограничения на установку устройств, чтобы найти параметры, подходящие для вашей ситуации. Review the policy settings available in Device Installation Restrictions for the settings applicable to your situation.
Примечание. Note
Чтобы эта политика не влияла на участников группы «Администраторы», в разделе Ограничения на установку устройствустановите флажок Разрешить администраторам заменять политики ограничения установки устройств. To prevent this policy from affecting a member of the Administrators group, in Device Installation Restrictions, enable Allow administrators to override Device Installation Restriction policies.
Подробнее о функциях блокировки см. в разделе Настройки Windows 10 Корпоративная. To learn more about locking down features, see Customizations for Windows 10 Enterprise.
Настройка макета начального экрана на устройстве (рекомендуется) Customize Start screen layout for the device (recommended)
Меню «Пуск» на устройстве можно настроить таким образом, чтобы в нем отображались только плитки разрешенных приложений. Configure the Start menu on the device to only show tiles for the permitted apps. Для этого нужно вручную внести изменения, экспортировать макет в XML-файл, а затем использовать этот файл на устройстве, чтобы запретить пользователям вносить изменения. You will make the changes manually, export the layout to an .xml file, and then apply that file to devices to prevent users from making changes. Инструкции: Управление параметрами макета начального экрана Windows10. For instructions, see Manage Windows 10 Start layout options.
