ВикористанняПолітики безпеки AppLocker, адміністратори можуть блокувати або дозволяти певним програмам працювати в Windows. За допомогою Applocker можна обмежити виконання програми для певної групи користувачів, дозволяючи іншим, наприклад адміністраторам, запускати їх. У цьому посібнику пояснюється, як створити та розгорнути політики доступу до програми AppLocker за допомогою GPO.
Спочатку була доступна функція керування додатками AppLockerлише у версіях EnterpriseWindows. Однак, починаючи з Windows 10 версії 2004 і всіх версій Windows 11, ці обмеження випуску було знято, дозволяючи застосовувати політики AppLocker доProвидання також.
Раніше обмеження на запуск програм можна було впроваджувати в Windows за допомогою політики обмеження використання програмного забезпечення (SRP). Однак функція SRP застаріла після випуску Windows 10 версії 1803 і Windows Server 2019.
Давайте створимо новий GPO домену, що містить налаштування керування AppLocker за допомогою оснастки керування груповою політикою доменуgpmc.msc(таким же чином ви можете налаштувати параметри Applocker на автономній машині за допомогою редактора локальної групової політики),
- Створіть новий GPO та перейдіть у режим редагування.
- Щоб політики AppLocker застосовувалися до клієнтів,Посвідчення програмислужба має бути ввімкнена та запущена (
AppIDSvcслужба за замовчуванням вимкнена в Windows). - Перейдіть до Конфігурація комп’ютера -> Параметри Windows -> Параметри безпеки -> Системні служби. ВідкрийтеПосвідчення програмивластивості служби та ввімкніть автоматичний запуск.
- Потім розгорніть Конфігурація комп’ютера -> Політики -> Параметри Windows -> Параметри безпеки -> Політики керування програмами -> AppLocker. Тут можна створити правила для чотирьох категорій програмного забезпечення:
Виконувані правила– Виконувані файли (.EXE та .COM).
Правила інсталятора Windows– Файли інсталятора Windows (.MSI, .MSP, .MST).
Правила сценарію– файли сценаріїв (.BAT, .CMD, .JS, .PS1 і .VBS).
Правила пакетної програми– Програми Microsoft Store APPX і MSIX. - У цьому прикладі ми створимо правила керування програмним забезпеченням для виконуваних файлів. Отже, клацніть правою кнопкою мишіВиконувані правилаі виберітьСтворення правил за замовчуванням
- Буде створено кілька попередньо визначених правил.
Дозволити всім (усі файли, розташовані в папці Program Files) – це правило дозволяє користувачам запускати файли з
Program Filesкаталог.
Дозволити всім (усі файли, розташовані в папці Windows) – дозволяє користувачам запускати будь-який файл ізWindowsкаталог.
Дозволити BUILTINAdministrators (усі файли) – члени локальної групи адміністраторів можуть запускати будь-який файл.
- Наприклад, ви можете дозволити користувачам, які не є адміністраторами, запускати певну програму, незалежно від її версії чи місця на диску.
- Створіть нове правило AppLocker. Виберіть, дозволити чи заборонити запуск виконуваного файлу. Виберіть групу користувачів, до якої застосовуватиметься ця політика (за умовчанням Усі).
- Далі виберіть умови для правила AppLocker. Доступні три варіанти:
Видавець– дозволяє створювати правила для підписаних файлів (файлів певного видавця). За допомогою цього правила ви можете вибрати з таких параметрів: ім’я видавця, ім’я продукту, ім’я виконуваного файлу або версія файлу.
шлях– вказати шлях до каталогу або файлу, до якого буде застосовано правило. Ви можете вказати повний шлях до файлу EXE або використати символ підстановки (*). Наприклад, правилоC:MyAppFolder*застосовуватиметься до всіх виконуваних файлів у вказаному каталозі.
Хеш файлу– правило можна використовувати для ідентифікації непідписаного файлу на основі його хешу SHA-256. Це правило дозволяє або забороняє виконання файлу, незалежно від його імені чи розташування на диску. Однак якщо версія файлу змінена (наприклад, після оновлення програмного забезпечення), правило потрібно створити заново для нового хешу файлу.
Під час указання шляхів у правилах можна використовувати наведені нижче змінні середовища AppLocker.Каталог або диск Windows Змінна шляху AppLocker Каталог Windows %WINDIR%System32 і sysWOW64 %SYSTEM32%Інсталяційний диск Windows %OSDRIVE%Програмні файли %PROGRAMFILES%Змінний носій (CD або DVD) %REMOVABLE%Знімний накопичувач (USB флешка) %HOT% - Ми створимо правило AppLocker для певної програми її видавцем. Виберіть цільовий виконуваний файл. Оскільки цільовий файл може бути відсутнім на контролері домену, де створено правило AppLocker, ви можете використовувати шлях UNC, щоб вибрати файл із клієнтського комп’ютера в мережі (наприклад, використовуйте формат спільного шляху адміністратора Windows
\computer123c$toolstcpview64.exe) - Я хочу дозволити цьому файлу працювати на основі його імені, незалежно від версії. Повзунок слід перемістити наІм'я файлу. Або налаштуйте більш гнучкі умови за допомогоюВикористовуйте спеціальні значенняваріант.
- вВиняткиви можете зробити винятки з правила за шляхом, видавцем або хешем файлу. Наприклад, ви можете заборонити запуск старих, уразливих версій програм або обмежити їх використання певними папками.
- Встановіть нове ім’я правила AppLocker.
Тепер давайте створимо правило, яке блокує користувачам запуск програми AnyDesk.exe.
- Додайте нове правило AppLocker
- Це правило має забороняти будь-кому запускати програму. Виберіть дію:Заперечувати, користувач або група:Всі.
- Створіть правило Publisher і знайдіть виконуваний файл AnyDesk.
- Це правило має застосовуватися незалежно від версії або розташування файлу. Ви можете або повністю заборонити запуск файлів, підписаних видавцем
O=ANYDESK SOFTWARE GMBHабо обмежте його назвою продукту.
- Таке правило блокуватиме запуск програми незалежно від каталогу, де знаходиться виконуваний файл, або фактичного імені файлу.
Хоча локальним адміністраторам дозволено запускати будь-які локальні виконувані файли, правило заборони завжди має пріоритет і блокує виконання.
Щоб застосувати створені вами правила AppLocker до клієнтських комп’ютерів, відкрийте властивості AppLocker у консолі GPO. Тут доступні чотири типи правил:
- Виконувані правила– правила для класичних виконуваних файлів Win32 (Exe).
- Інсталятор Windowsrules – правила інсталятора MSI
- Правила сценарію– правила виконання сценарію
- Запаковані всі правила– правила для пакетів Microsoft Store AppX/MSIX
За замовчуванням правила AppLocker не застосовуються. Щоб застосувати правила до клієнтів, потрібно ввімкнутиНалаштованоі виберіть, чи потрібно застосовувати правила вТільки аудитабо вВиконуйте правиларежим.
Рекомендується спочатку застосувати правила в режимі аудиту, щоб перевірити їх вплив на клієнтів, фактично не блокуючи виконання програми
Зв’яжіть GPO з налаштуваннями AppLocker із цільовим OU (наполегливо рекомендується спочатку перевірити правила обмеження програмного забезпечення на тестових комп’ютерах/OU).
Після застосування нових налаштувань групової політики на клієнті перевірте, як на ньому працюють правила AppLocker. Оскільки правила AppLocker наразі застосовуються в режимі аудиту, запуск програм фактично не блокується.
Ви можете використовувати журнали перегляду подій, щоб визначити, як запускаються політики AppLocker, коли запускаються певні виконувані файли. Відкрийте консоль перегляду подій (eventvwr.msc) і перейдіть доЖурнали програм і служб -> Microsoft -> Windows -> AppLocker -> EXE і DLL.
Коли AppLocker виявляє спробу запустити заблокований виконуваний файл, він реєструє попередження з ідентифікатором події8003яка містить назву заблокованої програми.
%OSDRIVE%TOOLSANYDESK.EXE was allowed to run but would have been prevented from running if the AppLocker policy were enforced.
Якщо програмі дозволено працювати, ідентифікатор події8002буде додано.
Перевірте правила AppLocker під обліковими записами користувачів без прав адміністратора, оскільки стандартні правила дозволяють адміністраторам запускати всі програми без обмежень. Користувачі повинні працювати в межах своїх сеансів, запускаючи необхідні програми та виконуючи стандартні щоденні завдання.
Перегляньте програми, запуск яких заблоковано відповідно до подій аудиту. Ви можете використовувати PowerShell, щоб запитувати журнали Event Viewer і отримати список програм, заблокованих правилами AppLocker на комп’ютері.
$TimeSpan = (Get-Date).AddHours(-24)
Get-WinEvent -FilterHashtable @{LogName = "Microsoft-Windows-AppLocker/EXE and DLL"; Id = 8003; StartTime = $TimeSpan } | Format-Table TimeCreated, Message -AutoSize
Якщо поточна політика керування програмою блокує необхідний виконуваний файл, відредагуйте GPO AppLocker, щоб додати правило, яке дозволяє запускати цю програму.
Після налагодження правил AppLocker у режимі аудиту ви можете застосувати їх у примусовому режимі. Для цього змініть параметр аудиту в політиці AppLocker наВиконуйте правила.
AppLocker тепер блокуватиме запуск будь-яких програм, які не авторизовані або явно заборонені.
This app has been blocked by your administrator
Подію з ідентифікатором 8004 тепер буде додано до засобу перегляду подій, який містить назву заблокованого виконуваного файлу.
%OSDRIVE%TOOLSANYDESK.EXE was prevented from running.
Створення вручну окремих правил для кожної дозволеної чи заблокованої програми в AppLocker займає багато часу та втомлює. Є кілька інструментів, які можуть прискорити та покращити процес створення та впровадження правил AppLocker.
Редактор конфігурації AppLocker у консолі GPO має функцію автоматичного створення правил. Адміністратор може вибратиАвтоматичне генерування правилпараметр і вкажіть цільову папку на контрольній машині. Потім AppLocker створить список правил для всього програмного забезпечення, знайденого на комп’ютері.
Ви також можете створити правила AppLocker, імпортувавши їх з окремих комп’ютерів. Наприклад, ви можете отримати список заблокованих виконуваних файлів із журналів засобу перегляду подій за допомогою PowerShell:
Get-ApplockerFileinformation -Eventlog -EventType Audited|fl
На основі цієї інформації ви можете автоматично додавати правила до локальної політики AppLocker.
Get-ApplockerFileinformation -Eventlog -EventType Audited | New-ApplockerPolicy -RuleType Hash, Publisher -User jsmith -RuleNamePrefix AuditBased | Set-ApplockerPolicy –Merge
Нові правила буде додано до локальної політики AppLocker комп’ютера. Звідти їх можна експортувати та імпортувати до домену GPO.
Дивіться також:Як вимкнути PowerShell із політикою обмеження програмного забезпечення GPO
Список лише заблокованих виконуваних файлів (включаючи кількість спроб запуску кожного файлу):
Get-AppLockerFileInformation -EventLog -EventType Denied -Statistics
Під час створення правил AppLocker пам’ятайте про наведені нижче моменти.
- Правила заборони AppLocker мають пріоритет над правилами дозволу
- За замовчуванням все заборонено, якщо це явно не дозволено. Іншими словами, виконуваний файл дозволяється запускати, лише якщо це явно дозволено правилом і не заборонено жодним іншим правилом.
- Кожне правило може мати винятки. Наприклад, це дозволить застосовувати певні правила до одних груп користувачів і робити винятки для інших. На знімку екрана показано, як використовувати винятки, щоб дозволити PowerShell запускатися для адміністраторів, але заблокувати його для користувачів, які не є адміністраторами (стаття про вимкнення PowerShell на комп’ютері з Windows є прикладом реалізації такого правила).
- Створюючи правила, майте на увазі, що такі групи, як «Усі» та «Користувачі домену», також можуть включати адміністраторів.
Як щодо можливості тимчасово призупинити AppLocker на комп’ютері? Ви можете подумати, що зупинка служби ідентифікації програми запобіжить застосуванню правил AppLocker. Однак це неправда.
Щоб тимчасово вимкнути AppLocker на комп’ютері, спочатку зупиніть службу AppIDSvc, а потім видалітьAppCache.dat,Exe.AppLocker, іAppLocker тощофайли зC:WindowsSystem32AppLockerпапку.
Сучасні версії Windows включають додатковий механізм контролю запуску виконуваних файлів, який називаєтьсяWindows Defender Application Control (WDAC). Хоча його налаштування дещо складніше, ніж AppLocker, це кращий вибір завдяки його гнучкості, масштабованості та підвищеній безпеці. На відміну від AppLocker, який працює лише в режимі користувача, WDAC може блокувати виконання коду як на рівні ядра (наприклад, драйвери), так і в режимі користувача.
