Дневник megavtogal.com

МЕНЮ
  • Контакты
  • Статьи

Applocker не блокирует приложения

Обновлено: 06.01.2025

Рассмотрим ситуацию: У Вас есть "терминальный" сервер, на котором сидят люди с тонких клиентов. Мы для них все настроили, в том числе и браузер, и хотим, чтобы они все пользовались 1 браузером. Но они начинают ставить себе Хром, Яндекс, и упаси Боже - Амиго. А они ставятся не в \Program Files, а в профиль пользователю.

В данной статье рассмотрим, как же можно стандартными средствами Windows запретить пользователю устанавливать приложения, которые ставятся в папку с профилем пользователя, такие как Yandex браузер, Амиго, спутник Mail и т.п.

Рассмотрим ситуацию: У Вас есть "терминальный" сервер, на котором сидят люди с тонких клиентов. Мы для них все настроили, в том числе и браузер, и хотим, чтобы они все пользовались 1 браузером. Но они начинают ставить себе Хром, Яндекс, и упаси Боже - Амиго. А они ставятся не в \Program Files, а в профиль пользователю.

В данной статье рассмотрим, как же можно стандартными средствами Windows запретить пользователю устанавливать приложения, которые ставятся в папку с профилем пользователя, такие как Yandex браузер, Амиго, спутник Mail и т.п.


Для начала идем в "Панель управления" во вкладку "Администрирование"

Открываем "Службы" и находим службу "Удостоверение приложения"


Открываем свойства данной службы

По "умолчанию" она остановлена и стоит "Запуск - вручную"

Нам необходимо установить "Запуск - автоматически" и нажать кнопку "Запустить"


Теперь снова возвращаемся в "Администрирование" и открываем "Локальная политика безопасности"


В открывшемся окне идем в "Политики управления приложениями -> AppLocker -> Исполняемые правила"

У Вас "по умолчанию" там будет пусто


Справа в свободном месте нажимаем правой кнопкой мыши и выбираем "Создать правило. "


Нас приветствует "Мастер создания новых правил", Нажимаем "Далее"


Выбираем, что мы хотим сделать, разрешить или запретить. Выбираем "Запретить".

Далее можем оставить по умолчанию "Все", или выбрать конкретную группу или пользователя.

После нажимаем "Далее"


В данном окне есть несколько типов правил, я пользуюсь правилом "Издатель" и нажимаем "Далее"


Тут выбираем файл, установщик которого мы хотим запретить


Для примера я выбрал установщик Яндекс.Браузера

Слева видим ползунок, которым можно ограничивать, выполнять все условия или поднимая выше - уменьшать кол-во проверок. Поиграйтесь ползунком - поймете что он ограничивает.

После того, как выбрали подходящий Вам вариант - нажимаем "Далее"


Тут можно добавить исключение. Я им не пользовался.

Ну к примеру вы запретили установку любого ПО от производителя "Яндекс", но хотите чтобы было разрешено "Яндекс.Панель", тогда необходимо добавить его в исключение кнопкой "Добавить. ", как все сделали - нажимаем "Далее"


Теперь нам осталось только дать имя нашему правилу и его описание (не обязательно). После чего нажимаем кнопку "Создать"


Все! Наше правило готово. Чтобы оно немедленно вступило в силу - предлагаю обновить правила политики для ПК и Пользователя.

Для этого открываем командную строку (пуск -> выполнить -> cmd или PowerShell) и пишем gpupdate /force

Дожидаемся обновления политик и можем тестировать.


Так как я применял политику только на группу "Пользователи домена", на меня она не распространяется, но если запустить установку Яндекс.Браузера от имени обычного пользователя, то мы увидим вот такую ошибку:

Политики ограниченного использования программ
Помогите решить проблему. Создал виртуальную машину win server 2008 и в xp они в домене. Создал.

Политики ограниченного использования программ
Ребят, ситуация следующая, на работе один тип поставил политики ограничения, теперь ничего нельзя.

Политика ограниченного использования программ
Здравствуйте! Возник вопрос: как использовать данную политику только на некоторые глобальные.

Не применяются политики установки программ в XP SP3
Создаю в конфигурации пользователя политику по установки Chrome. После перезагрузки не установился.

sergantik, политику создаете через gpedit.msc или secpol.msc
1. Введите в командной строке secpol.msc
2. В открывшемся окне перейдите "Политика ограничения использования программ"
3. Создайте политику, если она не создана
4. В дополнительных правилах создаете правила для пути и выбираете для этих правил уровень безопасноти - Неограниченный
Я обычно добавляю эти зоны:
%windir%
%ProgramData%
%ProgramFiles%
%ProgramFiles(x86)% - Для 64-битных систем
5. В назначенных типах файлов удаляете LNK
6. В "Уровнях безопасности", ставите - Запрещено

Maks, я сделал так, но здесь очевидная дыра в безопасноти проявляется.Да, кроме рабочего стола, папки windows и папки program files запустить приложение нигде нельзя.Но если тупо скопировать ярлык или сам дистрибутив на рабочий стол, он запускается и устанавливается в систему.Необходимо полный запрет на установку любых приложений и ярлыков на эти приложения с любого места.
Спасибо

Добавлено через 5 минут
для учётной записи с обычными правами

Добавлено через 1 минуту
чтобы пользователь не мог установить ничего, и запустить с флешки и иных директорий кроме как с системных папок.И в эти системные папки ничего скопировать.В седьмой винде это прекрасно реализовывалось с помощью applocker

В этой статье рассмотрим механизм AppLocker, который позволяет блокировать запуск определенных приложений для некоторых групп пользователей.

Теория

Механизм AppLocker впервые появился в Windows 8.1 и Windows Server 2012 и позволил:

  • блокировать запуск приложений;
  • работать в режиме аудита, при этом приложения будут запускаться но в журнале будут появляться записи.

AppLocker позволяет блокировать запуск следующих типов файлов:

AppLocker предоставляет простой GUI-механизм на основе правил для определения того, каким приложениям разрешено запускаться конкретными пользователями и группами. Эта технология использует два типа правил:

  • разрешить запуск конкретных файлов, запретив всё остальное;
  • запретить запуск конкретных файлов, разрешив всё остальное.

У каждого правила может быть список исключений. Например можно создать правило «Разрешить запускать всё в каталогах C:\Windows и C:\ProgramFiles, за исключением Regedit.exe».

AppLocker может идентифицировать приложения по:

  • сертификату приложения. Например разрешить запускаться только программам подписанным определенным сертификатом;
  • пути к каталогу с приложениями. Например разрешить запускаться только из определенного каталога;
  • хешу файла. Интересный вариант, так как если приложение будет изменено, например вирусом, то хеш его изменится и оно не запустится. Но если приложение изменится в ходе обновления, то оно тоже не запустится.

Практика

На локальном компьютере правила AppLocker могут быть определены с помощью «Локальной политики безопасности (secpol.msc)». А в домене правила можно распространять групповой политикой безопасности.

Локальная политика безопасности / AppLocker

Если нажать “Настроить применения правил“, то можно выбрать к каким типам файлов применять правила. А также нужно будет указать: применять правила или вести аудит:

Внутреннее устройство Windows. AppLocker, изображение №2

Если нажать на какой-нибудь типе файлов, то вы перейдете в раздел, где сможете создать правила для этого типа файлов:

Внутреннее устройство Windows. AppLocker, изображение №3

Давайте создадим правила “по умолчанию” и посмотрим на них:

Внутреннее устройство Windows. AppLocker, изображение №4

Появились три правила, которые разрешают:

  • всем пользователям запускать приложения из Programm Files;
  • всем пользователям запускать приложения из Windows;
  • только администраторам запускать приложения из любых мест.

Точно также можно добавлять правила и для других типов файлов.

Правила для DLL-библиотек

Включить коллекцию DLL-правил можно перейдя на вкладку «Дополнительно». Установите флажок “Включить коллекцию правил DLL” и нажмите кнопку ОК:

Внутреннее устройство Windows. AppLocker, изображение №5

Условия работы AppLocker

Для работы AppLocker нужна работающая служба «Удостоверения приложений (AppIDSvc)»:

Windows Applocker был представлен в Windows 7 и включает некоторые новые функции в Windows 8/10. С помощью AppLocker администратор может заблокировать или разрешить определенным пользователям или группам пользователей устанавливать или использовать определенные приложения. Вы можете использовать правила черного или белого списков для достижения этого результата. AppLocker помогает администраторам контролировать, какие приложения и файлы могут запускать пользователи. К ним относятся исполняемые файлы, сценарии, файлы установщика Windows, библиотеки DLL, упакованные приложения и установщики упакованных приложений.

В Windows 8 и Windows 10 Applocker развился и позволяет блокировать как устаревшие, так и приложения Магазина Windows.

AppLocker в Windows

Чтобы пользователи не могли устанавливать или запускать приложения Магазина Windows с помощью AppLocker в Windows , введите secpol.msc в Выполнить и нажмите Enter, чтобы открыть локальную защиту. Редактор политики.


В дереве консоли выберите «Параметры безопасности»> «Политики управления приложениями»> «AppLocker». Выберите, где вы хотите создать правило. Это может быть исполняемый файл, установщик Windows, сценарии или, в случае Windows 8, упакованное приложение Магазина Windows.

Допустим, вы хотите создать правило для упакованных приложений. Щелкните правой кнопкой мыши на упакованных приложениях и выберите «Создать правило». Вы увидите страницу Перед началом работы .


Нажмите Далее, чтобы перейти на страницу разрешений .


На этой странице выберите действие, а именно. Разрешить или Запретить и пользователя или группы пользователей вы хотите применить правило. Нажмите Далее, чтобы перейти на страницу условий .



Здесь вы можете найти и выбрать Ссылка для упакованного приложения и установить Область для правила.

Настройки для Scope:

  1. Относится к любому издателю
  2. Относится к конкретному издателю
  3. Применяется к имени пакета
  4. Применяется к версии пакета
  5. Применение пользовательских значений к правилу

Параметры для справки:

  1. Использовать установленное упакованное приложение в качестве ссылки
  2. Использовать установщик упакованного приложения в качестве ссылки

Сделав свой выбор, нажмите кнопку Далее еще раз.

При желании на странице Исключения вы можете указать условия, когда следует исключать правила, а на странице Имя и описание вы можете принять автоматически сгенерированное имя или тип правила. новое имя правила и нажмите кнопку «Создать». Вы можете прочитать больше о создании правил для упакованных приложений Магазина Windows здесь на Technet.

Обратите внимание, что для того, чтобы AppLocker работал в вашей системе, на вашем компьютере должна быть запущена Служба идентификации приложений . Кроме того, Служба клиента групповой политики , gpsvc, необходимая для запуска AppLOcker, по умолчанию отключена в Windows RT, поэтому вам, возможно, придется включить ее через services.msc.

Разница между appLocker в Windows 8/10 и Windows 7

AppLocker в Windows 8 позволяет также создавать правила для упакованных приложений Магазина Windows. Более того, правила Windows 10/8 AppLocker также могут дополнительно управлять форматами файлов .mst и .appx.

Это приложение было заблокировано вашим системным администратором


Для создания и применения правил AppLocker компьютер должен работать под управлением Windows 10/Windows 8 Enterprise, Windows 7 Ultimate, Windows 7 Enterprise, Windows Server 2008 R2 или Windows Server 2012.

Читайте также:

      
  • Как подключить сбп в альфа банке в мобильном приложении
    •   
  • Приложение где можно читать истории
    •   
  • Как заблокировать whatsapp web
    •   
  • Тормозит приложение камера на андроид
    •   
  • Сбербанк воскресенская 99 режим работы телефон
  • Контакты
  • Политика конфиденциальности