Как изменить политику безопасности приложения

Как Google Play Защита проверяет безопасность приложений и устройств:

• Предварительно проверяет все приложения перед тем, как скачать их из Google Play.
• Сканирует ваше устройство на наличие потенциально опасных приложений из сторонних источников (вредоносного ПО).
• Предупреждает вас о потенциально опасных приложениях.
• Может останавливать опасные приложения и удалять их с устройства.
• сообщает вам о приложениях, которые скрывают или искажают важную информацию, тем самым нарушая Правила в отношении нежелательного ПО;
• Отправляет вам оповещения о нарушении конфиденциальности, если приложения получают доступ к вашим персональным данным с разрешения пользователя и тем самым нарушают правила для разработчиков.
• Может сбрасывать разрешения для приложений, чтобы обеспечить безопасность на некоторых версиях Android.

Подтвердите статус сертификации устройства

1. Откройте приложение Google Play .
2. В правом верхнем углу экрана нажмите на значок профиля.
3. Выберите Настройки.
4. Статус сертификации устройства в Play Защите будет указан в разделе «Сведения».

Как включить или отключить Google Play Защиту

Важно! Google Play Защита включена по умолчанию. Ее можно отключить, но в целях безопасности мы не рекомендуем этого делать.

Как отправлять информацию о неизвестных приложениях в Google

При установке приложений из неизвестных источников Google Play Защита может просить вас отправлять такие приложения в Google. Включив функцию «Помочь улучшить защиту», вы позволите ей отправлять их автоматически.

Информация для разработчиков

Если вы разработчик, вас могут просить отправлять каждую новую версию вашего приложения в Google. Если Google Play Защита определяет ваше приложение как опасное:

Как работает Google Play Защита

Google Play Защита проверяет приложения во время установки, а также периодически сканирует ваше устройство. Если будет обнаружено потенциально опасное приложение, Play Защита:

• Отправит вам уведомление. Чтобы защитить свое устройство, нажмите на уведомление и выберите Удалить.
• Заблокирует приложение, если вы его не удалите.
• Удалит приложение. Чаще всего опасные приложения удаляются автоматически, после чего появляется соответствующее уведомление.

Защита от вредоносного ПО

Чтобы защитить вас от вредоносного стороннего ПО, мошеннических сайтов и других угроз, Google может получать сведения о:

• сетевых подключениях вашего устройства; 
• потенциально опасных URL; 
• приложениях из Google Play и сторонних источников, установленных на вашем устройстве, а также об операционной системе.

Если приложение или URL покажется нам подозрительным, вы получите предупреждение. Мы оставляем за собой право блокировать и удалять приложения или URL, которые могут нанести вред устройству, данным или пользователю.

Вы можете отключить некоторые функции защиты в настройках устройства, но Google будет по-прежнему получать сведения о приложениях, установленных через Google Play. Приложения из сторонних источников все равно будут проверяться, хотя информация о них не будет отправляться в Google.

Как Google сбрасывает разрешения для неиспользуемых приложений

Чтобы обеспечить конфиденциальность ваших данных, Google Play Защита может сбрасывать разрешения для приложений, которые вы редко используете. Эта функция помогает защитить устройства с версиями Android 6.0–10.

Google может сбрасывать разрешения для приложений, которые вы не использовали в течение трех месяцев. В этом случае вы можете получить уведомление от Play Защиты. Разрешения для приложений, необходимых для корректной работы устройства, не сбрасываются автоматически.

Как настроить сброс разрешений для приложений

1. Откройте приложение Google Play на телефоне или планшете Android.
2. В правом верхнем углу экрана нажмите на значок профиля.
3. Выберите Play Защита Настройки .
4. Нажмите Разрешения для неиспользуемых приложений.

Чтобы запретить Play Защите автоматически сбрасывать разрешения, сделайте следующее:

1. Выберите приложение из списка.
2. Отключите функцию Отзывать разрешения, если приложение не используется.

Вот как настроить эту функцию для отдельного приложения:

1. Выберите приложение Разрешения.
2. Включите или отключите функцию Отзывать разрешения, если приложение не используется.

После отзыва разрешений Play Защита не предоставляет их выбранным приложениям снова, но при этом не сбрасывает разрешения для других приложений.

Как работают оповещения о нарушениях конфиденциальности

Если мы удалим из Google Play приложение, которое может получить доступ к вашим персональным данным, вы получите уведомление об этом и сможете удалить приложение с устройства.

Эта информация оказалась полезной?

Как можно улучшить эту статью?

Содержание

• Варианты настройки политики безопасности
  • Способ 1: Применение инструмента «Локальная политика безопасности»
  • Способ 2: Использование инструмента «Редактор локальной групповой политики»
• Вопросы и ответы

Политика безопасности представляет собой набор параметров для регулирования безопасности ПК, путем их применения к конкретному объекту или к группе объектов одного класса. Большинство пользователей редко производят изменения данных настроек, но бывают ситуации, когда это нужно сделать. Давайте разберемся, как выполнить данные действия на компьютерах с Виндовс 7.

Варианты настройки политики безопасности

Прежде всего, нужно отметить, что по умолчанию политика безопасности настроена оптимально для выполнения повседневных задач рядового юзера. Производить манипуляции в ней нужно только в случае возникновения необходимости решить конкретный вопрос, требующий корректировки данных параметров.

Изучаемые нами настройки безопасности регулируются с помощью GPO. В Виндовс 7 сделать это можно, используя инструменты «Локальная политика безопасности» либо «Редактор локальных групповых политик». Обязательным условием является вход в профиль системы с полномочиями администратора. Далее мы рассмотрим оба этих варианта действий.

Способ 1: Применение инструмента «Локальная политика безопасности»

Прежде всего, изучим, как решить поставленную задачу с помощью инструмента «Локальная политика безопасности».

1. Чтобы запустить указанную оснастку, щелкните «Пуск» и перейдите в «Панель управления».



2. Далее откройте раздел «Система и безопасности».



3. Щелкните «Администрирование».



4. Из предложенного набора системных инструментов выберите вариант «Локальная политика безопасности».
   

   Также оснастку можно запустить и через окно «Выполнить». Для этого наберите Win+R и введите следующую команду:

   secpol.msc

   Затем щелкните «OK».



5. Указанные выше действия приведут к запуску графического интерфейса искомого инструмента. В подавляющем большинстве случаев возникает необходимость откорректировать параметры в папке «Локальные политики». Тогда нужно щелкнуть по элементу с этим наименованием.



6. В данном каталоге располагается три папки.

   В директории «Назначение прав пользователя» определяются полномочия отдельных пользователей или групп юзеров. Например, можно указать, запрет или разрешение для отдельных лиц или категорий пользователей на выполнение конкретных задач; определить, кому разрешен локальный доступ к ПК, а кому только по сети и т.д.

   В каталоге «Политика аудита» указываются события, предназначенные для записи в журнале безопасности.

   

   В папке «Параметры безопасности» указываются разнообразные административные настройки, которые определяют поведение ОС при входе в неё как локально, так и через сеть, а также взаимодействие с различными устройствами. Без особой необходимости данные параметры изменять не стоит, так как большинство соответствующих задач можно решить через стандартную настройку учетных записей, родительский контроль и разрешения NTFS.

   

   Читайте также: Родительский контроль в Windows 7

7. Для дальнейших действий по решаемой нами задаче щелкните по наименованию одного из указанных выше каталогов.



8. Откроется перечень политик выбранного каталога. Кликните по той из них, которую желаете изменить.



9. После этого откроется окошко редактирования политики. Его вид и действия, которые необходимо произвести, существенно отличаются от того, к какой именно категории она принадлежит. Например, для объектов из папки «Назначение прав пользователя» в открывшемся окне необходимо добавить или удалить имя конкретного пользователя либо группы юзеров. Добавление производится путем нажатия кнопки «Добавить пользователя или группу…».
   

   Если же необходимо произвести удаление элемента из выбранной политики, то выделите его и нажмите «Удалить».



10. После завершения манипуляций в окне редактирования политики для сохранения внесенных корректировок не забудьте нажать кнопки «Применить» и «OK», а иначе изменения не вступят в силу.

Мы описали изменение настроек безопасности на примере действий в папке «Локальные политики», но по такой же аналогии можно производить действия и в других каталогах оснастки, например в директории «Политики учетных записей».

Способ 2: Использование инструмента «Редактор локальной групповой политики»

Настроить локальную политику можно также при помощи оснастки «Редактор локальной групповой политики». Правда, данный вариант доступен не во всех редакциях Windows 7, а только в Ultimate, Professional и Enterprise.

1. В отличие от предыдущей оснастки, данный инструмент нельзя запустить через «Панель управления». Его можно активировать только путем введения команды в окно «Выполнить» или в «Командную строку». Наберите Win+R и введите в поле такое выражение:

   gpedit.msc

   Затем щелкните «OK».

   

   Читайте также: Как исправить ошибку «gpedit.msc не найден» в Windows 7

2. Откроется интерфейс оснастки. Перейдите в раздел «Конфигурация компьютера».



3. Далее щелкните по папке «Конфигурация Windows».



4. Теперь щелкните по элементу «Параметры безопасности».



5. Откроется директория с уже знакомыми нам по предыдущему методу папками: «Политики учетных записей», «Локальные политики» и т.д. Все дальнейшие действия проводятся по точно такому же алгоритму, который указан при описании Способа 1, начиная с пункта 5. Единственное отличие состоит в том, что манипуляции будут выполняться в оболочке другого инструмента.
   

   Урок: Групповые политики в Windows 7

Настроить локальную политику в Виндовс 7 можно путем использования одной из двух системных оснасток. Порядок действий в них довольно схожий, отличие заключается в алгоритме доступа к открытию данных инструментов. Но изменять указанные настройки рекомендуем только тогда, когда вы полностью уверены, что это нужно сделать для выполнения определенной задачи. Если же таковой нет, эти параметры лучше не корректировать, так как они отрегулированы на оптимальный вариант повседневного использования.

Еще статьи по данной теме:

Помогла ли Вам статья?

Содержание

• — Как отключить Knox Manage?
• — Как включить права администратора на андроид?
• — Как снять права администратора на Андроиде?
• — Как обнулить счётчик Knox?
• — Как снять права администратора с программы?
• — Как удалить приложение из папки Knox?
• — Можно ли отключить рут права?
• — Для чего нужна программа Knox?
• — Как настроить автозапуск приложений на Андроид?
• — Как получить полные права администратора?
• — Как включить Android System WebView?
• — Как удалить Family Link без администратора?
• — Как удалить администратора Family Link?
• — Что такое права администратора?

Как отключить Knox Manage?

Способ №1: Для пользователей без root-прав

1. Найдите в списке приложений утилиту KNOX и запустите ее.
2. Нажмите кнопку вызова меню и выберите пункт “Настройки KNOX”
3. Выберите пункт “Удалить KNOX”

Как включить права администратора на андроид?

Как включить права администратора

Чтобы включить права администратора, надо проделать ту же самую операцию. Открываем настройки телефона и переходим последовательно в ”Безопасность” — ”Дополнительные настройки” — ”Администраторы устройства”. Перед вами будут приложения, которым могут понадобится права администратора.

Как снять права администратора на Андроиде?

Перейдите в раздел НАСТРОЙКИ-> Местоположение и безопасность-> Администратор устройства и отмените выбор администратора, который вы хотите удалить. Теперь удалите приложение.

Как обнулить счётчик Knox?

О: Для проверки счётчика KNOX выключаем устройство, нажимаем и удерживаем кнопки «Громкость -«, «Домой» и «Питание», после появления экрана с предупреждениями нажимаем кнопку «Громкость вверх» и смотрим в строку «KNOX WARRANTY VOID:».

Как снять права администратора с программы?

Перейдите к папке «Пользователи», расположенной слева. Дважды щёлкните по учётной записи «Администратор», чтобы открыть её свойства. Находясь на вкладке «Общие», снимите птичку с пункта «Отключить учётную запись», а затем подтвердите внесённые изменения. Готово.

Как удалить приложение из папки Knox?

Удаление и отключение приложений

1. Зайдите в Настройки — Приложения.
2. Выберите приложение, которое нужно убрать из меню и нажмите по нему.
3. Если для приложения доступна кнопку «Удалить», используйте её. Если есть только «Выключить» (Отключить) — воспользуйтесь этой кнопкой.

Можно ли отключить рут права?

Для того, чтобы полностью отключить root-доступ на своем устройстве, сначала надо запустить SuperSU, находящееся в журнале приложений. После того, как вы запустили приложение, перейдите на вкладку «Настройки» и прокрутите страницу вниз, пока не увидите раздел «Очистка» («Cleanup»).

Для чего нужна программа Knox?

Описание программы KNOX – это приложение, реализующее зашифрованное хранилище на Android-устройстве для защиты личной и корпоративной информации от попыток несанкционированного доступа. … В основе криптоалгоритма лежит 256-битное шифрование, которое минимизирует риск утечки информации.

Как настроить автозапуск приложений на Андроид?

Как включить автозапуск приложений на Android

1. Устанавливаем инструмент из Google Play стандартным образом.
2. Запускаем утилиту и в ней напротив пункта «Applications» жмём кнопку «ADD».
3. В развернувшемся списке выбираем приложение, которое нужно добавить в автозагрузку.
4. Если нужно добавить ещё софт, повторяем действие.

Как получить полные права администратора?

Зайдите в Параметры (клавиши Win+I) — Учетные записи — Семья и другие люди. В разделе «Другие люди» нажмите по учетной записи пользователя, которого требуется сделать администратором и нажмите кнопку «Изменить тип учетной записи». В следующем окне в поле «Тип учетной записи» выберите «Администратор» и нажмите «Ок».

Как включить Android System WebView?

Откройте «Настройки» и воспользуйтесь пунктами «Приложения и уведомления» – «Показать все приложения». Далее нажмите на три точки вверху справа и тапните «Показать системные процессы». Прокрутите перечень до позиции «Android System WebView» и тапните по ней. Нажмите на кнопку «Включить».

Как удалить Family Link без администратора?

Зайти в Настройки, затем в Информацию от аккаунте Выбрать пункт Отключить родительский контроль При необходимости введите пароль и следуйте подсказкам меню Подтвердите отключение

Как удалить администратора Family Link?

Примечание.

1. Откройте приложение Family Link. на устройстве Android ребенка.
2. В левом верхнем углу экрана нажмите на значок меню Удалить аккаунт Удалить аккаунт.
3. Выберите свой аккаунт и введите пароль.

Что такое права администратора?

Права администратора влияют на то, какие элементы панели управления отображаются в консоли у таких пользователей, к какой информации они имеют доступ и какие задачи могут выполнять. Администраторы также могут выполнять действия, соответствующие полученным правам, в Admin API.

Интересные материалы:

Как пользоваться сканером qr кодов для андроид?
Как пользоваться сканером штрих кодов для андроид?
Как пользоваться ванишем для ковров?
Как пользоваться ванишем для цветного белья?
Как поменять язык в инстаграме если он не меняется?
Как поменять ОКВЭД для ИП?
Как поменять пароль для входа в систему?
Как помыть окна снаружи если не достаешь?
Как помыть окно снаружи если не достать?
Как понять что такое карма?

Одной из отличительных особенностей Active Directory по праву считают механизм групповых политик, обеспечивающий эффективное и централизованное управление многочисленными параметрами операционных систем и приложений. Применение групповых политик позволяет администраторам определять правила, в соответствии с которыми настраиваются параметры рабочей среды как для пользователей, так и для компьютеров. Это позволяет достаточно просто и эффективно поддерживать вычислительную среду предприятия в рабочем состоянии.

Безусловно, к числу важнейших задач администрирования можно отнести обеспечение безопасности системы в целом. Не последнюю роль в этом играет процесс контроля программ, выполняемых на компьютерах домена. Наиболее яркий пример необходимости в нем – создание рабочей среды, исключающей возможность запуска вредоносного программного обеспечения. Впрочем, существуют и другие причины, по которым может возникнуть необходимость создания и применения правил, позволяющих или запрещающих исполнение различных программ. Ну, вот, допустим, босса раздражают скучающие сотрудники, раскладывающие пасьянс. Или новая версия используемого ПО вызывает конфликты с другими приложениями.

Решение таких задач с использованием политик ограниченного использования программ предоставляет администратору способ идентификации программ, выполняемых на компьютере домена и создание правил, устанавливающих возможность их выполнения. Использование таких политик возможно на операционных системах Windows Vista, Windows Server 2003 и Windows XP.

Как работает применение групповой политики

Вкратце, собственно сам механизм применения групповой политики выглядит следующим образом. Вначале администратор создает объект групповой политики (GPO), содержащий определенный набор параметров рабочей среды. Этот объект может содержать настройки, применяемые как компьютеру, так и к пользователю. Далее, с помощью связывания (или привязки, linking) этот объект ассоциируется с одним или несколькими элементами дерева Active Directory. При загрузке компьютера, входящего в домен, выполняется запрос списков групповой политики у контроллера домена. Контроллер пересылает необходимые списки в том порядке, в котором они должны применяться на компьютере. Когда пользователь осуществляет вход в систему, выполняется еще один запрос о необходимых объектах групповой политики, которые затем применяются к пользователю, выполнившему вход в систему.

Применение политик ограничения запуска программ

В общем рассмотрении механизм работы политик ограничения запуска программ достаточно прост. Для начала они активируются при создании нового объекта групповой политики или редактировании существующего. Затем выбирается уровень необходимой безопасности. Уровень безопасности – это базовая модель контроля за исполнением программ, или, другими словами – правило по умолчанию. Взглянув на рисунок, вы все поймете:

Затем настраиваются параметры политики – к каким типам файлов будет применяться политика, будет ли она распространяться на локальных администраторов компьютеров, кто сможет определять, что подписанному содержимому можно доверять. После этого создаются сами правила, запрещающие или разрешающие выполнение программ, идентифицированных правилом. Как видим, весь этот механизм очень похож на настройку файервола. Рассмотрим его подробнее.

Активирование политики ограниченного использования программ

Создайте объект групповой политики или откройте в редакторе существующий. Откройте ветвь Конфигурация компьютера или Конфигурация пользователя (в зависимости от того, к чему необходимо будет применить политику). Найдите и выберите раздел Конфигурация Windows – Параметры безопасности – Политики ограниченного использования программ.

Если политики еще не были определены, в окне редактора вы увидите предупреждение, что в случае их назначения новые правила перекроют параметры политик, унаследованных от других объектов GPO. Поскольку именно это мы и собираемся сделать, выбираем в меню Действие команду Создать политики ограниченного использования программ.

Переходим в раздел Уровни безопасности. Действующий уровень отмечен иконкой с галочкой. По умолчанию им является уровень Неограниченный.

Этот уровень разрешает запуск любых программ, кроме явно запрещенных правилами. Особого смысла в использовании такого уровня безопасности нет, кроме случаев, когда необходимо запретить использование небольшого количества программ, не представляющих явную угрозу безопасности для вычислительной системы (как раз для примера с пасьянсом). Для обеспечения действенного запрета на использование нежелательных программ необходимо использовать уровень безопасности Не разрешено. Для изменения уровня необходимо сделать двойной щелчок мышью на нужном параметре и в открывшемся окне нажать кнопку По умолчанию, или, щелкнув правой кнопкой мыши выбрать в контекстном меню команду По умолчанию.

Общие параметры настроек политики

В узле Политики ограниченного использования программ расположены общие параметры настроек, определяющих применение политик.

Принудительное использование

Первый параметр определяет, следует ли проверять библиотеки DLL, и возможность применения ограничений, накладываемых политикой на локальных администраторов компьютеров. DLL – это библиотеки динамической компоновки, которые являются частью некоторых исполняемых программ. По умолчанию, проверка DLL отключена.

Без особой нужды нет необходимости переключать этот параметр в положение проверки всех файлов программ. Причин для этого несколько. Во-первых, при большом количестве исполняемых файлов и «прицепленных» к ним библиотек (а в Windows их предостаточно) резко снижается производительность системы — параметры политики будут просматриваться при каждом вызове программой библиотеки DLL. Во-вторых, если исполнение файла будет запрещено политикой, то не возникнет и необходимости проверки сопутствующих библиотек.

Второй параметр позволяет исключить локальных администраторов компьютеров из списка пользователей, к которым будет применяться политика. Он используется только для политик компьютера. Включается, если необходимо позволить локальным администраторам запускать любые приложения. Более предпочтительный способ предоставить эту возможность – либо временное перемещение учетной записи компьютера в организационную единицу, на которую не распространяются данные политики, либо убрать разрешение Применение групповой политики в свойствах группы GPO, в состав которой входят администраторы.

Типы файлов

Здесь перечисляются все типы файлов, ассоциированные с их расширением, которые политика будет идентифицировать как исполняемый код.

Список редактируемый – вы можете исключать из него перечисленные типы, а также добавлять новые.

Доверенные издатели

Эта группа параметров позволяет настраивать реагирование политики на элементы управления ActiveX® и другое подписанное содержимое.

Здесь можно указать, кто будет принимать решение о доверии подписанному содержимому (лучше оставить это право администраторам предприятия), а также задать параметры проверки сертификатов – проверить, не отозван ли сертификат, и удостовериться, что он не просрочен.

Создание правил политики

Правило политики ограниченного использования программ – это и есть тот механизм, с помощью которого программа «опознается». Правило определяет, разрешить или запретить выполнение программы, соответствующей указанным в нем условиям. Для сопоставления программы и условия можно использовать четыре параметра исполняемого файла — или, другими словами, применять один из четырех типов правил:

• Зона
• Путь
• Сертификат
• Хеш

Для создания нового правила необходимо перейти в раздел Дополнительные правила, щелкнув по нему мышью в списке объектов редактора групповой политики, и затем выбрав в меню Действие (или в меню, открываемом правым щелчком мыши) необходимый тип правила.

Правило зоны

Дабы избежать некоторой двусмысленности, сразу оговоримся, что речь пойдет о зонах, используемых Internet Explorer, а не учреждениях пенитенциарной системы. Этот тип правила позволяет задать зону Интернета и установить для нее правило – разрешить запуск или запретить его.

Главный минус, делающий его практически бесполезным – применяется только к файлам пакетов установщика Windows (Windows Installer, расширение *.msi).

Правило пути

Идентифицирует исполняемое приложение по его местоположению. Может содержать имя каталога или полный путь к исполняемой программе. Используется как локальный путь, так и универсальный путь в формате UNC. Допустимо применение переменных среды и подстановочных знаков «?» для любого единичного символа и «*» для любого количества символов.

Путь можно ввести вручную в соответствующее поле или воспользоваться кнопкой Обзор.

Кроме указания самих путей в явном виде, допускается указание пути в реестре. Такая возможность полезна в том случае, когда у пользователя существует возможность установить приложение в неопределенное заранее место файловой системы компьютера, а программа хранит пути к своим рабочим каталогам в реестре. Правило будет просматривать соответствующую ветвь реестра, и при его совпадении будет производиться заданное в правиле действие – разрешение или запрет на запуск. Путь в реестре должен быть заключен между знаками «%». Он может содержать в окончании пути подстановочные знаки и использовать переменные среды. Не допускается использовать сокращения HKLM и HKCU (должен использоваться полный формат в виде HKEY_LOCAL_MACHINE), путь не должен заканчиваться символом «» непосредственно перед закрывающим знаком «%» в правиле. Параметр реестра может быть типа REG_SZ или REG_EXPAND_SZ. По умолчанию, при активировании политик ограниченного использования программ создается четыре разрешающих правила пути в реестре.

Они позволяют выполнить гарантированный запуск необходимых для работы ОС программ и служб, и при необходимости могут быть отредактированы. Если программа соответствует сразу нескольким определенным правилам пути, высший приоритет будет иметь то из них, которое наиболее точно описывает данную программу.

Очень удобное для использования правило пути имеет один существенный недостаток, значительно ограничивающий его применение. Поскольку оценка программы производится только по ее местоположению, придется постоянно учитывать права доступа пользователя к файловой системе. Если учетная запись пользователя позволяет копировать и переименовывать файлы, он с легкостью может обойти это правило, просто переименовав приложение, а затем переместив его в нужное место файловой системы.

Правило сертификата

Устанавливаются для файлов, имеющих цифровую подпись издателя. Для создания правила нажмите кнопку Обзор и укажите необходимый сертификат.

Способ идентификации программ с помощью сертификатов достаточно надежен, но и у него существуют минусы. Во-первых, он требует применения центров сертификации. Во-вторых, невозможно установить разные значения правил для программ одного издателя. Например, тот же пасьянс из стандартных игр Windows таким правилом запретить не получится, поскольку оно запретит и запуск ключевых компонентов всей операционной системы.

Правило хеша

Пожалуй, самое «полезное» правило. Для идентификации файла используется его хеш. Хеш – это цифровой «отпечаток» файла, получаемый преобразованием его содержимого в битовую строку фиксированной длины с помощью специальных криптографических функций. Замечательное свойство такого преобразования заключается в том, что хеш однозначно идентифицирует любой файл, независимо от его названия и месторасположения. Любое, самое незначительное изменение кода файла приводит к изменению его хеша. И наоборот, два абсолютно идентичных файла имеют одинаковый хеш.

Для вычисления хеша файла укажите путь к нему, нажав кнопку Обзор. Если файл расположен на другом компьютере, необходимо обеспечить к нему доступ с той машины, где настраивается политика. Вы можете, например, подключить как сетевой диск стандартный общий ресурс вида \COMP_NAMEC$. После расчета хеша в поле Хешируемый файл появятся его значение, длина файла и код алгоритма хеширования, разделенные двоеточием.

Идентификация файла по его хешу является наиболее предпочтительной, позволяя однозначно определять файл. Его недостаток – это большой первоначальный объем работы, который необходимо проделать при создании нового набора правил. Этот тип правил используется по принципу – «один файл, одно правило». Более того, различные версии одной программы имеют различное значение хеша. При достаточно большом объеме разрешенных для исполнения программ эта задача может в чем-то напоминать перепись населения. Впрочем, об упрощении процесса сбора информации о запускаемых программах мы расскажем чуть ниже.

Область действия политик ограниченного использования программ и приоритет правил

Действие политик ограниченного использования программ не распространяется на:

• Программы, запущенные от имени учетной записи SYSTEM
• Драйверы и другие приложения уровня ядра
• Макросы внутри документов Microsoft Office
• Программы, написанные для общей многоязыковой библиотеки времени выполнения (Common Language Runtime) – эти программы используют политику безопасности доступа кода (Code Access Security Policy)

Приоритет применения правил выглядит так (по мере убывания приоритета):

• Правило для хеша
• Правило для сертификата
• Правило для пути
• Правило для зоны Интернета
• Правило по умолчанию

Планирование создания правил политики

Планируя применение политик ограниченного использования программ, всегда полезно и настоятельно рекомендуется предварительно провести их «обкатку» в тестовой среде. Ввиду сложности структуры на первоначальном этапе возможны ошибки, которые, конечно, лучше исправлять не на рабочей системе. В случае «срабатывания» правила политики в локальный журнал компьютера заносится событие. Код содержит тип правила, его вызвавшего (865 — уровень безопасности по умолчанию, 866 — правило для пути, 867 — правило для сертификата, 868 — правило для зоны Интернета или правило для хеша).

При создании политики, имеющей уровень безопасности Не разрешено, необходимо будет определить, какой код может быть разрешен для запуска пользователем. Как отмечалось выше, эта задача может быть достаточно трудоемкой. Для облегчения процесса инвентаризации программ можно задействовать их отслеживание с помощью расширенного ведения журнала. Этот способ достаточно прост и эффективен.

На тестовом компьютере активируется политика ограничения программ, и в качестве уровня безопасности устанавливается параметр Неограниченный. Все дополнительные правила из политики удаляются. Суть в том, что, несмотря на отсутствие ограничений, при активировании политики можно включить функцию расширенного ведения журнала, в который будет заноситься информация о запущенных программах. Выполнив на тестовом компьютере запуск минимально необходимого пользователю набора программ, а затем, проанализировав этого журнал, можно разработать все необходимые правила для политики.

Для включения режима расширенного ведения журнала на тестовом компьютере создайте параметр реестра в ветви HKLMSOFTWAREPoliciesMicrosoftWindowsSaferCodeIdentifiers с именем LogFileName. Его значение должно содержать путь к каталогу, где будет расположен файл журнала. Содержимое журнала выглядит следующим образом:
winlogon.exe (PID = 452) identified C:WINDOWSsystem32userinit.exe as Unrestricted using path rule, Guid = {191cd7fa-f240-4a17-8986-94d480a6c8ca}

Эта запись «переводится» так: родительский процесс winlogon.exe, имеющий значение идентификатора (PID) 452, выполнил запуск C:Windowssystem32userinit.exe; правило, вызвавшее «срабатывание» — правило для пути с уровнем безопасности Неограниченный (Unrestricted), имеет код GUID {191cd7fa-f240-4a17-8986-94d480a6c8ca}. Каждое правило имеет свой идентификатор GUID. После того, как политика ограниченного использования программ применена, ее конфигурация хранится в системном реестре. Список контроля доступа, защищающий разделы реестра, позволяет только администраторам и учетной записи SYSTEM изменять ее. Политика пользователя хранится в разделе HKCUSoftwarePoliciesMicrosoftWindows, политика компьютера хранится в разделе HKLMSOFTWAREPoliciesMicrosoftWindows.

В случае каких-либо ошибок можно найти правило по его коду GUID и выяснить причину ошибки. По окончании отладки всех правил, на рабочей системе ведение журнала желательно прекратить, удалив параметр LogFileName из реестра для уменьшения использования дискового пространства и снижения быстродействия системы. В случае, если политика содержит параметры только для компьютера или пользователя, для ускорения обработки политики следует отключить неиспользуемые компоненты GPO.

Также для определения тех программ, которым потребуется создать разрешающие правила, можно воспользоваться утилитой msinfo32.exe. Для этого запустите все необходимые приложения, после этого нажмите кнопку Пуск, выберите Выполнить и введите команду msinfo32.exe. В окне программы msinfo32 разверните узел Программная среда и выберите Выполняемые задачи.

Небольшие примеры использования

Покажем все вышеизложенное на небольшом примере в тестовой среде. Создадим OU (пусть это будет Test Unit), поместим в него учетные записи компьютера и пользователя.

Для управления групповой политикой будет использоваться консоль gpmc. Создаем GPO – правой кнопкой мыши щелкаем на Test Unit, выбираем команду Свойства, в открывшемся окне переходим на вкладку Group Policy. Открываем консоль gpmc, еще раз делаем правый щелчок на Test Unit, и выбираем в меню команду Создать и связать GPO здесь… (Create and Link a GPO Here). Указываем имя для создаваемой политики, нажимаем кнопку ОК. Выбираем созданную политику, щелкаем по ней правой кнопкой мыши и указываем команду Редактировать (Edit).

Откроется редактор объектов групповой политики. Сначала создадим политику, применяемую к компьютеру. Мы собираемся запретить всем пользователям на компьютерах группы Test Unit запуск любых программ, кроме Internet Explorer. Переходим в раздел Конфигурация компьютера – Конфигурация Windows – Параметры безопасности – Политики ограниченного использования программ. В меню Действие (или с помощью правой кнопки мыши) выбираем команду Новые политики. Переходим в раздел Уровни безопасности, включаем Не разрешено. Учитывая, что автоматически были созданы дополнительные правила, удаляем их. Для обеспечения входа пользователя в систему понадобится установить разрешения для некоторых программ. В моем случае (тестовая система с «чистой» установкой), необходимо, как минимум, разрешить запуск winlogon.exe, userinit.exe (для Vista это будут logonui.exe и userinit.exe) и explorer.exe из системной папки %windir%system32. В другой ситуации, возможно, потребуются дополнительные разрешения — например, может возникнуть необходимость обработки сценариев, расположенных на сервере при входе пользователя в систему. Создаем для них правила пути, параметры которых вы можете увидеть на рисунке:

Теперь создадим правило, разрешающее запуск Internet Explorer. Чтобы не дать возможности пользователю подмены файла и не зависеть от его расположения в файловой системе, будем использовать правило хеша. Подключаем на сервере, где мы производим настройку групповой политики диск C тестового компьютера. В редакторе объектов групповой политики в меню Действие выбираем команду Создать правило для хеша. Нажимаем кнопку Обзор, переходим в папку Program FilesInternet Explorer расположенную на тестовом компьютере и указываем файл IEXPLORE.EXE.

Чтобы потом не путаться, указываем в поле Описание название программы и ее версию. Отправляемся к тестируемому компьютеру проверять, что получилось. Для применения политик перезагружаем компьютер или выполняем на нем команду gpupdate /force. Пробуем запустить что-нибудь.

Отлично, запрет работает. Но самое забавное, что щелчок по ярлыку IE на рабочем столе его тоже не запускает (хотя прямой запуск из Проводника в рабочей папке IE сработает). Отменяем действие политики, чтобы посмотреть журнал ее применения (иначе Блокнот тоже не запустится). Наткнувшись на строчку вида
explorer.exe (PID = 372) identified C:Documents and SettingsадминистраторРабочий столЗапустить обозреватель Internet Explorer.lnk as Disallowed using default rule, Guid = {11015445-d282-4f86-96a2-9e485f593302}

вспоминаем, что ярлыки (то есть файлы с расширением .lnk) также расцениваются как исполняемый код. Поскольку у нас разрешен Проводник, нет особой нужды запрещать запуск ярлыков, тем более, что мы разрешаем запускать лишь определенные программы. Поэтому просто удалим тип LNK из списка назначенных типов файлов.

Напомним, что обновление параметров групповой политики происходит при загрузке компьютера, а обработка параметров, относящихся к пользователю – при его входе в систему. Принудительно обновить параметры групповой политики можно с помощью команды gpupdate /force. Утилита gpupdate.exe также является исполняемым кодом, и это следует учесть в период тестирования. Чтобы не перезагружать компьютер каждый раз после изменения параметров групповой политики для проверки работы правил, добавим gpupdate.exe в список разрешенных приложений. Разрешим еще запуск Блокнота и Калькулятора с помощью правил хеша. Все правила выглядят так:

В дополнение к ограничениям, можно заставить какую-либо программу из разрешенных к запуску автоматически стартовать при входе пользователя в систему. Для этого в разделе Административные шаблоны – Система – Вход в систему редактора политики выберите параметр Запускать указанные программы при входе в систему. Переведите переключатель в положение Включен, нажмите кнопку Показать. В открывшемся окне нажмите кнопку Добавить и укажите полный путь к программе (если она расположена в system32, достаточно указать только имя файла).

Компьютер теперь представляет собой подобие терминала, на котором любой пользователь (включая администраторов) может выполнить только те программы, для которых были созданы правила политики ограниченного использования программ. Даже выбрав в меню разрешенной программы команду Открыть и указав в диалоге исполняемый файл, который не указан в правилах, его запуск будет запрещен.

В следующем примере мы изменим настройки политики, применяя ее лишь к тем пользователям, которые входят в Test Unit. Для этого создаем одноименные параметры в ветви Параметры пользователя, а настройки из ветви Параметры компьютера удаляем. Если вы отключали обработку параметров пользователя для ускорения обработки политики, ее необходимо будет включить (наоборот, теперь, если параметры компьютера не используются, можно отключить их обработку). Перезагрузим компьютер, и попробуем войти с учетными записями пользователей, которые принадлежат OU Test Unit, и которые в него не входят. Ниже показан экран, который увидит пользователь с учетной записью, входящей в Test Unit.

А здесь — пользователь, не входящий в Test Unit, не будет попадать под действие политики ограниченного использования программ.

Заключение

Настоятельно рекомендуется не изменять базовую доменную политику безопасности, а создавать новые объекты групповой политики. Это позволит в случае каких-либо непредвиденных ситуаций редактировать вновь созданные GPO, не затрагивая параметры безопасности всего домена. Следует учесть, что политика ограниченного использования программ при входе в систему пользователя, являющегося локальным администратором, в безопасном режиме не обрабатывается. Это дает возможность исправить политику, вызывающую проблемы.

Применение политик возможно и на компьютерах с ОС Windows, не являющихся членами домена. Например, можно создать шаблон безопасности на основе политики, а затем, после его переноса на необходимый компьютер, применить этот шаблон к локальной политике безопасности. В этом случае следует убедиться, что политика позволит произвести запуск утилиты Secedit, с помощью которой можно будет в дальнейшем обновить политику или отменить изменения.

При планировании применения политики ограниченного использования программ приходится учитывать множество аспектов, в том числе не явных. Поэтому еще раз обращаем внимание на то, что их настройку лучше производить в тестовой среде. Это позволит убедиться, что политика обеспечивает запуск необходимых приложений (например, используемые антивирусные программы), и запрещает исполнение нежелательного ПО. Такое использование позволит значительно снизить риск выполнения на компьютере вредоносных программ и упростит его дальнейшее администрирование.

Диагностика политик ограниченного использования программ

Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

в этом разделе описываются распространенные проблемы и их решения при устранении неполадок политик ограниченного использования программ (SRP), начинающихся с Windows Server 2008 и Windows Vista.

Введение

Политики ограниченного использования программ — это основанная на групповых политиках функция, которая выявляет программы, работающие на компьютерах в домене, и управляет возможностью выполнения этих программ. Эти политики позволяют создать конфигурацию со строгими ограничениями для компьютеров, где разрешается запуск только определенных приложений. Политики интегрируются с доменными службами Active Directory и групповой политикой, но также могут настраиваться на изолированных компьютерах. Подробные сведения о политиках ограниченного использования программ см. в разделе Политики ограниченного использования программ.

Начиная с Windows Server 2008 R2 и Windows 7, вместо политики SRP или вместе с ней в рамках стратегии управления приложениями можно использовать Windows AppLocker.

Windows не удается открыть программу

пользователи получают сообщение «Windows не может открыть эту программу, так как она была предотвращена политикой ограниченного использования программ. Для получения дополнительных сведений откройте Просмотр событий или обратитесь к системному администратору». Или в командной строке появится сообщение «система не может выполнить указанную программу».

Причина: Был создан уровень безопасности по умолчанию (или правило), чтобы программа была настроена как запрещенная, и в результате она не будет запущена.

Решение: Подробное описание сообщения см. в журнале событий. В сообщении журнала событий указывается, что программное обеспечение задано как запрещенное и какое правило применяется к программе.

Измененные политики ограниченного использования программ не вступают в действие.

Причина: Политики ограниченного использования программ, указанные в домене с помощью групповая политика переопределяют все параметры политики, настроенные локально. Это может предположить, что существует параметр политики из домена, переопределяющий параметр политики.

Причина: Возможно, групповая политика не обновили параметры политики. Групповая политика периодически применяет изменения параметров политики; Поэтому, скорее всего, изменения политики, внесенные в каталог, еще не обновлены.

Решения

Компьютер, на котором вы изменяете политики ограниченного использования программ для сети, должен иметь возможность связаться с контроллером домена. Убедитесь, что компьютер может связаться с контроллером домена.

Обновите политику, выполнив выход из сети и снова войдя в сеть. Если какая-либо политика применяется через групповая политика, то при входе в систему будут обновлены эти политики.

Вы можете обновить параметры политики с помощью программы командной строки gpupdate или выйти из системы, а затем снова войти на компьютер. Для получения наилучших результатов запустите gpupdate, а затем выполните выход из системы и войдите снова на компьютер. Как правило, параметры безопасности обновляются каждые 90 минут на рабочей станции или сервере и каждые 5 минут на контроллере домена. Параметры также обновляются каждые 16 часов, вне зависимости от наличия изменений. Это настраиваемые параметры, поэтому интервалы обновления могут различаться в каждом домене.

Политики ограниченного использования программ, указанные в домене с помощью групповая политика переопределяют все политики, настроенные локально. Используйте программу командной строки Gpresult, чтобы определить, что именно влияет на политику. Это может предположить, что в домене есть политика, переопределяющая локальный параметр.

если параметры SRP и AppLocker находятся в одном объекте групповой политики, параметры AppLocker будут иметь приоритет в Windows 7, Windows Server 2008 R2 и более поздних версиях. Рекомендуется использовать параметры политики SRP и AppLocker в разных объектах групповой политики.

После добавления правила с помощью SRP вы не сможете войти на компьютер

Причина: Компьютер получает доступ ко многим программам и файлам при запуске. Возможно, вы случайно настроили одну из этих программ или файлов для запрещения. Так как компьютер не может получить доступ к программе или файлу, он не может запуститься должным образом.

Решение: запустите компьютер в режиме Сейф, войдите в систему как локальный администратор, а затем измените политики ограниченного использования программ, чтобы разрешить запуск программы или файла.

Новый параметр политики не применяется к конкретному расширению имени файла

Причина: Расширение имени файла отсутствует в списке поддерживаемых типов файлов.

Решение: Добавьте расширение имени файла в список типов файлов, поддерживаемых SRP.

Политики ограниченного использования программ устраняют проблему регулирования неизвестного или ненадежного кода. Политики ограниченного использования программ — это параметры безопасности для обнаружения программного обеспечения и управления его возможностью запуска на локальном компьютере, на сайте, в домене или подразделении и могут быть реализованы через объект групповой политики.

Правило по умолчанию не ограничиваются ожидаемым

Причина: Правила, применяемые в определенном порядке, что может привести к переопределению правил по умолчанию определенными правилами. SRP применяет правила в следующем порядке (наиболее конкретно для общего):

Правила для сертификатов

Правила зоны Интернета

Правила по умолчанию

Решение: Оцените правила, которые ограничивают приложение, и при необходимости удалите все, кроме правила по умолчанию.

Не удалось определить, какие ограничения применяются

Причина: Не существует очевидной причины непредвиденного поведения, и обновление объекта групповой политики не устранило проблему, поэтому необходимо выполнить дальнейшее исследование.

Решения

Проверьте журнал системных событий и выполните фильтрацию по источнику «политика ограниченного использования программ». В записях явно указывается, какое правило реализуется для каждого приложения.

Источник

Использование политик ограниченного использования программ и политик AppLocker

Относится к:

Некоторые возможности управления приложениями в Защитнике Windows доступны только в определенных версиях для Windows. Дополнительные дополнительные Защитник Windows доступности функции управления приложениями.

В этом разделе для ИТ-специалистов описывается, как использовать политики ограничения программного обеспечения (SRP) и Политики AppLocker в одном Windows развертывании.

Понимание разницы между SRP и AppLocker

Вы можете развернуть политики управления приложениями в Windows операционных системах раньше, чем Windows Server 2008 R2 или Windows 7. Политики AppLocker можно использовать только в поддерживаемых версиях и выпусках Windows, как указано в требованиях к использованию AppLocker. Однако можно использовать SRP для поддерживаемых выпусков Windows плюс Windows Server 2003 и Windows XP. Чтобы сравнить функции и функции в SRP и AppLocker, чтобы определить, когда использовать каждую технологию для удовлетворения задач управления приложениями, см. в статью Определение целей управления приложениями.

Использование SRP и AppLocker в одном домене

SRP и AppLocker используют групповую политику для управления доменом. Однако, когда политики, созданные SRP и AppLocker, существуют в одном домене и применяются с помощью групповой политики, политики AppLocker имеют приоритет над политиками, созданными SRP на компьютерах с операционной системой, которая поддерживает AppLocker. Сведения о том, как наследование в групповой политике применяется к политикам и политикам AppLocker, созданным SRP, см. в рубриках Understand AppLocker rules and enforcement setting inheritance in Group Policy.

Важно: В качестве наилучшей практики используйте отдельные объекты групповой политики для реализации политик SRP и AppLocker. Чтобы устранить проблемы с устранением неполадок, не объединяйте их в одном GPO.

В следующем сценарии приводится пример того, как каждый тип политики повлияет на приложение программного обеспечения для банковского тельца, где приложение развернуто на разных операционных системах Windows и управляется GPO Tellers.

Операционная система	GPO tellers с политикой AppLocker	GPO tellers с SRP	GPO tellers с политикой AppLocker и SRP
Windows 10, Windows 8.1, Windows 8 и Windows 7	Политики AppLocker в GPO применяются, и они выдают все локальные политики AppLocker.	Локальные политики AppLocker замещеют политики, созданные SRP, которые применяются через GPO.	Политики AppLocker в GPO применяются, и они замещеют политики, созданные SRP в политиках GPO и локальных политиках AppLocker, созданных SRP.
Windows Vista	Политики AppLocker не применяются.	Применяются политики, созданные SRP в GPO, и они выдают локальные политики, созданные SRP. Политики AppLocker не применяются.	Применяются политики, созданные SRP в GPO, и они выдают локальные политики, созданные SRP. Политики AppLocker не применяются.
Windows XP	Политики AppLocker не применяются.	Применяются политики, созданные SRP в GPO, и они выдают локальные политики, созданные SRP. Политики AppLocker не применяются.	Применяются политики, созданные SRP в GPO, и они выдают локальные политики, созданные SRP. Политики AppLocker не применяются.

Примечание: Сведения о поддерживаемых версиях и выпусках операционной системы Windows см. в приложении Requirements to use AppLocker.

Тестирование и проверка политик SRP и AppLocker, развернутых в одной среде

Так как политики SRP и AppLocker работают по-другому, их не следует реализовывать в одном GPO. Это упрощает тестирование результатов политики, что имеет решающее значение для успешного управления использованием приложений в организации. Настройка системы тестирования и распределения политик поможет вам понять результат политики. Эффекты политик, созданных политиками SRP и AppLocker, необходимо протестировать отдельно и с помощью различных средств.

Шаг 1. Проверка эффекта SRP

Вы можете использовать консоль управления групповой политикой (GPMC) или набор результатов политики (RSoP), чтобы определить эффект применения SRP с помощью GPOs.

Шаг 2. Проверьте влияние политик AppLocker

Политики AppLocker можно протестировать с помощью Windows PowerShell. Сведения о расследовании результатов политики см. в

Другим методом, который необходимо использовать при определении результата политики, является настройка режима применения только аудита. При развертывании политики события будут записаны в журналы AppLocker так, как если бы политика была принудительной. Сведения об использовании режима только аудита см. в этой информации:

Источник

Использование AppLocker и политик ограниченного использования программ в одном домене

Относится к:

Некоторые возможности управления приложениями в Защитнике Windows доступны только в определенных версиях для Windows. Дополнительные дополнительные Защитник Windows доступности функции управления приложениями.

В этом разделе для ИТ-специалистов описываются понятия и процедуры, которые помогут вам управлять стратегией управления приложениями с помощью политики ограничения программного обеспечения и AppLocker.

Использование политик ограничения appLocker и программного обеспечения в том же домене

AppLocker поддерживается в системах, работающих Windows 7 и выше. Политики ограничения программного обеспечения (SRP) поддерживаются в системах, работающих Windows Vista или ранее. Можно продолжать использовать SRP для управления приложениями на 7 компьютерах Windows, но использовать AppLocker для компьютеров с Windows Server 2008 R2, Windows 7 и более поздней. Рекомендуется автор правил AppLocker и SRP в отдельных GPOs и нацелить GPO с политиками SRP на системы, работающие Windows Vista или ранее. Когда политики SRP и AppLocker применяются к компьютерам с Windows Server 2008 R2, Windows 7 и более поздней, политики SRP игнорируются.

В следующей таблице сравнивают функции политик ограничения программного обеспечения (SRP) и AppLocker.

Политики SRP можно применять во всех Windows операционных системах, начиная с Windows XP и Windows Server 2003.

Политики AppLocker применяются только к Windows 2008 R2, Windows 7 и более поздней.

Политики SRP поддерживаются с помощью групповой политики, и только администратор GPO может обновлять политику SRP. Администратор на локальном компьютере может изменять политики SRP, определенные в локальном GPO.

Политики AppLocker поддерживаются с помощью групповой политики, и обновить политику может только администратор GPO. Администратор на локальном компьютере может изменять политики AppLocker, определенные в локальном GPO.

AppLocker позволяет настраивать сообщения об ошибках, чтобы направлять пользователей на веб-страницу для получения справки.

Политики SRP должны обновляться с помощью привязки к локальной политике безопасности (если политики создаются локально) или консоли управления групповой политикой (GPMC).

Политики AppLocker можно обновить с помощью привязки к локальной политике безопасности (если политики создаются локально) или GPMC или Windows PowerShell appLocker.

Политики SRP распространяются через групповую политику.

Политики AppLocker распространяются через групповую политику.

Режим принудительного применения

SRP работает в режиме «запретить список», где администраторы могут создавать правила для файлов, которые они не хотят допускать в этом Enterprise в то время как остальные файлы разрешены для запуска по умолчанию.

SRP также можно настроить в режиме «allowlist», чтобы по умолчанию все файлы были заблокированы, и администраторам необходимо создать правила допуска файлов, которые они хотят разрешить.

AppLocker по умолчанию работает в режиме «allowlist», где разрешено запускать только те файлы, для которых существует правило разрешить соответствие.

Типы файлов, которые можно контролировать

SRP может управлять следующими типами файлов:

SRP не может контролировать каждый тип файла отдельно. Все правила SRP находятся в одном собрании правил.

AppLocker может управлять следующими типами файлов:

Упакованные приложения и установщики

AppLocker поддерживает отдельный набор правил для каждого из пяти типов файлов.

Назначенные типы файлов

SRP поддерживает расщепляемый список типов файлов, которые считаются исполняемыми. Администраторы могут добавлять расширения для файлов, которые должны считаться исполняемыми.

AppLocker в настоящее время поддерживает следующие расширения файлов:

Windows Установщики (.msi, mst, msp)

Упакованные установщики приложений (.appx)

SRP поддерживает четыре типа правил:

AppLocker поддерживает три типа правил:

Редактирование значения hash

В Windows XP можно использовать SRP для предоставления пользовательских значений hash.

Начиная с Windows 7 и Windows Server 2008 R2, вы можете выбрать только файл для хаши, а не предоставить значение hash.

AppLocker вычисляет само значение hash. Внутренне, он использует hash SHA2 Authenticode для портативных исполняемых (exe и dll) и Windows установщики и hash плоский файл SHA2 для остальных.

Поддержка различных уровней безопасности

С помощью SRP можно указать разрешения, с помощью которых приложение может работать. Таким образом, можно настроить правило, которое Блокнот всегда работает с ограниченными разрешениями и никогда не с административными привилегиями.

SRP на Windows Vista и ранее поддерживал несколько уровней безопасности. В Windows 7 этот список был ограничен двумя уровнями: Disallowed и Unrestricted (Основной пользователь переводится как Disallowed).

AppLocker не поддерживает уровни безопасности.

Управление пакетами приложений и установщиками пакетных приложений.

Appx — допустимый тип файла, которым может управлять AppLocker.

Ориентация правила на пользователя или группу пользователей

Правила SRP применяются для всех пользователей на определенном компьютере.

Правила AppLocker могут быть ориентированы на конкретного пользователя или группу пользователей.

Поддержка исключений правил

SRP не поддерживает исключения правил.

Правила AppLocker могут иметь исключения, которые позволяют создавать правила, такие как «Разрешить все от Windows кроме regedit.exe».

Поддержка режима аудита

SRP не поддерживает режим аудита. Единственный способ проверить политики SRP — это настроить тестовую среду и выполнить несколько экспериментов.

AppLocker поддерживает режим аудита, который позволяет протестировать влияние своей политики в реальной производственной среде, не влияя на пользовательский опыт. После того как вы удовлетворены результатами, вы можете приступить к исполняемой политике.

Поддержка политики экспорта и импорта

SRP не поддерживает импорт и экспорт политики.

AppLocker поддерживает импорт и экспорт политик. Это позволяет создать политику AppLocker на примере устройства, протестировать ее, а затем экспортировать эту политику и импортировать ее обратно в нужный GPO.

Внутреннее исполнение правил SRP происходит в пользовательском режиме, который является менее безопасным.

Источник

Администрирование политик ограниченного использования программ

Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Этот раздел предназначен для ИТ-специалистов и содержит процедуры для администрирования политик управления приложениями с помощью политик ограниченного использования программ (SRP), начиная с Windows Server 2008 и Windows Vista.

Введение

Политики ограниченного использования программ — это основанная на групповых политиках функция, которая выявляет программы, работающие на компьютерах в домене, и управляет возможностью выполнения этих программ. Эти политики позволяют создать конфигурацию со строгими ограничениями для компьютеров, где разрешается запуск только определенных приложений. Политики интегрируются с доменными службами Active Directory и групповой политикой, но также могут настраиваться на изолированных компьютерах. Подробные сведения о политиках ограниченного использования программ см. в разделе Политики ограниченного использования программ.

Начиная с Windows Server 2008 R2 и Windows 7, вместо политики SRP или вместе с ней в рамках стратегии управления приложениями можно использовать Windows AppLocker.

Сведения о способах выполнения определенных задач с помощью политик ограниченного использования программ см. в следующих разделах:

Открытие окна «Политики ограниченного использования программ»

Для локального компьютера

Откройте окно «Локальные параметры безопасности».

В дереве консоли щелкните Политики ограниченного использования программ.

Которому?

Для выполнения данной процедуры необходимо входить в группу «Администраторы» на локальном компьютере или получить соответствующие полномочия путем делегирования.

Для домена, сайта или подразделения: вы находитесь на рядовом сервере или на рабочей станции, присоединенной к домену.

Откройте консоль управления (MMC).

В меню Файл выберите команду Добавить или удалить оснастку и затем нажмите кнопку Добавить.

Щелкните элемент Редактор объектов групповой политики и нажмите кнопку Добавить.

В окне Выбор объекта групповой политики нажмите кнопку Обзор.

В окне поиск групповая политика объекта выберите объект Групповая политика (GPO) в соответствующем домене, сайте или подразделении или создайте новый, а затем нажмите кнопку Готово.

Щелкните Закрыть, а затем нажмите кнопку ОК.

В дереве консоли щелкните Политики ограниченного использования программ.

Которому?

Объект групповой политики [имя_компьютера] Policy/Computer Configuration или

User Configuration/Windows Settings/Security Settings/Software Restriction Policies

Для выполнения этой процедуры необходимо быть членом группы «Администраторы домена».

Для домена или подразделения: вы находитесь на контроллере домена или на рабочей станции, где установлены средства удаленного администрирования сервера.

Откройте консоль управления групповыми политиками.

В дереве консоли правой кнопкой мыши щелкните объект групповой политики, для которого требуется открыть политики ограниченного использования программ.

Нажмите кнопку Изменить, чтобы открыть объект групповой политики для правки. Также можно нажать кнопку Создать, чтобы создать новый объект групповой политики, а затем нажать кнопку Изменить.

В дереве консоли щелкните Политики ограниченного использования программ.

Которому?

Объект групповой политики [имя_компьютера] Policy/Computer Configuration или

User Configuration/Windows Settings/Security Settings/Software Restriction Policies

Для выполнения этой процедуры необходимо быть членом группы «Администраторы домена».

Для сайта: вы находитесь на контроллере домена или на рабочей станции, где установлены средства удаленного администрирования сервера.

Откройте консоль управления групповыми политиками.

В дереве консоли щелкните правой кнопкой мыши сайт, для которого требуется задать групповую политику.

Которому?

Щелкните объект в списке Ссылки объекта групповой политики, чтобы выбрать существующий объект групповой политики (GPO), а затем нажмите кнопку Изменить. Также можно нажать кнопку Создать, чтобы создать новый объект групповой политики, а затем нажать кнопку Изменить.

В дереве консоли щелкните Политики ограниченного использования программ.

Where

Объект групповой политики [имя_компьютера] Policy/Computer Configuration или

User Configuration/Windows Settings/Security Settings/Software Restriction Policies

Создание новых политик ограниченного использования программ

Откройте окно «Политики ограниченного использования программ».

В меню Действие щелкните ссылку Создать политику ограниченного использования программ.

Для выполнения этой процедуры требуются различные административные учетные данные в зависимости от среды.

Если политики ограниченного использования программ уже созданы для объекта групповой политики, то в меню Действие не отображается команда Создать политику ограниченного использования программ. Чтобы удалить политики ограниченного использования программ, применяемые к объекту групповой политики, щелкните правой кнопкой мыши узел Политики ограниченного использования программ в дереве консоли и выберите команду Удалить политики ограниченного использования программ. При удалении политик ограниченного использования программ для объекта групповой политики также удаляются все правила политик ограниченного использования программ для этого объекта групповой политики. После удаления политик ограниченного использования программ можно создать новые политики ограниченного использования программ для этого объекта групповой политики.

Добавление или удаление назначенного типа файлов

Откройте окно «Политики ограниченного использования программ».

В области сведений дважды щелкните элемент Назначенные типы файлов.

Выполните одно из следующих действий.

Чтобы добавить тип файла, введите расширение имени файла в поле Расширение имени файла, а затем нажмите кнопку Добавить.

Чтобы удалить тип файла, щелкните этот тип в окне Назначенные типы файлов и нажмите кнопку Удалить.

Для выполнения этой процедуры требуются различные административные учетные данные в зависимости от среды, в которой добавляется или удаляется назначенный тип файлов.

Может понадобиться создать новый параметр политики ограниченного использования программ для объекта групповой политики, если это еще не сделано.

Список назначенных типов файлов для объекта групповой политики является общим для всех правил в разделах «Конфигурация компьютера» и «Конфигурация пользователя».

Запрет применения политик ограниченного использования программ к локальным администраторам

Откройте окно «Политики ограниченного использования программ».

В области сведений дважды щелкните элемент Применение.

В разделе Применять политики ограниченного использования программ к следующим пользователям выберите вариант всех пользователей, кроме локальных администраторов.

Изменение уровня безопасности по умолчанию для политик ограниченного использования программ

Откройте окно «Политики ограниченного использования программ».

В области сведений дважды щелкните элемент Уровни безопасности.

Щелкните правой кнопкой мыши уровень безопасности, который следует установить по умолчанию, и выберите команду По умолчанию.

В некоторых каталогах задание уровня безопасности Запрещено в качестве уровня по умолчанию может отрицательно сказаться на работе операционной системы.

Применение политик ограниченного использования программ к библиотекам DLL

Откройте окно «Политики ограниченного использования программ».

В области сведений дважды щелкните элемент Применение.

В разделе Применять политики ограниченного использования программ к следующим объектам выберите вариант ко всем файлам программ.

Источник

Adblock
detector

Функция управления приложениями	SRP	AppLocker