Политики ограниченного использования программ windows 7: Настройка групповых политик ограниченного использования программ в Windows 7 / Хабр

16.04.2021 alexxlab

Содержание

Настройка групповых политик ограниченного использования программ в Windows 7 / Хабр

Прочитав статью Windows-компьютер без антивирусов, я загорелся такой идеей обеспечения безопасности и решил попробовать сделать у себя так же.

Поскольку у меня стоит Windows 7 Professional, первой идеей оказалось использование AppLocker’a, однако быстро выяснилось, что работать в моей редакции винды он не хочет, и требует Ultimate или Enterprise. В силу лицензионности моей винды и пустоты моего кошелька, вариант с AppLocker’ом отпал.

Следующей попыткой стала настройка групповых политик ограниченного использования программ. Поскольку AppLocker является «прокачанной» версией данного механизма, логично попробовать именно политики, тем более они бесплатны для пользователей Windows 🙂

Заходим в настройки:
gpedit.msc -> Конфигурация компьютера -> Конфигурация Windows -> Параметры безопасности -> Политики ограниченного использования программ

В случае, если правил нет, система предложит сгенерировать автоматические правила, разрешающие запуск программ из папки Windows и Program Files. Так же добавим запрещающее правило для пути * (любой путь). В результате мы хотим получить возможность запуска программ только из защищенных системных папок. И что же?

Да, это мы и получим, но вот только маленькая незадача — не работают ярлыки и http ссылки. На ссылки еще можно забить, а без ярлыков жить плоховато.
Если разрешить запуск файлов по маске *.lnk — мы получим возможность создать ярлык для любого исполняемого файла, и по ярлыку запустить его, даже если он лежит не в системной папке. Паршиво.
Запрос в гугл приводит к таким решениям: или разрешить запуск ярлыков из пользовательской папки, либо пользовать сторонние бары с ярлычками. Иначе никак. Лично мне такой вариант не нравится.

В итоге мы сталкиваемся с ситуацией, что *.lnk является с точки зрения винды не ссылкой на исполняемый файл, а исполняемым файлом. Бредово, но что ж поделать… Хотелось бы, чтобы винда проверяла не местонахождение ярлычка, а местонахождение файла, на который он ссылается.

И тут я нечаянно натолкнулся на настройки списка расширений, являщихся исполняемыми с точки зрения винды (gpedit.msc -> Конфигурация компьютера -> Конфигурация Windows -> Параметры безопасности -> Назначенные типы файлов). Удаляем оттуда LNK и заодно HTTP и релогинимся. Получаем полностью рабочие ярлычки и проверку на местонахождение исполняемого файла.

Было сомнение, можно ли будет передавать через ярлыки параметры — можно, так что все ок.

В результате мы получили реализацию идеи, описанной в статье «Windows-компьютер без антивирусов» без каких либо неудобств для пользователя.

Также для любителей стрелять себе в ногу, можно создать папку в Program Files и кинуть ярлык для нее на рабочий стол, назвав, например «Песочницей». Это позволит запускать оттуда программы без отключения политик, пользуясь защищенным хранилищем (защита через UAC).

Надеюсь описанный метод окажется для кого-то полезным и новым. По крайней мере я о таком ни от кого не слышал и нигде не видел.

Администрирование политик ограниченного использования программ

10/12/2016
Чтение занимает 8 мин

В этой статье

Область применения. Windows Server 2016, Windows Server 2012 R2, Windows Server 2012Applies To: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Этот раздел предназначен для ИТ-специалистов и содержит процедуры для администрирования политик управления приложениями с помощью политик ограниченного использования программ (SRP), начиная с Windows Server 2008 и Windows Vista.This topic for the IT professional contains procedures how to administer application control policies using Software Restriction Policies (SRP) beginning with Windows Server 2008 and Windows Vista.

ВведениеIntroduction

Политики ограниченного использования программ — это основанная на групповых политиках функция, которая выявляет программы, работающие на компьютерах в домене, и управляет возможностью выполнения этих программ.Software Restriction Policies (SRP) is Group Policy-based feature that identifies software programs running on computers in a domain, and controls the ability of those programs to run. Эти политики позволяют создать конфигурацию со строгими ограничениями для компьютеров, где разрешается запуск только определенных приложений.You use software restriction policies to create a highly restricted configuration for computers, in which you allow only specifically identified applications to run. Политики интегрируются с доменными службами Active Directory и групповой политикой, но также могут настраиваться на изолированных компьютерах.These are integrated with Microsoft Active Directory Domain Services and Group Policy but can also be configured on stand-alone computers. Подробные сведения о политиках ограниченного использования программ см. в разделе Политики ограниченного использования программ.For more information about SRP, see the Software Restriction Policies.

Начиная с Windows Server 2008 R2 и Windows 7, вместо политики SRP или вместе с ней в рамках стратегии управления приложениями можно использовать Windows AppLocker.Beginning with Windows Server 2008 R2 and Windows 7 , Windows AppLocker can be used instead of or in concert with SRP for a portion of your application control strategy.

Содержание разделаThis topic contains:

Сведения о способах выполнения определенных задач с помощью политик ограниченного использования программ см. в следующих разделах:For information about how to accomplish specific tasks using SRP, see the following:

Открытие окна «Политики ограниченного использования программ»To open Software Restriction Policies

Для локального компьютераFor your local computer

Откройте окно «Локальные параметры безопасности».Open Local Security Settings.
В дереве консоли щелкните Политики ограниченного использования программ.In the console tree, click Software Restriction Policies.
Которому?Where?
- Параметры безопасности/Политики ограниченного использования программSecurity Settings/Software Restriction Policies

Примечание

Для выполнения данной процедуры необходимо входить в группу «Администраторы» на локальном компьютере или получить соответствующие полномочия путем делегирования.To perform this procedure, you must be a member of the Administrators group on the local computer, or you must have been delegated the appropriate authority.

Для домена, сайта или подразделения: вы находитесь на рядовом сервере или на рабочей станции, присоединенной к домену.For a domain, site, or organizational unit, and you are on a member server or on a workstation that is joined to a domain

Откройте консоль управления (MMC).Open Microsoft Management Console (MMC).
В меню Файл выберите команду Добавить или удалить оснастку и затем нажмите кнопку Добавить.On the File menu, click Add/Remove Snap-in, and then click Add.
Щелкните элемент Редактор объектов групповой политики и нажмите кнопку Добавить.Click
Local Group Policy Object Editor, and then click Add.
В окне Выбор объекта групповой политики нажмите кнопку Обзор.In Select Group Policy Object, click Browse.
В окне поиск групповая политика объектавыберите объект Групповая политика (GPO) в соответствующем домене, сайте или подразделении или создайте новый, а затем нажмите кнопку Готово.In Browse for a Group Policy Object, select a Group Policy Object (GPO) in the appropriate domain, site, or organizational unit-or create a new one, and then click Finish.
Щелкните
Закрыть, а затем нажмите кнопку ОК.Click Close, and then click OK.
В дереве консоли щелкните Политики ограниченного использования программ.In the console tree, click Software Restriction Policies.
Которому?Where?
- Объект групповой политики [имя_компьютера] Policy/Computer Configuration илиGroup Policy Object [ComputerName] Policy/Computer Configuration or
  User Configuration/Windows Settings/Security Settings/Software Restriction PoliciesUser Configuration/Windows Settings/Security Settings/Software Restriction Policies

Примечание

Для выполнения этой процедуры необходимо быть членом группы «Администраторы домена».To perform this procedure, you must be a member of the Domain Admins group.

Для домена или подразделения: вы находитесь на контроллере домена или на рабочей станции, где установлены средства удаленного администрирования сервера.For a domain or organizational unit, and you are on a domain controller or on a workstation that has the Remote Server Administration Tools installed

Откройте консоль управления групповыми политиками.Open Group Policy Management Console.
В дереве консоли правой кнопкой мыши щелкните объект групповой политики, для которого требуется открыть политики ограниченного использования программ.In the console tree, right-click the Group Policy Object (GPO) that you want to open software restriction policies for.
Нажмите кнопку Изменить, чтобы открыть объект групповой политики для правки.Click
Edit to open the GPO that you want to edit. Также можно нажать кнопку Создать, чтобы создать новый объект групповой политики, а затем нажать кнопку Изменить.You can also click New to create a new GPO, and then click Edit.
В дереве консоли щелкните Политики ограниченного использования программ.In the console tree, click Software Restriction Policies.
Которому?Where?
- Объект групповой политики [имя_компьютера] Policy/Computer Configuration илиGroup Policy Object [ComputerName] Policy/Computer Configuration or
  User Configuration/Windows Settings/Security Settings/Software Restriction PoliciesUser Configuration/Windows Settings/Security Settings/Software Restriction Policies

Примечание

Для сайта: вы находитесь на контроллере домена или на рабочей станции, где установлены средства удаленного администрирования сервера.For a site, and you are on a domain controller or on a workstation that has the Remote Server Administration Tools installed

Откройте консоль управления групповыми политиками.Open Group Policy Management Console.
В дереве консоли щелкните правой кнопкой мыши сайт, для которого требуется задать групповую политику.In the console tree, right-click the site that you want to set Group Policy for.
Которому?Where?
- Active Directory — сайты и службы [имя_контроллера_домена.имя_домена]/Sites/SiteActive Directory Sites and Services [Domain_Controller_Name.Domain_Name]/Sites/Site
Щелкните объект в списке Ссылки объекта групповой политики, чтобы выбрать существующий объект групповой политики (GPO), а затем нажмите кнопку Изменить.Click an entry in Group Policy Object Links to select an existing Group Policy Object (GPO), and then click Edit. Также можно нажать кнопку Создать, чтобы создать новый объект групповой политики, а затем нажать кнопку Изменить.You can also click New to create a new GPO, and then click Edit.
В дереве консоли щелкните Политики ограниченного использования программ.In the console tree, click Software Restriction Policies.
WhereWhere
- Объект групповой политики [имя_компьютера] Policy/Computer Configuration илиGroup Policy Object [ComputerName] Policy/Computer Configuration or
  User Configuration/Windows Settings/Security Settings/Software Restriction PoliciesUser Configuration/Windows Settings/Security Settings/Software Restriction Policies

Примечание

Для выполнения данной процедуры необходимо входить в группу «Администраторы» на локальном компьютере или получить соответствующие полномочия путем делегирования.To perform this procedure, you must be a member of the Administrators group on the local computer, or you must have been delegated the appropriate authority. Если компьютер присоединен к домену, эту процедуру могут выполнять члены группы «Администраторы домена».If the computer is joined to a domain, members of the Domain Admins group might be able to perform this procedure.
Чтобы задать параметры политики, которые будут применяться к компьютерам независимо от пользователей, входящих в систему, щелкните Конфигурация компьютера.To set policy settings that will be applied to computers, regardless of which users log on to them, click Computer Configuration.
Чтобы задать параметры политики, которые будут применяться к пользователям независимо от компьютера, с которого они входят в систему, щелкните Конфигурация пользователя.To set policy settings that will be applied to users, regardless of which computer they log on to, click User Configuration.

Создание новых политик ограниченного использования программTo create new software restriction policies

Откройте окно «Политики ограниченного использования программ».Open Software Restriction Policies.
В меню Действие щелкните ссылку Создать политику ограниченного использования программ.On the Action menu, click New Software Restriction Policies.

Предупреждение

Для выполнения этой процедуры требуются различные административные учетные данные в зависимости от среды.Different administrative credentials are required to perform this procedure, depending on your environment:
- Если новые политики ограниченного использования программ создаются для локального компьютера: минимальным требованием для выполнения этой процедуры является членство в локальной группе Администраторы или аналогичной.If you create new software restriction policies for your local computer: Membership in the local Administrators group, or equivalent, is the minimum required to complete this procedure.
- Если новые политики ограниченного использования программ создаются для компьютера, присоединенного к домену, то эту процедуру могут выполнить члены группы «Администраторы домена».If you create new software restriction policies for a computer that is joined to a domain, members of the Domain Admins group can perform this procedure.
Если политики ограниченного использования программ уже созданы для объекта групповой политики, то в меню Действие не отображается команда Создать политику ограниченного использования программ.If software restriction policies have already been created for a Group Policy Object (GPO), the New Software Restriction Policies command does not appear on the Action menu. Чтобы удалить политики ограниченного использования программ, применяемые к объекту групповой политики, щелкните правой кнопкой мыши узел Политики ограниченного использования программ в дереве консоли и выберите команду Удалить политики ограниченного использования программ.To delete the software restriction policies that are applied to a GPO, in the console tree, right-click Software Restriction Policies, and then click Delete Software Restriction Policies. При удалении политик ограниченного использования программ для объекта групповой политики также удаляются все правила политик ограниченного использования программ для этого объекта групповой политики.When you delete software restriction policies for a GPO, you also delete all software restriction policies rules for that GPO. После удаления политик ограниченного использования программ можно создать новые политики ограниченного использования программ для этого объекта групповой политики.After you delete software restriction policies, you can create new software restriction policies for that GPO.

Добавление или удаление назначенного типа файловTo add or delete a designated file type

Откройте окно «Политики ограниченного использования программ».Open Software Restriction Policies.
В области сведений дважды щелкните элемент Назначенные типы файлов.In the details pane, double-click Designated File Types.
Используйте один из следующих вариантов:Do one of the following:
- Чтобы добавить тип файла, введите расширение имени файла в поле Расширение имени файла, а затем нажмите кнопку Добавить.To add a file type, in File name extension, type the file name extension, and then click Add.
- Чтобы удалить тип файла, щелкните этот тип в окне Назначенные типы файлов и нажмите кнопку Удалить.To delete a file type, in Designated file types, click the file type, and then click Remove.

Примечание

Для выполнения этой процедуры требуются различные административные учетные данные в зависимости от среды, в которой добавляется или удаляется назначенный тип файлов.Different administrative credentials are required to perform this procedure, depending on the environment in which you add or delete a designated file type:
- Если назначенный тип файлов добавляется или удаляется для локального компьютера: минимальным требованием для выполнения этой процедуры является членство в локальной группе Администраторы или аналогичной.If you add or delete a designated file type for your local computer: Membership in the local Administrators group, or equivalent, is the minimum required to complete this procedure.
- Если новые политики ограниченного использования программ создаются для компьютера, присоединенного к домену, то эту процедуру могут выполнить члены группы «Администраторы домена».If you create new software restriction policies for a computer that is joined to a domain, members of the Domain Admins group can perform this procedure.
Может понадобиться создать новый параметр политики ограниченного использования программ для объекта групповой политики, если это еще не сделано.It may be necessary to create a new software restriction policy setting for the Group Policy Object (GPO) if you have not already done so.
Список назначенных типов файлов для объекта групповой политики является общим для всех правил в разделах «Конфигурация компьютера» и «Конфигурация пользователя».The list of designated file types is shared by all rules for both Computer Configuration and User Configuration for a GPO.

Запрет применения политик ограниченного использования программ к локальным администраторамTo prevent software restriction policies from applying to local administrators

Откройте окно «Политики ограниченного использования программ».Open Software Restriction Policies.
В области сведений дважды щелкните элемент Применение.In the details pane, double-click Enforcement.
В разделе Применять политики ограниченного использования программ к следующим пользователям выберите вариант всех пользователей, кроме локальных администраторов.Under Apply software restriction policies to the following users, click All users except local administrators.

Предупреждение

Чтобы выполнить эту процедуру, вы должны быть членом локальной группы Администраторы или аналогичной.Membership in the local Administrators group, or equivalent, is the minimum required to complete this procedure.
Может понадобиться создать новый параметр политики ограниченного использования программ для объекта групповой политики, если это еще не сделано.It may be necessary to create a new software restriction policy setting for the Group Policy Object (GPO) if you have not already done so.
Если на компьютерах организации пользователи часто входят в локальную группу «Администраторы», то этот параметр можно не включать.If it is common for users to be members of the local Administrators group on their computers in your organization, you may not want to enable this option.
Если параметр политики ограниченного использования программ определяется для локального компьютера, то эта процедура предотвращает применение политик ограниченного использования программ к локальным администраторам.If you are defining a software restriction policy setting for your local computer, use this procedure to prevent local administrators from having software restriction policies applied to them. Если параметр политики ограниченного использования программ определяется для сети, отфильтруйте параметры политики пользователей в зависимости от членства в группах безопасности с помощью групповой политики.If you are defining a software restriction policy setting for your network, filter user policy settings based on membership in security groups through Group Policy.

Изменение уровня безопасности по умолчанию для политик ограниченного использования программTo change the default security level of software restriction policies

Откройте окно «Политики ограниченного использования программ».Open Software Restriction Policies.
В области сведений дважды щелкните элемент Уровни безопасности.In the details pane, double-click Security Levels.
Щелкните правой кнопкой мыши уровень безопасности, который следует установить по умолчанию, и выберите команду По умолчанию.Right-click the security level that you want to set as the default, and then click Set as default.

Внимание!

В некоторых каталогах задание уровня безопасности Запрещено в качестве уровня по умолчанию может отрицательно сказаться на работе операционной системы.In certain directories, setting the default security level to Disallowed can adversely affect your operating system.

Примечание

Для выполнения этой процедуры требуются различные административные учетные данные в зависимости от среды, в которой изменяется уровень безопасности по умолчанию для политик ограниченного использования программ.Different administrative credentials are required to perform this procedure, depending on the environment for which you change the default security level of software restriction policies.
Может понадобиться создать новый параметр политики ограниченного использования программ для данного объекта групповой политики, если это еще не сделано.It may be necessary to create a new software restriction policy setting for this Group Policy Object (GPO) if you have not already done so.
В области сведений текущий уровень безопасности по умолчанию обозначается черным кружком с отметкой.In the details pane, the current default security level is indicated by a black circle with a check mark in it. Если щелкнуть правой кнопкой мыши текущий уровень безопасности по умолчанию, то в меню не появится команда По умолчанию.If you right-click the current default security level, the Set as default command does not appear in the menu.
Чтобы задать исключения для уровня безопасности по умолчанию, создаются правила политики ограниченного использования программ.Software restriction policies rules are created to specify exceptions to the default security level. Если уровень безопасности по умолчанию имеет значение Не ограничено, то в правилах можно указывать программное обеспечение, запуск которого не разрешается.When the default security level is set to Unrestricted, rules can specify software that is not allowed to run. Если уровень безопасности по умолчанию имеет значение Запрещено, то в правилах можно указывать программное обеспечение, запуск которого разрешается.When the default security level is set to Disallowed, rules can specify software that is allowed to run.
Во время установки в политиках ограниченного использования программ для всех файлов в системе задается уровень безопасности по умолчанию Не ограничено.At installation, the default security level of software restriction policies on all files on your system is set to Unrestricted.

Применение политик ограниченного использования программ к библиотекам DLLTo apply software restriction policies to DLLs

Откройте окно «Политики ограниченного использования программ».Open Software Restriction Policies.
В области сведений дважды щелкните элемент Применение.In the details pane, double-click Enforcement.
В разделе Применять политики ограниченного использования программ к следующим объектам выберите вариант ко всем файлам программ.Under Apply software restriction policies to the following, click All software files.

Примечание

Для выполнения данной процедуры необходимо входить в группу «Администраторы» на локальном компьютере или получить соответствующие полномочия путем делегирования.To perform this procedure, you must be a member of the Administrators group on the local computer, or you must have been delegated the appropriate authority. Если компьютер присоединен к домену, эту процедуру могут выполнять члены группы «Администраторы домена».If the computer is joined to a domain, members of the Domain Admins group might be able to perform this procedure.
По умолчанию политики ограниченного использования программ не проверяют библиотеки динамической компоновки (DLL).By default, software restriction policies do not check dynamic-link libraries (DLLs). Проверка библиотек DLL может понизить производительность системы, поскольку политики ограниченного использования программ должны вычисляться при каждой загрузке библиотеки DLL.Checking DLLs can decrease system performance, because software restriction policies must be evaluated every time a DLL is loaded. Однако проверку библиотек DLL можно выполнять, если есть опасность заражения вирусом, затрагивающим библиотеки DLL.However, you may decide to check DLLs if you are concerned about receiving a virus that targets DLLs. Если уровень безопасности по умолчанию имеет значение Запрещено и включена проверка библиотек DLL, то необходимо создать правила политик ограниченного использования программ, которые разрешают выполнение каждой библиотеки DLL.If the default security level is set to Disallowed, and you enable DLL checking, you must create software restriction policies rules that allow each DLL to run.

Ограничение списка запускаемых программ при помощи групповых политик

Содержание статьи

Одной из отличительных особенностей Active Directory по праву считают механизм групповых политик, обеспечивающий эффективное и централизованное управление многочисленными параметрами операционных систем и приложений. Применение групповых политик позволяет администраторам определять правила, в соответствии с которыми настраиваются параметры рабочей среды как для пользователей, так и для компьютеров. Это позволяет достаточно просто и эффективно поддерживать вычислительную среду предприятия в рабочем состоянии.

Безусловно, к числу важнейших задач администрирования можно отнести обеспечение безопасности системы в целом. Не последнюю роль в этом играет процесс контроля программ, выполняемых на компьютерах домена. Наиболее яркий пример необходимости в нем – создание рабочей среды, исключающей возможность запуска вредоносного программного обеспечения. Впрочем, существуют и другие причины, по которым может возникнуть необходимость создания и применения правил, позволяющих или запрещающих исполнение различных программ. Ну, вот, допустим, босса раздражают скучающие сотрудники, раскладывающие пасьянс. Или новая версия используемого ПО вызывает конфликты с другими приложениями.

Решение таких задач с использованием политик ограниченного использования программ предоставляет администратору способ идентификации программ, выполняемых на компьютере домена и создание правил, устанавливающих возможность их выполнения. Использование таких политик возможно на операционных системах Windows Vista, Windows Server 2003 и Windows XP.

Как работает применение групповой политики

Применение групповой политики

Вкратце, собственно сам механизм применения групповой политики выглядит следующим образом. Вначале администратор создает объект групповой политики (GPO), содержащий определенный набор параметров рабочей среды. Этот объект может содержать настройки, применяемые как компьютеру, так и к пользователю. Далее, с помощью связывания (или привязки, linking) этот объект ассоциируется с одним или несколькими элементами дерева Active Directory. При загрузке компьютера, входящего в домен, выполняется запрос списков групповой политики у контроллера домена. Контроллер пересылает необходимые списки в том порядке, в котором они должны применяться на компьютере. Когда пользователь осуществляет вход в систему, выполняется еще один запрос о необходимых объектах групповой политики, которые затем применяются к пользователю, выполнившему вход в систему.

Применение политик ограничения запуска программ

В общем рассмотрении механизм работы политик ограничения запуска программ достаточно прост. Для начала они активируются при создании нового объекта групповой политики или редактировании существующего. Затем выбирается уровень необходимой безопасности. Уровень безопасности – это базовая модель контроля за исполнением программ, или, другими словами – правило по умолчанию. Взглянув на рисунок, вы все поймете:

Уровни безопасности

Затем настраиваются параметры политики – к каким типам файлов будет применяться политика, будет ли она распространяться на локальных администраторов компьютеров, кто сможет определять, что подписанному содержимому можно доверять. После этого создаются сами правила, запрещающие или разрешающие выполнение программ, идентифицированных правилом. Как видим, весь этот механизм очень похож на настройку файервола. Рассмотрим его подробнее.

Активирование политики ограниченного использования программ

Создайте объект групповой политики или откройте в редакторе существующий. Откройте ветвь Конфигурация компьютера или Конфигурация пользователя (в зависимости от того, к чему необходимо будет применить политику). Найдите и выберите раздел Конфигурация Windows – Параметры безопасности – Политики ограниченного использования программ.

Активирование политики ограниченного использования программ

Если политики еще не были определены, в окне редактора вы увидите предупреждение, что в случае их назначения новые правила перекроют параметры политик, унаследованных от других объектов GPO. Поскольку именно это мы и собираемся сделать, выбираем в меню Действие команду Создать политики ограниченного использования программ.

Переходим в раздел Уровни безопасности. Действующий уровень отмечен иконкой с галочкой. По умолчанию им является уровень Неограниченный.

Активирование политики ограниченного использования программ

Этот уровень разрешает запуск любых программ, кроме явно запрещенных правилами. Особого смысла в использовании такого уровня безопасности нет, кроме случаев, когда необходимо запретить использование небольшого количества программ, не представляющих явную угрозу безопасности для вычислительной системы (как раз для примера с пасьянсом). Для обеспечения действенного запрета на использование нежелательных программ необходимо использовать уровень безопасности Не разрешено. Для изменения уровня необходимо сделать двойной щелчок мышью на нужном параметре и в открывшемся окне нажать кнопку По умолчанию, или, щелкнув правой кнопкой мыши выбрать в контекстном меню команду По умолчанию.

Активирование политики ограниченного использования программ

Общие параметры настроек политики

В узле Политики ограниченного использования программ расположены общие параметры настроек, определяющих применение политик.

Общие параметры

Принудительное использование

Первый параметр определяет, следует ли проверять библиотеки DLL, и возможность применения ограничений, накладываемых политикой на локальных администраторов компьютеров. DLL – это библиотеки динамической компоновки, которые являются частью некоторых исполняемых программ. По умолчанию, проверка DLL отключена.

Опции принудительного применения

Без особой нужды нет необходимости переключать этот параметр в положение проверки всех файлов программ. Причин для этого несколько. Во-первых, при большом количестве исполняемых файлов и «прицепленных» к ним библиотек (а в Windows их предостаточно) резко снижается производительность системы — параметры политики будут просматриваться при каждом вызове программой библиотеки DLL. Во-вторых, если исполнение файла будет запрещено политикой, то не возникнет и необходимости проверки сопутствующих библиотек.

Второй параметр позволяет исключить локальных администраторов компьютеров из списка пользователей, к которым будет применяться политика. Он используется только для политик компьютера. Включается, если необходимо позволить локальным администраторам запускать любые приложения. Более предпочтительный способ предоставить эту возможность – либо временное перемещение учетной записи компьютера в организационную единицу, на которую не распространяются данные политики, либо убрать разрешение Применение групповой политики в свойствах группы GPO, в состав которой входят администраторы.

Типы файлов

Здесь перечисляются все типы файлов, ассоциированные с их расширением, которые политика будет идентифицировать как исполняемый код.

Типы файлов

Список редактируемый – вы можете исключать из него перечисленные типы, а также добавлять новые.

Доверенные издатели

Эта группа параметров позволяет настраивать реагирование политики на элементы управления ActiveX® и другое подписанное содержимое.

Доверенные издатели

Здесь можно указать, кто будет принимать решение о доверии подписанному содержимому (лучше оставить это право администраторам предприятия), а также задать параметры проверки сертификатов – проверить, не отозван ли сертификат, и удостовериться, что он не просрочен.

Создание правил политики

Правило политики ограниченного использования программ – это и есть тот механизм, с помощью которого программа «опознается». Правило определяет, разрешить или запретить выполнение программы, соответствующей указанным в нем условиям. Для сопоставления программы и условия можно использовать четыре параметра исполняемого файла — или, другими словами, применять один из четырех типов правил:

Зона
Путь
Сертификат
Хеш

Создание нового правила

Для создания нового правила необходимо перейти в раздел Дополнительные правила, щелкнув по нему мышью в списке объектов редактора групповой политики, и затем выбрав в меню Действие (или в меню, открываемом правым щелчком мыши) необходимый тип правила.

Правило зоны

Дабы избежать некоторой двусмысленности, сразу оговоримся, что речь пойдет о зонах, используемых Internet Explorer, а не учреждениях пенитенциарной системы. Этот тип правила позволяет задать зону Интернета и установить для нее правило – разрешить запуск или запретить его.

Правило зоны

Главный минус, делающий его практически бесполезным – применяется только к файлам пакетов установщика Windows (Windows Installer, расширение *.msi).

Правило пути

Идентифицирует исполняемое приложение по его местоположению. Может содержать имя каталога или полный путь к исполняемой программе. Используется как локальный путь, так и универсальный путь в формате UNC. Допустимо применение переменных среды и подстановочных знаков «?» для любого единичного символа и «*» для любого количества символов.

Правило пути

Путь можно ввести вручную в соответствующее поле или воспользоваться кнопкой Обзор.

Кроме указания самих путей в явном виде, допускается указание пути в реестре. Такая возможность полезна в том случае, когда у пользователя существует возможность установить приложение в неопределенное заранее место файловой системы компьютера, а программа хранит пути к своим рабочим каталогам в реестре. Правило будет просматривать соответствующую ветвь реестра, и при его совпадении будет производиться заданное в правиле действие – разрешение или запрет на запуск. Путь в реестре должен быть заключен между знаками «%». Он может содержать в окончании пути подстановочные знаки и использовать переменные среды. Не допускается использовать сокращения HKLM и HKCU (должен использоваться полный формат в виде HKEY_LOCAL_MACHINE), путь не должен заканчиваться символом «\» непосредственно перед закрывающим знаком «%» в правиле. Параметр реестра может быть типа REG_SZ или REG_EXPAND_SZ. По умолчанию, при активировании политик ограниченного использования программ создается четыре разрешающих правила пути в реестре.

Правило пути в реестре

Они позволяют выполнить гарантированный запуск необходимых для работы ОС программ и служб, и при необходимости могут быть отредактированы. Если программа соответствует сразу нескольким определенным правилам пути, высший приоритет будет иметь то из них, которое наиболее точно описывает данную программу.

Очень удобное для использования правило пути имеет один существенный недостаток, значительно ограничивающий его применение. Поскольку оценка программы производится только по ее местоположению, придется постоянно учитывать права доступа пользователя к файловой системе. Если учетная запись пользователя позволяет копировать и переименовывать файлы, он с легкостью может обойти это правило, просто переименовав приложение, а затем переместив его в нужное место файловой системы.

Правило сертификата

Устанавливаются для файлов, имеющих цифровую подпись издателя. Для создания правила нажмите кнопку Обзор и укажите необходимый сертификат.

Правило для сертификата

Способ идентификации программ с помощью сертификатов достаточно надежен, но и у него существуют минусы. Во-первых, он требует применения центров сертификации. Во-вторых, невозможно установить разные значения правил для программ одного издателя. Например, тот же пасьянс из стандартных игр Windows таким правилом запретить не получится, поскольку оно запретит и запуск ключевых компонентов всей операционной системы.

Правило хеша

Пожалуй, самое «полезное» правило. Для идентификации файла используется его хеш. Хеш – это цифровой «отпечаток» файла, получаемый преобразованием его содержимого в битовую строку фиксированной длины с помощью специальных криптографических функций. Замечательное свойство такого преобразования заключается в том, что хеш однозначно идентифицирует любой файл, независимо от его названия и месторасположения. Любое, самое незначительное изменение кода файла приводит к изменению его хеша. И наоборот, два абсолютно идентичных файла имеют одинаковый хеш.

Правило для хеша

Для вычисления хеша файла укажите путь к нему, нажав кнопку Обзор. Если файл расположен на другом компьютере, необходимо обеспечить к нему доступ с той машины, где настраивается политика. Вы можете, например, подключить как сетевой диск стандартный общий ресурс вида \\COMP_NAME\C$. После расчета хеша в поле Хешируемый файл появятся его значение, длина файла и код алгоритма хеширования, разделенные двоеточием.

Идентификация файла по его хешу является наиболее предпочтительной, позволяя однозначно определять файл. Его недостаток – это большой первоначальный объем работы, который необходимо проделать при создании нового набора правил. Этот тип правил используется по принципу – «один файл, одно правило». Более того, различные версии одной программы имеют различное значение хеша. При достаточно большом объеме разрешенных для исполнения программ эта задача может в чем-то напоминать перепись населения. Впрочем, об упрощении процесса сбора информации о запускаемых программах мы расскажем чуть ниже.

Область действия политик ограниченного использования программ и приоритет правил

Действие политик ограниченного использования программ не распространяется на:

Программы, запущенные от имени учетной записи SYSTEM
Драйверы и другие приложения уровня ядра
Макросы внутри документов Microsoft Office
Программы, написанные для общей многоязыковой библиотеки времени выполнения (Common Language Runtime) – эти программы используют политику безопасности доступа кода (Code Access Security Policy)

Приоритет применения правил выглядит так (по мере убывания приоритета):

Правило для хеша
Правило для сертификата
Правило для пути
Правило для зоны Интернета
Правило по умолчанию

Планирование создания правил политики

Планируя применение политик ограниченного использования программ, всегда полезно и настоятельно рекомендуется предварительно провести их «обкатку» в тестовой среде. Ввиду сложности структуры на первоначальном этапе возможны ошибки, которые, конечно, лучше исправлять не на рабочей системе. В случае «срабатывания» правила политики в локальный журнал компьютера заносится событие. Код содержит тип правила, его вызвавшего (865 — уровень безопасности по умолчанию, 866 — правило для пути, 867 — правило для сертификата, 868 — правило для зоны Интернета или правило для хеша).

При создании политики, имеющей уровень безопасности Не разрешено, необходимо будет определить, какой код может быть разрешен для запуска пользователем. Как отмечалось выше, эта задача может быть достаточно трудоемкой. Для облегчения процесса инвентаризации программ можно задействовать их отслеживание с помощью расширенного ведения журнала. Этот способ достаточно прост и эффективен.

На тестовом компьютере активируется политика ограничения программ, и в качестве уровня безопасности устанавливается параметр Неограниченный. Все дополнительные правила из политики удаляются. Суть в том, что, несмотря на отсутствие ограничений, при активировании политики можно включить функцию расширенного ведения журнала, в который будет заноситься информация о запущенных программах. Выполнив на тестовом компьютере запуск минимально необходимого пользователю набора программ, а затем, проанализировав этого журнал, можно разработать все необходимые правила для политики.

Для включения режима расширенного ведения журнала на тестовом компьютере создайте параметр реестра в ветви HKLM\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers с именем LogFileName. Его значение должно содержать путь к каталогу, где будет расположен файл журнала. Содержимое журнала выглядит следующим образом:
winlogon.exe (PID = 452) identified C:\WINDOWS\system32\userinit.exe as Unrestricted using path rule, Guid = {191cd7fa-f240-4a17-8986-94d480a6c8ca}

Эта запись «переводится» так: родительский процесс winlogon.exe, имеющий значение идентификатора (PID) 452, выполнил запуск C:\Windows\system32\userinit.exe; правило, вызвавшее «срабатывание» — правило для пути с уровнем безопасности Неограниченный (Unrestricted), имеет код GUID {191cd7fa-f240-4a17-8986-94d480a6c8ca}. Каждое правило имеет свой идентификатор GUID. После того, как политика ограниченного использования программ применена, ее конфигурация хранится в системном реестре. Список контроля доступа, защищающий разделы реестра, позволяет только администраторам и учетной записи SYSTEM изменять ее. Политика пользователя хранится в разделе HKCU\Software\Policies\Microsoft\Windows\, политика компьютера хранится в разделе HKLM\SOFTWARE\Policies\Microsoft\Windows\.

Параметры политик в реестре

В случае каких-либо ошибок можно найти правило по его коду GUID и выяснить причину ошибки. По окончании отладки всех правил, на рабочей системе ведение журнала желательно прекратить, удалив параметр LogFileName из реестра для уменьшения использования дискового пространства и снижения быстродействия системы. В случае, если политика содержит параметры только для компьютера или пользователя, для ускорения обработки политики следует отключить неиспользуемые компоненты GPO.

Также для определения тех программ, которым потребуется создать разрешающие правила, можно воспользоваться утилитой msinfo32.exe. Для этого запустите все необходимые приложения, после этого нажмите кнопку Пуск, выберите Выполнить и введите команду msinfo32.exe. В окне программы msinfo32 разверните узел Программная среда и выберите Выполняемые задачи.

Небольшие примеры использования

Покажем все вышеизложенное на небольшом примере в тестовой среде. Создадим OU (пусть это будет Test Unit), поместим в него учетные записи компьютера и пользователя.

Тестовая OU

Для управления групповой политикой будет использоваться консоль gpmc. Создаем GPO – правой кнопкой мыши щелкаем на Test Unit, выбираем команду Свойства, в открывшемся окне переходим на вкладку Group Policy. Открываем консоль gpmc, еще раз делаем правый щелчок на Test Unit, и выбираем в меню команду Создать и связать GPO здесь… (Create and Link a GPO Here). Указываем имя для создаваемой политики, нажимаем кнопку ОК. Выбираем созданную политику, щелкаем по ней правой кнопкой мыши и указываем команду Редактировать (Edit).

Редактирование GPO

Откроется редактор объектов групповой политики. Сначала создадим политику, применяемую к компьютеру. Мы собираемся запретить всем пользователям на компьютерах группы Test Unit запуск любых программ, кроме Internet Explorer. Переходим в раздел Конфигурация компьютера – Конфигурация Windows – Параметры безопасности – Политики ограниченного использования программ. В меню Действие (или с помощью правой кнопки мыши) выбираем команду Новые политики. Переходим в раздел Уровни безопасности, включаем Не разрешено. Учитывая, что автоматически были созданы дополнительные правила, удаляем их. Для обеспечения входа пользователя в систему понадобится установить разрешения для некоторых программ. В моем случае (тестовая система с «чистой» установкой), необходимо, как минимум, разрешить запуск winlogon.exe, userinit.exe (для Vista это будут logonui.exe и userinit.exe) и explorer.exe из системной папки %windir%\system32. В другой ситуации, возможно, потребуются дополнительные разрешения — например, может возникнуть необходимость обработки сценариев, расположенных на сервере при входе пользователя в систему. Создаем для них правила пути, параметры которых вы можете увидеть на рисунке:

Созданные правила

Теперь создадим правило, разрешающее запуск Internet Explorer. Чтобы не дать возможности пользователю подмены файла и не зависеть от его расположения в файловой системе, будем использовать правило хеша. Подключаем на сервере, где мы производим настройку групповой политики диск C тестового компьютера. В редакторе объектов групповой политики в меню Действие выбираем команду Создать правило для хеша. Нажимаем кнопку Обзор, переходим в папку Program Files\Internet Explorer расположенную на тестовом компьютере и указываем файл IEXPLORE.EXE.

Правило хеша для IE

Чтобы потом не путаться, указываем в поле Описание название программы и ее версию. Отправляемся к тестируемому компьютеру проверять, что получилось. Для применения политик перезагружаем компьютер или выполняем на нем команду gpupdate /force. Пробуем запустить что-нибудь.

Запрет запуска программы

Отлично, запрет работает. Но самое забавное, что щелчок по ярлыку IE на рабочем столе его тоже не запускает (хотя прямой запуск из Проводника в рабочей папке IE сработает). Отменяем действие политики, чтобы посмотреть журнал ее применения (иначе Блокнот тоже не запустится). Наткнувшись на строчку вида
explorer.exe (PID = 372) identified C:\Documents and Settings\администратор\Рабочий стол\Запустить обозреватель Internet Explorer.lnk as Disallowed using default rule, Guid = {11015445-d282-4f86-96a2-9e485f593302}

вспоминаем, что ярлыки (то есть файлы с расширением .lnk) также расцениваются как исполняемый код. Поскольку у нас разрешен Проводник, нет особой нужды запрещать запуск ярлыков, тем более, что мы разрешаем запускать лишь определенные программы. Поэтому просто удалим тип LNK из списка назначенных типов файлов.

Напомним, что обновление параметров групповой политики происходит при загрузке компьютера, а обработка параметров, относящихся к пользователю – при его входе в систему. Принудительно обновить параметры групповой политики можно с помощью команды gpupdate /force. Утилита gpupdate.exe также является исполняемым кодом, и это следует учесть в период тестирования. Чтобы не перезагружать компьютер каждый раз после изменения параметров групповой политики для проверки работы правил, добавим gpupdate.exe в список разрешенных приложений. Разрешим еще запуск Блокнота и Калькулятора с помощью правил хеша. Все правила выглядят так:

Добавление правил для запуска Блокнота и Калькулятора

В дополнение к ограничениям, можно заставить какую-либо программу из разрешенных к запуску автоматически стартовать при входе пользователя в систему. Для этого в разделе Административные шаблоны – Система – Вход в систему редактора политики выберите параметр Запускать указанные программы при входе в систему. Переведите переключатель в положение Включен, нажмите кнопку Показать. В открывшемся окне нажмите кнопку Добавить и укажите полный путь к программе (если она расположена в system32, достаточно указать только имя файла).

Запуск программ при входе в систему

Компьютер теперь представляет собой подобие терминала, на котором любой пользователь (включая администраторов) может выполнить только те программы, для которых были созданы правила политики ограниченного использования программ. Даже выбрав в меню разрешенной программы команду Открыть и указав в диалоге исполняемый файл, который не указан в правилах, его запуск будет запрещен.

В следующем примере мы изменим настройки политики, применяя ее лишь к тем пользователям, которые входят в Test Unit. Для этого создаем одноименные параметры в ветви Параметры пользователя, а настройки из ветви Параметры компьютера удаляем. Если вы отключали обработку параметров пользователя для ускорения обработки политики, ее необходимо будет включить (наоборот, теперь, если параметры компьютера не используются, можно отключить их обработку). Перезагрузим компьютер, и попробуем войти с учетными записями пользователей, которые принадлежат OU Test Unit, и которые в него не входят. Ниже показан экран, который увидит пользователь с учетной записью, входящей в Test Unit.

Пользователь с ограничениями

А здесь — пользователь, не входящий в Test Unit, не будет попадать под действие политики ограниченного использования программ.

Пользователь без ограничений

Заключение

Настоятельно рекомендуется не изменять базовую доменную политику безопасности, а создавать новые объекты групповой политики. Это позволит в случае каких-либо непредвиденных ситуаций редактировать вновь созданные GPO, не затрагивая параметры безопасности всего домена. Следует учесть, что политика ограниченного использования программ при входе в систему пользователя, являющегося локальным администратором, в безопасном режиме не обрабатывается. Это дает возможность исправить политику, вызывающую проблемы.

Применение политик возможно и на компьютерах с ОС Windows, не являющихся членами домена. Например, можно создать шаблон безопасности на основе политики, а затем, после его переноса на необходимый компьютер, применить этот шаблон к локальной политике безопасности. В этом случае следует убедиться, что политика позволит произвести запуск утилиты Secedit, с помощью которой можно будет в дальнейшем обновить политику или отменить изменения.

При планировании применения политики ограниченного использования программ приходится учитывать множество аспектов, в том числе не явных. Поэтому еще раз обращаем внимание на то, что их настройку лучше производить в тестовой среде. Это позволит убедиться, что политика обеспечивает запуск необходимых приложений (например, используемые антивирусные программы), и запрещает исполнение нежелательного ПО. Такое использование позволит значительно снизить риск выполнения на компьютере вредоносных программ и упростит его дальнейшее администрирование.

Блокировка вирусов и шифровальщиков с помощью Software Restriction Policies

Продолжаем цикл статей о противодействии классу вирусов-шифровальщиков в корпоративной среде. В предыдущих частях мы рассмотрели настройку защиты на файловых серверах с помощью FSRM и использования теневых снимков дисков для быстрого восстановления данных после атаки. Сегодня речь пойдет о способе предотвращения запуска исполняемых файлов вирусов-шифровальщиков (в том числе обычных вирусов и троянов) на ПК пользователей.

Помимо антивируса, еще одним барьером для предотвращения запуска вредоносного ПО на компьютерах пользователей могут быть политики ограниченного использования программ. В среде Windows это могут быть технология Software Restriction Policies или AppLocker. Мы рассмотрим пример использования Software Restriction Policies для защиты от вирусов.

Software Restriction Policies (SRP) предоставляют возможность разрешать или запрещать запуск исполняемых файлов с помощью локальной или доменной групповой политики. Метод защиты от вирусов и шифровальщиков с помощью SRP предполагает запрет запуска файлов из определенных каталогов в пользовательском окружении, в которые, как правило, попадают файлы или архивы с вирусом. В подавляющем большинстве случаев файлы с вирусом, полученные из интернета или из электронный почты оказываются внутри каталога %APPDATA% профиля пользователя (в нем же находится папки %Temp% и Temporary Internet Files). В этом же каталоге хранятся распакованные временные копии архивов, когда пользователь не глядя открывает архив полученный по почте или скачанный с интернета.

При настройке SRP могут быть использованы две стратегии:

Разрешить запуск исполняемых файлов на компьютере только из определенных папок (как правило, это каталоги %Windir% и Program Files / Program Files x86) – это самый надежный метод, но требует длительного периода отладки и выявления нужного ПО, которое не работает в такой конфигурации
Запрет запуска исполняемых файлов из пользовательских каталогов, в которых в принципе не должно быть исполняемых файлов. Именно в этих каталогах в большинстве случаев оказываются файлы вируса при появлении на компьютере. Кроме того, у пользователя, не обладающего правами администратора, просто отсутствуют права на запись в каталоги системы кроме своих собственных. Поэтому вирус просто не сможет поместить свое тело куда-либо кроме директорий в профиле пользователя.

Мы рассмотрим создание SRP по второму варианту, как достаточно надежному и менее трудоемкому во внедрении. Итак, создадим политику, блокирующую запуск файлов по определенным путям. На локальном компьютере это можно сделать с помощью консоли gpedit.msc, если политика должна использоваться в домене, нужно в консоли Group Policy Management (gpmc.msc) создать новую политику и назначить ее на OU с компьютерами пользователей.

Примечание. Настоятельно рекомендуем перед внедрением SRP политик, протестировать их работу на группе тестовых компьютерах. В случае обнаружения легитимных программ, которые не запускаются из-за SRP, нужно добавить отдельные разрешительные правила.

В консоли редактора GPO перейдите в раздел Computer Configuration -> Windows Settings -> Security Settings . Щелкните ПКМ по Software Restriction Policies и выберите New Software Restriction Policies.

Выберите раздел Additional Rules, и создайте новое правило New Path Rule.

Создадим правило, запрещающее запуск исполняемых файлов с расширением *.exe из каталога %AppData%. Укажите следующие параметры правила:

Path: %AppData%\*.exe
Security Level: Disallowed
Description: Блокировка запуска exe файлов из папки %AppData%

Аналогичным образом нужно создать запрещающие правила для путей, перечисленных в таблице. Т.к. переменные окружения и пути в Windows 2003/XP и Windows Vista/выше отличаются, в таблице указаны значения для соответствующих версий ОС. Если у вас в домене еще остались Windows 2003/XP, для них лучше создать отдельную политики и назначить ее на OU с компьютерами с использованием WMI фильтра GPO по типу ОС.

Описание	Windows XP и 2003	Windows Vista/7/8/10, Windows Server 2008/2012
Запрет запуска файлов из %LocalAppData%	%UserProfile%Local Settings*.exe	%LocalAppData%\*.exe
Запрет запуска файлов из вложенных каталогов %AppData%:	%AppData%\\.exe	%AppData%\\.exe
Запрет запуска файлов из вложенных каталогов %LocalAppData%	%UserProfile%\Local Settings\\.exe	%LocalAppData%\\.exe
Запрет запуска exe файлов из архивов, открытых с помощью WinRAR	%UserProfile%\Local Settings\Temp\Rar\.exe	%LocalAppData%\Temp\Rar\.exe
Запрет запуска exe файлов из архивов, открытых с помощью 7zip	%UserProfile%\Local Settings\Temp\7z\.exe	%LocalAppData%\Temp\7z\.exe
Запрет запуска exe файлов из архивов, открытых с помощью WinZip	%UserProfile%\Local Settings\Temp\wz\.exe	%LocalAppData%\Temp\wz\.exe
Запрет запуска exe файлов из архивов, открытых с помощью встроенного архиватора Windows	%UserProfile%\Local Settings\Temp\.zip\.exe	%LocalAppData%\Temp\.zip\.exe
Запрет запуска exe файлов из каталога %temp%	%Temp%\*.exe	%Temp%\*.exe
Запрет запуска exe файлов из вложенных каталогов %temp%	%Temp%\\.exe	%Temp%\\.exe
Опционально. Запрет запуска exe фалов из любых каталогов в профиле пользователя . Важно. с эти правилом нужно быть внимательным, т.к. некоторое ПО, например плагины браузеров, установщики – хранят свои исполняемые файлы в профиле. Для таких программ нужно будет сделать правило исключения SRP	%UserProfile%\\.exe	UserProfile%\\.exe

Вы можете добавить собственные каталоги. В нашем примере получился примерно такой список запрещающих правил SRP.

Как правило, также следует запретить запуск других расширений потенциально опасных файлов (*.bat,*.vbs, *.js, *.wsh и т.п.), ведь вредоносный код может находиться не только в *.exe файлах. Для этого нужно изменить пути в правилах SPR , удалив вхождения *.exe. Таким образом, будет запрещен запуск всех исполняемых файлов и файлов сценариев в указанных каталогах. Список «опасных» расширений файлов задается в параметрах политики SRP в разделе Designated File Types. Как вы видите, в нем уже есть предустановленный список расширений исполняемых файлов и скриптов. Можете добавить или удалить определенные расширения.

Осталось проверить действие политики Software Restriction Policies на клиентском компьютере. Для этого обновите политики командой gpupdate /force и попробуйте запустить исполняемый *.exe файл из любого из указанных каталогов. Должно появиться сообщение об ошибке:

Your system administrator has blocked this program. For more info, contact your system administrator.

Попытки запуска исполняемых файлов из защищенных каталогов, которые были блокированы политиками SRP можно отслеживать с помощью журнала событий Windows. Интересующие нас события находятся в разделе Application, и имеют Event ID 866, с источником SoftwareRestrictionPolicies и примерно таким текстом:

Access to C:\Users\root\AppData\Local\Temp\71E88B1F-3073-436E-A3D8-D577E72DA049\dismhost.exe has been restricted by your Administrator by location with policy rule {31f4dcb9-d39b-4df3-b682-1b83892c6db4} placed on path C:\Users\root\AppData\Local\Temp\*\*.exe.

Совет. В том случае, если политика мешает запуску нужного доверенного приложения, можно добавить это файл в исключения политики (создав новое правило, указывающее на этот *.exe файл со значением Unrestricted).

Итак, мы показали общий пример техники использования политики ограниченного использования программ (SRP или Applocker) для блокировки вирусов, шифровальщиков и троянов на компьютерах пользователей. Рассматриваемая методик позволяет существенно усилить степень защиты систем от запуска вредоносного кода пользователями.

Политики ограниченного использования программ | Windows IT Pro/RE

Недавно одна кредитная организация наняла компанию, занимающуюся вопросами обеспечения безопасности, для имитации попытки взлома компьютеров своей сети. Специалисты компании успешно осуществили взлом компьютеров, для начала «подбросив» несколько USB-устройств на парковках и в «курилках» организации. Каждое устройство содержало исполняемый файл типа «троян». Сотрудники кредитной организации обнаружили большую часть устройств, подключили их к своим рабочим компьютерам и запустили исполняемый файл. Хотя нельзя быть уверенным в том, что ваши сотрудники или партнеры никогда не будут запускать файлы с найденных устройств, можно предотвратить возникновение описанной ситуации с помощью политик ограничения запуска программ Software Restriction Policies (SRP).

Политики SRP находятся в ведении службы Group Policy, которую можно использовать для ограничения запуска приложений на компьютерах с системами Windows Vista, Windows Server 2003 и Windows XP. Можно рассматривать политики SRP как аналог набора правил брандмауэра. В данном случае вы можете создать более общее правило, запрещающее или разрешающее запуск приложений, для которых не создано отдельных правил. Например, можно настроить общее правило, разрешающее запуск любых программ, и при этом отдельным правилом запретить запуск программы «Пасьянс». Или вы можете начать настройку с запрета запуска любых приложений и далее создавать правила SRP, разрешающие запуск конкретных приложений.

Можно создавать различные типы правил SRP, в том числе правило для зоны, правило для пути, правило для сертификата и правило для хеша. После небольшого обзора базовых понятий политик SRP я вкратце расскажу, как создавать правило каждого типа, но основное внимание будет уделено наиболее эффективному типу — правилам для хеша.

Исходные настройки

Вы можете настраивать политики SRP через разделы User или Computer службы Group Policy. Подобная гибкость позволяет применять политики к группам компьютеров или пользователей. Например, можно применить политику SRP, запрещающую пользователям играть в «Сапера» или «Пасьянс», к организационной единице, включающей сотрудников бухгалтерии. С другой стороны, можно применить политику SRP к группе компьютеров в общедоступной лаборатории колледжа, чтобы ограничить набор приложений, которые может устанавливать каждый, кто использует системы в тестовой лаборатории.

Чтобы активировать политики SRP, сначала создайте или отредактируйте объект Group Policy Object (GPO) и перейдите в окно Computer (или User) Configuration->Windows Settings->Security Settings->Software Restriction Policies. После этого щелкните правой кнопкой мыши на узле Restriction Policies и выберите пункт New Software Restriction Policies в контекстном меню.

После того, как вы активируете политики SRP, необходимо будет выбрать используемый уровень безопасности, Unrestricted или Disallowed. По умолчанию включен уровень Unrestricted, который разрешает запуск любых приложений, кроме запрещенных. И наоборот, режим Disallowed запрещает запуск любых приложений, кроме тех, для которых созданы исключения. Имейте в виду, что система Windows Vista предполагает третий уровень безопасности, Basic User, который вынуждает все приложения, кроме отдельно настроенных, работать с уровнем привилегий Basic User. Но так как эта статья посвящена запрету запуска приложений, мы не будем рассматривать уровень Basic User.

При серьезном подходе к ограничению использования неавторизованного программного обеспечения в организации рекомендуется выбирать уровень безопасности Disallowed. Для использования уровня Unrestricted требуется информация о том, какое именно программное обеспечение может быть запущено, что напоминает угадывание номеров лотерейных билетов. Хотя уровень Unrestricted может хорошо работать в безопасном окружении, где руководство просит вас отключить пользователям встроенные в систему Windows игры, его трудно задействовать в каком-либо решении с повышенными требованиями к безопасности. Однако если вы хотите заблокировать небольшое число приложений, не блокируя полностью компьютеры организации, стоит использовать уровень Unrestricted.

Для переключения политик SRP в уровень Disallowed перейдите в узел Software Restriction Policies->Security Levels и дважды щелкните на политике Disallowed. В появившемся окне Disallowed Properties, см. экран 1, просто установите флажок в поле Set as Default. Система Windows выдаст сообщение о том, что выбранный уровень является более безопасным, чем текущий, и некоторые программы могут быть закрыты. Щелкните на кнопке OK.

Рисунок 1: Установка уровня Disallowed в качестве уровня безопасности, используемого по умолчанию

По умолчанию в политиках SRP изначально существуют исключения для всех приложений, размещенных в папках %SystemRoot% и %SystemRoot%System32. Вы можете просмотреть эти исключения в окне Additional Rules для каждой политики. Эти правила предоставляют операционной системе минимальную функциональность, даже если выбран уровень безопасности Disallowed. Однако такие исключения дают злоумышленнику возможность скопировать исполняемый файл в одну из этих папок. Правила по умолчанию не делают различий между приложениями, например между cmd.exe и rootkit.exe, они лишь разрешают выполнение всех программ, размещенных в данных папках. Разрешения NTFS предоставляют некоторую защиту, не давая пользователям скопировать посторонние приложения в эти папки и запустить их. Но для того, чтобы по-настоящему защитить систему, необходимо заменить эти общие правила более жесткими.

Имейте в виду, что вы можете использовать политики SRP на компьютерах, которые не входят в рамки Active Directory (AD) (например ноутбуки), создав шаблон безопасности на основе компьютера использующего SRP и применив этот шаблон к локальной политике. Необходимо убедиться в том, что шаблон позволяет запускать утилиту Secedit, чтобы вы могли сделать отмену изменений или при необходимости обновить политику SRP.

Настройка общих политик

В узле Software Restriction Policies можно настроить следующие общие политики, которые определяют, каким образом система Windows применяет политики SRP: принуждение, назначенные типы файлов и доверенные издатели. Давайте рассмотрим каждый тип общих политик.

Принуждение. Принудительная политика используется для того, чтобы политики SRP применялись не только к исполняемым файлам типа «.exe», «.vbs» и всем остальным файлам, прописанным как исполняемые политики назначенных типов файлов, но и к библиотекам «.dll». Диалоговое окно Enforcement Properties, показанное на экране 2, позволяет применять политику SRP и к членам группы локальных администраторов.

Рисунок 2: Настройка политики принуждения для SRP

Для усиления безопасности необходимо включить в политику принуждения все типы программных файлов и применить ее ко всем пользователям. Однако создание отдельных правил для тысяч файлов «.dll» в стандартной комплектации Windows может потребовать нескольких недель работы. За исключением случаев, когда вам требуется максимально закрыть систему, более практичным и при этом достаточно надежным решением является использование политики принуждения без указания библиотек.

Имейте в виду, что в политику принуждения необходимо включить локальных администраторов. Если на компьютере требуется запустить приложение, не разрешенное в списках политик SRP, администратор может временно переместить систему в организационную единицу, на которую не распространяются данные политики.

Назначенные типы файлов. Политика назначенных типов файлов представляет собой список всех расширений — помимо стандартных расширений «.exe», «.dll» и «.vbs» — которые система Windows рассматривает как исполняемый код. На экране 3 изображено окно Designated File Types Properties. Если ваша организация использует тип файлов, не указанный в этом списке, например файлы Perl, вы можете добавить тип файла из этого диалогового окна.

Рисунок 3: Назначение исполняемых типов файлов

Доверенные издатели

Политика доверенных издателей используется для того, чтобы не дать пользователям добавить на свои системы новых доверенных издателей. Например, когда пользователи пытаются загрузить приложение с web-сайта компании Adobe, система спрашивает, хотят ли они сделать это приложение доверенным. Настройки политики определяют, кто может принимать решение о том, каким издателям доверять: конечные пользователи, локальные администраторы или корпоративные администраторы. Для обеспечения максимальной безопасности назначать доверенных издателей разрешается только корпоративным администраторам (как это сделать, показано на экране 4). Политика доверенных издателей также позволяет вам инициировать проверку списка отмененных сертификатов (CRL), чтобы выявить подлинность любого сертификата.

Рисунок 4: Предоставление прав на назначение доверенных издателей

Запрет или разрешение приложений

Теперь, когда мы познакомились с основными политиками SRP, давайте рассмотрим 4 типа правил, которые можно использовать для разрешения или запрета исполнения приложений: для зоны, для пути, для сертификата и для хеша.

Правила для зоны. Правила для зон Internet используются для ограничения или разрешения исполнения загруженных файлов «.msi» (для Windows Installer), в зависимости от зоны, из которой получен файл. Так как это правило применяется только к файлам «.msi», загруженным пользователями из Internet, этот тип политик SRP используется реже, чем остальные.

Для создания правила для зоны Internet щелкните правой кнопкой мыши на узле Additional Rules и выберите в контекстном меню пункт New Internet Zone Rule. Выберите Зону Internet и установите Уровень Безопасности в значение Unrestricted или Disallowed. В правиле для зоны Internet, настройка которого показана на экране 5, исполнение файлов «.msi», полученных из зоны Restricted sites, запрещено (уровень Disallowed).

Рисунок 5: Установка ограничений на зоны Internet

Правила для пути

Правила для пути позволяют указать папку или полный путь к приложению, которое может или не может быть выполнено. Недостатком правила для пути является то, что оно опирается исключительно на путь или на имя файла. Например, на экране 6 изображено правило для пути, которое разрешает запуск службы Outlook Express. Злоумышленники могут просто переименовать файл, содержащий вредоносный код, в «msimn.exe» и скопировать его в папку C:Program FilesOutlook Expressmsimn.exe. Так как задействуется правило для пути, файл, содержащий вредоносный код, считается разрешенным и может быть выполнен. Имейте в виду, что при настройке нескольких правил для пути приоритет будет иметь более «узкое» правило. Например, правило для пути C:directoryapplication.exe будет иметь приоритет перед правилом для пути C:directory.

Рисунок 6: Настройка правила для пути

Правила для сертификата

Правила для сертификата основаны на сертификатах, подписанных издателями. Основная проблема здесь заключается в том, что вам необходимо указать подписанный издателем сертификат. Кроме того, вы не можете использовать правило для сертификата, если требуется по-разному настроить политики для нескольких приложений одного и того же издателя. Например, вы не можете использовать данное правило, чтобы запретить сотрудникам играть в «Пасьянс», так как все игры, поставляемые вместе с Windows, подписаны тем же издателем, что и ключевые компоненты операционной системы, такие как служба IE.

Чтобы создать правило для сертификата, щелкните правой кнопкой мыши на узле Additional Rules и выберите пункт New Certificate Rule. Щелкните на кнопке Browse, укажите сертификат издателя (файл типа «.crt» или «.cer»), установите уровень безопасности в значение Unrestricted (или Disallowed) и щелкните на кнопке OK.

Правила для хеша. Правила для хеша я считаю лучшим типом политик SRP. Они не требуют от вас указания сертификата издателя, не берут за основу правила для зон Internet, и, так как для идентификации исполнительного файла они используют вычисленную контрольную сумму (хеш), злоумышленник не может запустить вредоносный код под новым именем в обход этого правила.

Правила для хеша используют контрольную сумму, рассчитанную для определенного файла. Например, блокирующее правило, использующее хеш программы notepad.exe из системы Windows 2003, не будет влиять на работу приложения «notepad.exe», поставляемого с системой XP Professional. А правило, использующее хеш программы notepad.exe из системы XP, не заблокирует приложение «notepad.exe», входящее в состав системы Vista. Хотя приложения, поставляемые с операционными системами, генерируют разный хеш в зависимости от версии системы, другие приложения — такие как Microsoft Word или Mozilla Firefox — генерируют одинаковую контрольную сумму вне зависимости от того, на какую систему они установлены:Vista, Windows 2003 или XP.

Для вычисления хеша необходим доступ к бинарному исполняемому файлу на том компьютере, где вы настраиваете объект GPO. Если вы создаете объект GPO на контроллере домена (DC), вы можете добавить сетевой диск на моделируемую систему, используя общую папку администратора, такую как XP-REF-SYSC$. После этого выбор исполняемого файла сводится к его поиску на сетевом диске.

При конфликте правил SRP правила для хеша имеют приоритет перед всеми другими. Также имейте в виду, что файлы, которые вы переименовываете или перемещаете в другое место, сохраняют свои контрольные суммы. Поэтому, если вы используете правило для блокирования файла, например исполняемого модуля вируса, оно сработает даже в случае, если кто-то изменил имя вируса.

Основной недостаток использования правил для хеша с политикой Disallowed заключается в том, что формирование исходного набора разрешенных приложений требует массы времени. Также нельзя забывать про необходимость обновления контрольной суммы каждый раз, когда изменяется версия приложения или устанавливается новое программное обеспечение. Для запуска обновленного приложения необходимо создать новое правило. Имейте в виду, что лучше создавать новые правила для обновленных приложений, чем менять под них старые, так как в вашей сети одновременно могут сосуществовать различные версии одного продукта. Со временем вы удалите правила для старых версий приложений.

Для создания правил для хеша, щелкните правой кнопкой мыши на узле Additional Rules службы Group Policy и выберите пункт Hash Rule. В появившемся окне New Hash Rule щелкните на кнопке Browse и выберите приложение, для которого хотите создать правило. При выборе приложения система Windows автоматически вычислит контрольную сумму файла, как показано на экране 7, и отобразит свойства файла в окне File information.

Рисунок 7: Создание правила для хеша

Настройка и отладка политик SRP

При создании политик SRP необходимо завести временную организационную единицу в службе AD и приписать к данной единице создаваемый объект GPO. После этого вы можете поместить туда тестовые учетные записи пользователей и компьютеров на время, необходимое вам для отладки политик SRP. После тестирования политик объекта GP можно прикрепить его к организационной единице, в которую входят реальные учетные записи пользователей и компьютеров. Убедитесь, что вы тщательно протестировали политики SRP — в лаборатории IT отдела и с пробной группой пользователей — прежде чем внедрять их в вашу организацию. Политики SRP имеют сложную структуру, и вы вряд ли сможете безошибочно настроить их с первого раза.

Если вам необходимо отладить ошибку в настройках политик SRP, можно просмотреть события, вызванные этими политиками (события под номером 865, 866 и 867), в локальном журнале компьютера. Также вы можете активировать более сложное отслеживание политик SRP, добавив строку LogFileName в следующий подраздел реестра: HKEY_LOCAL_MACHINESOFTWARE PoliciesMicrosoftWindowsSafer CodeIdentifiers. Строка LogFileName содержит путь к каталогу, в котором будет храниться файл журнала.

Следуйте правилам

Используя политики SRP, вы сможете запретить запуск в вашей системе нежелательных приложений — от отвлекающих игр до вирусов. Любая система (и Vista, и Windows 2003, и XP) предоставляет множество возможностей, которые позволят создать идеальные политики для вашей организации. Хотя реализация политики SRP исключительно на правилах для хеша требует большой работы, эти правила являются наиболее эффективными при защите компьютеров. Если бы кредитная организация из нашего примера реализовала политику SRP, согласно рекомендациям, приведенным в этой статье, внедренный «троян» никогда бы не был запущен, так как он не входил бы в список разрешенных приложений, организованный с помощью правил для хеша.

Политики ограниченного использования программ

Поделитесь материалом с коллегами и друзьями

Диагностика политик ограниченного использования программ

10/12/2016
Чтение занимает 4 мин

В этой статье

Область применения. Windows Server 2016, Windows Server 2012 R2, Windows Server 2012Applies To: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

В этом разделе описываются распространенные проблемы и их решения при устранении неполадок в политиках ограниченного использования программ (SRP), начиная с Windows Server 2008 и Windows Vista.This topic describes common problems and their solutions when troubleshooting Software Restriction Policies (SRP) beginning with Windows Server 2008 and Windows Vista.

ВведениеIntroduction

Windows не удается открыть программуWindows cannot open a program

Пользователи получают сообщение «Windows не может открыть эту программу, так как она была предотвращена политикой ограниченного использования программ».Users receive a message that says «Windows cannot open this program because it has been prevented by a software restriction policy. Для получения дополнительных сведений откройте Просмотр событий или обратитесь к системному администратору».For more information, open Event Viewer or contact your system administrator.» Или в командной строке появится сообщение «система не может выполнить указанную программу».Or, on the command line, a message says «The system cannot execute the specified program.»

Причина: Был создан уровень безопасности по умолчанию (или правило), чтобы программа была настроена как запрещенная, и в результате она не будет запущена.Cause: The default security level (or a rule) was created so that the software program is set as Disallowed, and as a result it will not start.

Решение: Подробное описание сообщения см. в журнале событий.Solution: Look in the event log for an in-depth description of the message. В сообщении журнала событий указывается, что программное обеспечение задано как запрещенное и какое правило применяется к программе.The event log message indicates what software program is set as Disallowed and what rule is applied to the program.

Измененные политики ограниченного использования программ не вступают в действие.Modified software restriction policies are not taking effect

Причина: Политики ограниченного использования программ, указанные в домене с помощью групповая политика переопределяют все параметры политики, настроенные локально.Cause: Software restriction policies that are specified in a domain through Group Policy override any policy settings that are configured locally. Это может предположить, что существует параметр политики из домена, переопределяющий параметр политики.This might imply that there is a policy setting from the domain that is overriding your policy setting.

Причина: Возможно, групповая политика не обновили параметры политики.Cause: Group Policy might not have refreshed its policy settings. Групповая политика периодически применяет изменения параметров политики; Поэтому, скорее всего, изменения политики, внесенные в каталог, еще не обновлены.Group Policy applies changes to policy settings periodically; therefore, it is likely that the policy changes that were made in the directory have not yet been refreshed.

РешенияSolutions:

Компьютер, на котором вы изменяете политики ограниченного использования программ для сети, должен иметь возможность связаться с контроллером домена.The computer on which you modify software restriction policies for the network must be able to contact a domain controller. Убедитесь, что компьютер может связаться с контроллером домена.Ensure the computer can contact a domain controller.
Обновите политику, выполнив выход из сети и снова войдя в сеть.Refresh policy by logging off of the network and then logging on to the network again. Если какая-либо политика применяется через групповая политика, то при входе в систему будут обновлены эти политики.If any policy is applied through Group Policy, logging back in will refresh those policies.
Вы можете обновить параметры политики с помощью программы командной строки gpupdate или выйти из системы, а затем снова войти на компьютер.You can refresh policy settings with the command-line utility gpupdate or by logging off from and then logging back on to your computer. Для получения наилучших результатов запустите gpupdate, а затем выполните выход из системы и войдите снова на компьютер.For best results, run gpupdate, and then log off from and log back on to your computer. Как правило, параметры безопасности обновляются каждые 90 минут на рабочей станции или сервере и каждые 5 минут на контроллере домена.Generally, the security settings are refreshed every 90 minutes on a workstation or server and every 5 minutes on a domain controller. Параметры также обновляются каждые 16 часов, вне зависимости от наличия изменений.The settings are also refreshed every 16 hours, whether or not there are any changes. Это настраиваемые параметры, поэтому интервалы обновления могут различаться в каждом домене.These are configurable settings so refresh intervals might be different in each domain.
Проверьте, какие политики применяются.Check which policies apply. Проверьте политики уровня домена без параметров переопределения .Check domain level policies for No Override settings.
Политики ограниченного использования программ, указанные в домене с помощью групповая политика переопределяют все политики, настроенные локально.Software restriction policies that are specified in a domain through Group Policy override any policies that are configured locally. Используйте программу командной строки Gpresult, чтобы определить, что именно влияет на политику.Use Gpresult command-line tool to determine what the net effect of the policy is. Это может предположить, что в домене есть политика, переопределяющая локальный параметр.This might imply that there is a policy from the domain that is overriding your local setting.
Если параметры SRP и AppLocker находятся в одном объекте групповой политики, параметры AppLocker будут иметь приоритет в Windows 7, Windows Server 2008 R2 и более поздних версиях.If SRP and AppLocker policy settings are in the same GPO, AppLocker settings will take precedence on Windows 7 , Windows Server 2008 R2 , and later. Рекомендуется использовать параметры политики SRP и AppLocker в разных объектах групповой политики.It is recommended to put SRP and AppLocker policy settings in different GPOs.

После добавления правила с помощью SRP вы не сможете войти на компьютерAfter adding a rule through SRP, you cannot log on to your computer

Причина: Компьютер получает доступ ко многим программам и файлам при запуске.Cause: Your computer accesses many programs and files when it starts. Возможно, вы случайно настроили одну из этих программ или файлов для запрещения.You might have inadvertently set one of these programs or files to Disallowed. Так как компьютер не может получить доступ к программе или файлу, он не может запуститься должным образом.Because the computer cannot access the program or file, it cannot start properly.

Решение: Запустите компьютер в защищенном режиме, войдите в систему как локальный администратор, а затем измените политики ограниченного использования программ, чтобы разрешить запуск программы или файла.Solution: Start the computer in Safe Mode, log on as a local administrator, and then change software restriction policies to allow the program or file to run.

Новый параметр политики не применяется к конкретному расширению имени файлаA new policy setting is not applying to a specific file name extension

Причина: Расширение имени файла отсутствует в списке поддерживаемых типов файлов.Cause: The filename extension is not in the list of supported file types.

Решение: Добавьте расширение имени файла в список типов файлов, поддерживаемых SRP.Solution: Add the filename extension to the list of file types supported by SRP.

Политики ограниченного использования программ устраняют проблему регулирования неизвестного или ненадежного кода.Software restriction policies address the problem of regulating unknown or untrusted code. Политики ограниченного использования программ — это параметры безопасности для обнаружения программного обеспечения и управления его возможностью запуска на локальном компьютере, на сайте, в домене или подразделении и могут быть реализованы через объект групповой политики.Software restriction policies are security settings to identify software and control its ability to run on a local computer, in a site, domain, or OU and can be implemented through a GPO.

Правило по умолчанию не ограничиваются ожидаемымA default rule is not restricting as expected

Причина: Правила, применяемые в определенном порядке, что может привести к переопределению правил по умолчанию определенными правилами.Cause: Rules which are applied in a particular order which can cause default rules to be overridden by specific rules. SRP применяет правила в следующем порядке (наиболее конкретно для общего):SRP applies rules in the following order (most specific to general):

Правила хэшированияHash rules
Правила для сертификатовCertificate rules
Правила для путейPath rules
Правила зоны ИнтернетаInternet Zone rules
Правила по умолчаниюDefault rules

Решение: Оцените правила, которые ограничивают приложение, и при необходимости удалите все, кроме правила по умолчанию.Solution: Evaluate the rules restricting the application and, if appropriate, remove all but the Default rule.

Не удалось определить, какие ограничения применяютсяUnable to discover which restrictions are applied

Причина: Не существует очевидной причины непредвиденного поведения, и обновление объекта групповой политики не устранило проблему, поэтому необходимо выполнить дальнейшее исследование.Cause: There is no apparent cause for the unexpected behavior, and GPO refresh has not solved the issue so further investigation is necessary.

РешенияSolutions:

Проверьте журнал системных событий и выполните фильтрацию по источнику «политика ограниченного использования программ».Investigate the System Event Log, filtering on source of «Software Restriction Policy.» В записях явно указывается, какое правило реализуется для каждого приложения.The entries explicitly state which rule is implemented for each application.
Включить расширенное ведение журнала.Enable advanced logging. Дополнительные сведения см. в разделе Определение списка allow-deny и инвентаризации приложений для политик ограниченного использования программ .See Determine Allow-Deny List and Application Inventory for Software Restriction Policies for more information.

WindowsFAQ.ru

Как работает применение групповой политики

Вкратце, собственно сам механизм применения групповой политики выглядит следующим образом. Вначале администратор создает объект групповой политики (GPO), содержащий определенный набор параметров рабочей среды. Этот объект может содержать настройки, применяемые как компьютеру, так и к пользователю. Далее, с помощью связывания (или привязки, linking) этот объект ассоциируется с одним или несколькими элементами дерева Active Directory. При загрузке компьютера, входящего в домен, выполняется запрос списков групповой политики у контроллера домена. Контроллер пересылает необходимые списки в том порядке, в котором они должны применяться на компьютере. Когда пользователь осуществляет вход в систему, выполняется еще один запрос о необходимых объектах групповой политики, которые затем применяются к пользователю, выполнившему вход в систему.

Применение политик ограничения запуска программ

В общем рассмотрении механизм работы политик ограничения запуска программ достаточно прост. Для начала они активируются при создании нового объекта групповой политики или редактировании существующего. Затем выбирается уровень необходимой безопасности. Уровень безопасности – это базовая модель контроля за исполнением программ, или, другими словами – правило по умолчанию. Взглянув на рисунок, вы все поймете:

Активирование политики ограниченного использования программ

Общие параметры настроек политики

Принудительное использование

Типы файлов

Список редактируемый – вы можете исключать из него перечисленные типы, а также добавлять новые.

Доверенные издатели

Создание правил политики

Зона
Путь
Сертификат
Хеш

Правило зоны

Правило пути

Путь можно ввести вручную в соответствующее поле или воспользоваться кнопкой Обзор.

Кроме указания самих путей в явном виде, допускается указание пути в реестре. Такая возможность полезна в том случае, когда у пользователя существует возможность установить приложение в неопределенное заранее место файловой системы компьютера, а программа хранит пути к своим рабочим каталогам в реестре. Правило будет просматривать соответствующую ветвь реестра, и при его совпадении будет производиться заданное в правиле действие – разрешение или запрет на запуск. Путь в реестре должен быть заключен между знаками «%». Он может содержать в окончании пути подстановочные знаки и использовать переменные среды. Не допускается использовать сокращения HKLM и HKCU (должен использоваться полный формат в виде HKEY_LOCAL_MACHINE), путь не должен заканчиваться символом «\» непосредственно перед закрывающим знаком «%» в правиле. Параметр реестра может быть типа REG_SZ или REG_EXPAND_SZ. По умолчанию, при активировании политик ограниченного использования программ создается четыре разрешающих правила пути в реестре.

Правило сертификата

Правило хеша

Пожалуй, самое «полезное» правило. Для идентификации файла используется его хеш. Хеш – это цифровой «отпечаток» файла, получаемый преобразованием его содержимого в битовую строку фиксированной длины с помощью специальных криптографических функций. Замечательное свойство такого преобразования заключается в том, что хеш однозначно идентифицирует любой файл, независимо от его названия и месторасположения. Любое, самое незначительное изменение кода файла приводит к изменению его хеша. И наоборот, два абсолютно идентичных файла имеют одинаковый хеш.

Для вычисления хеша файла укажите путь к нему, нажав кнопку Обзор. Если файл расположен на другом компьютере, необходимо обеспечить к нему доступ с той машины, где настраивается политика. Вы можете, например, подключить как сетевой диск стандартный общий ресурс вида \\COMP_NAME\C$. После расчета хеша в поле Хешируемый файл появятся его значение, длина файла и код алгоритма хеширования, разделенные двоеточием.

Область действия политик ограниченного использования программ и приоритет правил

Действие политик ограниченного использования программ не распространяется на:

Программы, запущенные от имени учетной записи SYSTEM
Драйверы и другие приложения уровня ядра
Макросы внутри документов Microsoft Office
Программы, написанные для общей многоязыковой библиотеки времени выполнения (Common Language Runtime) – эти программы используют политику безопасности доступа кода (Code Access Security Policy)

Приоритет применения правил выглядит так (по мере убывания приоритета):

Правило для хеша
Правило для сертификата
Правило для пути
Правило для зоны Интернета
Правило по умолчанию

Планирование создания правил политики

Для включения режима расширенного ведения журнала на тестовом компьютере создайте параметр реестра в ветви HKLM\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers с именем LogFileName. Его значение должно содержать путь к каталогу, где будет расположен файл журнала. Содержимое журнала выглядит следующим образом:

winlogon.exe (PID = 452) identified C:\WINDOWS\system32\userinit.exe as Unrestricted using path rule, Guid = {191cd7fa-f240-4a17-8986-94d480a6c8ca}

Эта запись «переводится» так: родительский процесс winlogon.exe, имеющий значение идентификатора (PID) 452, выполнил запуск C:\Windows\system32\userinit.exe; правило, вызвавшее «срабатывание» — правило для пути с уровнем безопасности Неограниченный (Unrestricted), имеет код GUID {191cd7fa-f240-4a17-8986-94d480a6c8ca}. Каждое правило имеет свой идентификатор GUID. После того, как политика ограниченного использования программ применена, ее конфигурация хранится в системном реестре. Список контроля доступа, защищающий разделы реестра, позволяет только администраторам и учетной записи SYSTEM изменять ее. Политика пользователя хранится в разделе HKCU\Software\Policies\Microsoft\Windows\, политика компьютера хранится в разделе HKLM\SOFTWARE\Policies\Microsoft\Windows\.

В случае каких-либо ошибок можно найти правило по его коду GUID и выяснить причину ошибки. По окончании отладки всех правил, на рабочей системе ведение журнала желательно прекратить, удалив параметр LogFileName из реестра для уменьшения использования дискового пространства и снижения быстродействия системы. В случае, если политика содержит параметры только для компьютера или пользователя, для ускорения обработки политики следует отключить неиспользуемые компоненты GPO.

Также для определения тех программ, которым потребуется создать разрешающие правила, можно воспользоваться утилитой msinfo32.exe. Для этого запустите все необходимые приложения, после этого нажмите кнопку Пуск, выберите Выполнить и введите команду msinfo32.exe. В окне программы msinfo32 разверните узел Программная среда и выберите Выполняемые задачи.

Небольшие примеры использования

Откроется редактор объектов групповой политики. Сначала создадим политику, применяемую к компьютеру. Мы собираемся запретить всем пользователям на компьютерах группы Test Unit запуск любых программ, кроме Internet Explorer. Переходим в раздел Конфигурация компьютера – Конфигурация Windows – Параметры безопасности – Политики ограниченного использования программ. В меню Действие (или с помощью правой кнопки мыши) выбираем команду Новые политики. Переходим в раздел Уровни безопасности, включаем Не разрешено. Учитывая, что автоматически были созданы дополнительные правила, удаляем их. Для обеспечения входа пользователя в систему понадобится установить разрешения для некоторых программ. В моем случае (тестовая система с «чистой» установкой), необходимо, как минимум, разрешить запуск winlogon.exe, userinit.exe (для Vista это будут logonui.exe и userinit.exe) и explorer.exe из системной папки %windir%\system32. В другой ситуации, возможно, потребуются дополнительные разрешения — например, может возникнуть необходимость обработки сценариев, расположенных на сервере при входе пользователя в систему. Создаем для них правила пути, параметры которых вы можете увидеть на рисунке:

Теперь создадим правило, разрешающее запуск Internet Explorer. Чтобы не дать возможности пользователю подмены файла и не зависеть от его расположения в файловой системе, будем использовать правило хеша. Подключаем на сервере, где мы производим настройку групповой политики диск C тестового компьютера. В редакторе объектов групповой политики в меню Действие выбираем команду Создать правило для хеша. Нажимаем кнопку Обзор, переходим в папку Program Files\Internet Explorer расположенную на тестовом компьютере и указываем файл IEXPLORE.EXE.

Чтобы потом не путаться, указываем в поле Описание название программы и ее версию. Отправляемся к тестируемому компьютеру проверять, что получилось. Для применения политик перезагружаем компьютер или выполняем на нем команду gpupdate /force. Пробуем запустить что-нибудь.

explorer.exe (PID = 372) identified C:\Documents and Settings\администратор\Рабочий стол\Запустить обозреватель Internet Explorer.lnk as Disallowed using default rule, Guid = {11015445-d282-4f86-96a2-9e485f593302}

Напомним, что обновление параметров групповой политики происходит при загрузке компьютера, а обработка параметров, относящихся к пользователю – при его входе в систему. Принудительно обновить параметры групповой политики можно с помощью команды gpupdate /force. Утилита gpupdate.exe также является исполняемым кодом, и это следует учесть в период тестирования. Чтобы не перезагружать компьютер каждый раз после изменения параметров групповой политики для проверки работы правил, добавим gpupdate.exe в список разрешенных приложений. Разрешим еще запуск Блокнота и Калькулятора с помощью правил хеша. Все правила выглядят так:

В дополнение к ограничениям, можно заставить какую-либо программу из разрешенных к запуску автоматически стартовать при входе пользователя в систему. Для этого в разделе Административные шаблоны – Система – Вход в систему редактора политики выберите параметр Запускать указанные программы при входе в систему. Переведите переключатель в положение Включен, нажмите кнопку Показать. В открывшемся окне нажмите кнопку Добавить и укажите полный путь к программе (если она расположена в system32, достаточно указать только имя файла).

Заключение

Администрирование политик ограниченного использования программ | Документы Microsoft

12.10.2016
8 минут на чтение

В этой статье

Применимо к: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Этот раздел для ИТ-специалистов содержит процедуры по администрированию политик управления приложениями с помощью политик ограниченного использования программ (SRP), начиная с Windows Server 2008 и Windows Vista.

Введение

Политики ограниченного использования программ (SRP) — это функция на основе групповой политики, которая идентифицирует программы, запущенные на компьютерах в домене, и контролирует возможность их запуска. Вы используете политики ограниченного использования программ, чтобы создать для компьютеров строго ограниченную конфигурацию, в которой вы разрешаете запуск только специально определенных приложений. Они интегрированы с доменными службами Microsoft Active Directory и групповой политикой, но также могут быть настроены на автономных компьютерах.Для получения дополнительных сведений о SRP см. Политики ограниченного использования программ.

Начиная с Windows Server 2008 R2 и Windows 7, Windows AppLocker может использоваться вместо или вместе с SRP для части стратегии управления приложениями.

В этой теме содержится:

Для получения информации о том, как выполнять определенные задачи с помощью SRP, см .:

Чтобы открыть политики ограниченного использования программ

Для вашего локального компьютера

Откройте настройки локальной безопасности.
В дереве консоли щелкните Политики ограниченного использования программ .
Где?
- Настройки безопасности / Политики ограниченного использования программ

Примечание

Для выполнения этой процедуры вы должны быть членом группы администраторов на локальном компьютере или вам должны быть делегированы соответствующие полномочия.

Для домена, сайта или подразделения, и вы находитесь на рядовом сервере или на рабочей станции, которая присоединена к домену

Откройте консоль управления Microsoft (MMC).
В меню Файл щелкните Добавить / удалить оснастку , а затем щелкните Добавить .
Щелкните Редактор объектов локальной групповой политики , а затем щелкните Добавить .
В выберите объект групповой политики , нажмите Обзор .
В Найдите объект групповой политики , выберите объект групповой политики (GPO) в соответствующем домене, сайте или организационной единице или создайте новый, а затем нажмите Готово .
Щелкните Закрыть , а затем щелкните ОК .
В дереве консоли щелкните Политики ограниченного использования программ .
Где?

Примечание

Для выполнения этой процедуры вы должны быть членом группы администраторов домена.

Для домена или подразделения, и вы находитесь на контроллере домена или на рабочей станции с установленными средствами удаленного администрирования сервера.

Откройте консоль управления групповой политикой.
В дереве консоли щелкните правой кнопкой мыши объект групповой политики (GPO), для которого нужно открыть политики ограниченного использования программ.
Щелкните Изменить , чтобы открыть объект групповой политики, который нужно изменить. Вы также можете щелкнуть New , чтобы создать новый GPO, а затем щелкнуть Edit .
В дереве консоли щелкните Политики ограниченного использования программ .
Где?

Примечание

Для выполнения этой процедуры вы должны быть членом группы администраторов домена.

Для сайта, и вы находитесь на контроллере домена или на рабочей станции с установленными средствами удаленного администрирования сервера

Откройте консоль управления групповой политикой.
В дереве консоли щелкните правой кнопкой мыши сайт, для которого нужно настроить групповую политику.
Где?
- Сайты и службы Active Directory [ Имя_контроллера_домена.Имя_домена ] / Сайты / Сайт
Щелкните запись в Ссылки на объекты групповой политики , чтобы выбрать существующий объект групповой политики (GPO), а затем щелкните Изменить .Вы также можете щелкнуть New , чтобы создать новый GPO, а затем щелкнуть Edit .
В дереве консоли щелкните Политики ограниченного использования программ .
Где

Примечание

Для выполнения этой процедуры вы должны быть членом группы администраторов на локальном компьютере или вам должны быть делегированы соответствующие полномочия. Если компьютер присоединен к домену, члены группы «Администраторы домена» могут выполнить эту процедуру.
Чтобы установить параметры политики, которые будут применяться к компьютерам, независимо от того, какие пользователи входят на них, щелкните Конфигурация компьютера .
Чтобы установить параметры политики, которые будут применяться к пользователям, независимо от того, на каком компьютере они входят, щелкните Конфигурация пользователя .

Для создания новых политик ограниченного использования программ

Открытые политики ограниченного использования программ.
В меню Action щелкните New Software Restriction Policies .

Предупреждение

Для выполнения этой процедуры требуются разные учетные данные администратора, в зависимости от вашей среды:
- Если вы создаете новые политики ограниченного использования программ для локального компьютера: Членство в локальной группе Администраторы или эквивалентной группе является минимумом, необходимым для выполнения этой процедуры.
- Если вы создаете новые политики ограниченного использования программ для компьютера, который присоединен к домену, члены группы «Администраторы домена» могут выполнять эту процедуру.
Если политики ограниченного использования программ уже были созданы для объекта групповой политики (GPO), команда Новые политики ограниченного использования программ не отображается в меню Действие . Чтобы удалить политики ограниченного использования программ, которые применяются к объекту групповой политики, в дереве консоли щелкните правой кнопкой мыши Политики ограниченного использования программ , а затем щелкните Удалить политики ограниченного использования программ . При удалении политик ограниченного использования программ для объекта групповой политики вы также удаляете все правила политик ограниченного использования программ для этого объекта групповой политики.После удаления политик ограниченного использования программ вы можете создать новые политики ограниченного использования программ для этого объекта групповой политики.

Чтобы добавить или удалить указанный тип файла

Открытые политики ограниченного использования программ.
На панели сведений дважды щелкните Назначенные типы файлов .
Выполните одно из следующих действий:
- Чтобы добавить тип файла, в поле Расширение имени файла введите расширение имени файла и нажмите Добавить .
- Чтобы удалить тип файла, в Назначенные типы файлов щелкните тип файла, а затем щелкните Удалить .

Примечание

Для выполнения этой процедуры требуются разные учетные данные администратора, в зависимости от среды, в которой вы добавляете или удаляете указанный тип файла:
- Если вы добавляете или удаляете указанный тип файла для локального компьютера: Членство в локальной группе Administrators или аналогичной группе является минимумом, необходимым для выполнения этой процедуры.
- Если вы создаете новые политики ограниченного использования программ для компьютера, который присоединен к домену, члены группы «Администраторы домена» могут выполнять эту процедуру.
Может потребоваться создать новый параметр политики ограниченного использования программ для объекта групповой политики (GPO), если вы еще этого не сделали.
Список назначенных типов файлов используется всеми правилами как для конфигурации компьютера, так и для конфигурации пользователя для объекта групповой политики.

Для предотвращения применения политик ограниченного использования программ к локальным администраторам

Открытые политики ограниченного использования программ.
В области сведений дважды щелкните Применение .
В разделе Применить политики ограниченного использования программ к следующим пользователям , щелкните Все пользователи, кроме локальных администраторов .

Предупреждение

Членство в локальной группе администраторов или эквивалентной группе является минимумом, необходимым для выполнения этой процедуры.
Может потребоваться создать новый параметр политики ограниченного использования программ для объекта групповой политики (GPO), если вы еще этого не сделали.
Если пользователи обычно являются членами локальной группы администраторов на своих компьютерах в вашей организации, возможно, вы не захотите включать этот параметр.
Если вы определяете параметр политики ограниченного использования программ для локального компьютера, используйте эту процедуру, чтобы запретить локальным администраторам применять к ним политики ограниченного использования программ. Если вы определяете параметр политики ограниченного использования программ для своей сети, отфильтруйте параметры политики пользователя на основе членства в группах безопасности с помощью групповой политики.

Для изменения уровня безопасности по умолчанию политик ограниченного использования программ

Открытые политики ограниченного использования программ.
В области сведений дважды щелкните Уровни безопасности .
Щелкните правой кнопкой мыши уровень безопасности, который вы хотите установить по умолчанию, а затем щелкните Установить по умолчанию .

Осторожно

В некоторых каталогах установка уровня безопасности по умолчанию на Запрещено может отрицательно повлиять на вашу операционную систему.

Примечание

Для выполнения этой процедуры требуются разные учетные данные администратора в зависимости от среды, для которой вы изменяете уровень безопасности по умолчанию политик ограниченного использования программ.
Может потребоваться создать новый параметр политики ограниченного использования программ для этого объекта групповой политики (GPO), если вы еще этого не сделали.
В области сведений текущий уровень безопасности по умолчанию обозначен черным кружком с галочкой.Если щелкнуть правой кнопкой мыши текущий уровень безопасности по умолчанию, команда Установить по умолчанию не появится в меню.
Правила политик ограниченного использования программ создаются для определения исключений из уровня безопасности по умолчанию. Когда уровень безопасности по умолчанию установлен на Неограниченный , правила могут указывать программное обеспечение, запуск которого запрещен. Когда уровень безопасности по умолчанию установлен на Запрещено , правила могут указывать программное обеспечение, которому разрешено запускать.
При установке уровень безопасности политик ограниченного использования программ по умолчанию для всех файлов в вашей системе установлен на Неограниченный .

Применение политик ограниченного использования программ к библиотекам DLL

Открытые политики ограниченного использования программ.
В области сведений дважды щелкните Применение .
В разделе Примените политики ограниченного использования программ к следующим , щелкните Все файлы программного обеспечения .

Примечание

Для выполнения этой процедуры вы должны быть членом группы администраторов на локальном компьютере или вам должны быть делегированы соответствующие полномочия.Если компьютер присоединен к домену, члены группы «Администраторы домена» могут выполнить эту процедуру.
По умолчанию политики ограниченного использования программ не проверяют библиотеки динамической компоновки (DLL). Проверка библиотек DLL может снизить производительность системы, поскольку политики ограниченного использования программ должны оцениваться каждый раз при загрузке библиотеки DLL. Однако вы можете решить проверить библиотеки DLL, если опасаетесь получить вирус, нацеленный на библиотеки DLL. Если уровень безопасности по умолчанию установлен на Запрещено и вы включили проверку DLL, необходимо создать правила политик ограниченного использования программ, которые разрешают запуск каждой DLL.

Политики ограниченного использования программ | Документы Microsoft

12.10.2016
3 минуты на чтение

В этой статье

Применимо к: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

В этом разделе для ИТ-специалистов описываются политики ограниченного использования программ (SRP) в Windows Server 2012 и Windows 8 и приводятся ссылки на техническую информацию о SRP, начиная с Windows Server 2003.

Процедуры и советы по устранению неполадок см. В разделах «Администрирование политик ограниченного использования программ» и «Устранение неполадок политик ограниченного использования программ».

Описание политик ограниченного использования программ

Политики ограниченного использования программ (SRP) — это функция на основе групповой политики, которая идентифицирует программы, запущенные на компьютерах в домене, и контролирует возможность их запуска. Политики ограниченного использования программ являются частью стратегии безопасности и управления Microsoft, призванной помочь предприятиям повысить надежность, целостность и управляемость своих компьютеров.

Вы также можете использовать политики ограниченного использования программ, чтобы создать строго ограниченную конфигурацию для компьютеров, в которой вы разрешаете запуск только определенных приложений. Политики ограниченного использования программ интегрированы с Microsoft Active Directory и групповой политикой. Вы также можете создавать политики ограниченного использования программ на автономных компьютерах. Политики ограниченного использования программ — это политики доверия, которые представляют собой правила, установленные администратором для ограничения скриптов и другого кода, запуск которых не является полностью доверенным.

Эти политики можно определить с помощью расширения «Политики ограниченного использования программ» редактора локальной групповой политики или оснастки «Локальные политики безопасности» в консоли управления Microsoft (MMC).

Для получения более подробной информации о SRP см. Технический обзор политик ограниченного использования программ.

Практическое применение

Администраторы могут использовать политики ограниченного использования программ для следующих задач:

Определите доверенный код
Разработка гибкой групповой политики для регулирования сценариев, исполняемых файлов и элементов управления ActiveX

Политики ограниченного использования программ применяются операционной системой и приложениями (такими как приложения-скрипты), которые соответствуют политикам ограниченного использования программ.

В частности, администраторы могут использовать политики ограниченного использования программ для следующих целей:

Укажите, какое программное обеспечение (исполняемые файлы) может запускаться на клиентах
Запретить пользователям запускать определенные программы на общих компьютерах
Укажите, кто может добавлять доверенных издателей к клиентам
Задайте область действия политик ограниченного использования программ (укажите, влияют ли политики на всех пользователей или часть пользователей на клиентах)
Запретить запуск исполняемых файлов на локальном компьютере, организационном подразделении (OU), сайте или домене.Это было бы целесообразно в случаях, когда вы не используете политики ограниченного использования программ для устранения потенциальных проблем со злонамеренными пользователями.

Новый и измененный функционал

Функциональность политик ограниченного использования программ не изменилась.

Удаленная или устаревшая функциональность

Нет удаленных или устаревших функций для политик ограниченного использования программ.

Программные требования

Расширение политик ограниченного использования программ для редактора локальной групповой политики доступно через MMC.

Для создания и поддержки политик ограниченного использования программ на локальном компьютере требуются следующие функции:

Если ваш проект предусматривает развертывание этих политик в домене, помимо приведенного выше списка, требуются следующие функции:

Информация о диспетчере сервера

Политики ограниченного использования программ — это расширение редактора локальной групповой политики, которое не устанавливается через диспетчер сервера, добавление ролей и компонентов.

См. Также

В следующей таблице приведены ссылки на соответствующие ресурсы для понимания и использования SRP.

Устранение неполадок политик ограниченного использования программ | Документы Microsoft

12.10.2016
4 минуты на чтение

В этой статье

Применимо к: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

В этом разделе описаны распространенные проблемы и их решения при устранении неполадок политик ограниченного использования программ (SRP), начиная с Windows Server 2008 и Windows Vista.

Введение

Windows не может открыть программу

Пользователи получают сообщение «Windows не может открыть эту программу, потому что это было запрещено политикой ограниченного использования программ. Для получения дополнительных сведений откройте средство просмотра событий или обратитесь к системному администратору.«Или в командной строке появляется сообщение« Система не может выполнить указанную программу ».

Причина: Уровень безопасности (или правило) по умолчанию был создан таким образом, что программа установлена как Запрещено , и в результате она не запускается.

Решение: Подробное описание сообщения можно найти в журнале событий. Сообщение журнала событий указывает, какая программа установлена как Запрещено и какое правило применено к программе.

Измененные политики ограниченного использования программ не вступают в силу

Причина: Политики ограниченного использования программ, указанные в домене с помощью групповой политики, переопределяют любые параметры политики, настроенные локально. Это может означать, что существует параметр политики из домена, который переопределяет ваш параметр политики.

Причина: возможно, групповая политика не обновила свои параметры политики. Групповая политика периодически применяет изменения к параметрам политики; следовательно, вероятно, что изменения политики, внесенные в каталог, еще не были обновлены.

Решения:

Компьютер, на котором вы изменяете политики ограниченного использования программ для сети, должен иметь возможность связываться с контроллером домена. Убедитесь, что компьютер может связаться с контроллером домена.
Обновите политику, выйдя из сети, а затем снова войдя в нее. Если какая-либо политика применяется через групповую политику, повторный вход в систему обновит эти политики.
Вы можете обновить параметры политики с помощью утилиты командной строки gpupdate или выйдя из системы, а затем снова войдя в нее.Для достижения наилучших результатов запустите gpupdate, а затем выйдите из системы и снова войдите в систему. Обычно параметры безопасности обновляются каждые 90 минут на рабочей станции или сервере и каждые 5 минут на контроллере домена. Настройки также обновляются каждые 16 часов независимо от того, есть ли какие-либо изменения. Это настраиваемые параметры, поэтому интервалы обновления могут быть разными в каждом домене.
Проверьте, какие политики применяются. Проверьте политики уровня домена на наличие настроек No Override .
Политики ограниченного использования программ, указанные в домене с помощью групповой политики, переопределяют любые политики, настроенные локально. Используйте инструмент командной строки Gpresult, чтобы определить итоговый эффект политики. Это может означать, что существует политика домена, которая переопределяет ваш локальный параметр.
Если параметры политики SRP и AppLocker находятся в одном объекте групповой политики, параметры AppLocker будут иметь приоритет в Windows 7, Windows Server 2008 R2 и более поздних версиях.Рекомендуется помещать параметры политики SRP и AppLocker в разные объекты групповой политики.

После добавления правила через SRP вы не можете войти на свой компьютер

Причина: Ваш компьютер при запуске обращается ко многим программам и файлам. Возможно, вы случайно установили для одной из этих программ или файлов значение Запрещено . Поскольку компьютер не может получить доступ к программе или файлу, он не может запуститься должным образом.

Решение: Запустите компьютер в безопасном режиме, войдите в систему как локальный администратор, а затем измените политики ограниченного использования программ, чтобы разрешить запуск программы или файла.

Новый параметр политики не применяется к определенному расширению имени файла

Причина: Расширение имени файла отсутствует в списке поддерживаемых типов файлов.

Решение: Добавьте расширение имени файла в список типов файлов, поддерживаемых SRP.

Политики ограниченного использования программ решают проблему регулирования неизвестного или ненадежного кода. Политики ограниченного использования программ — это параметры безопасности, позволяющие идентифицировать программное обеспечение и управлять его способностью запускаться на локальном компьютере, на сайте, в домене или подразделении и могут быть реализованы через объект групповой политики.

Правило по умолчанию не накладывает ожидаемых ограничений

Причина: Правила, которые применяются в определенном порядке, что может привести к переопределению правил по умолчанию определенными правилами. SRP применяет правила в следующем порядке (от наиболее специфичного к общему):

Правила хеширования
Сертификат правила
Правила пути
Правила Интернет-зоны
Правила по умолчанию

Решение: Оцените правила, ограничивающие приложение, и, при необходимости, удалите все, кроме правила по умолчанию.

Невозможно определить, какие ограничения применяются

Причина: Нет очевидной причины неожиданного поведения, и обновление GPO не решило проблему, поэтому необходимо дальнейшее исследование.

Решения:

Изучите журнал системных событий, отфильтровав источник «Политики ограниченного использования программ». Записи явно указывают, какое правило реализуется для каждого приложения.
Включить расширенное ведение журнала.Дополнительные сведения см. В разделах «Определение списка разрешенных-запрещенных действий» и «Реестр приложений для политик ограниченного использования программ».

Работа с правилами политик ограниченного использования программ

12.10.2016
13 минут на чтение

В этой статье

Применимо к: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

В этом разделе описаны процедуры работы с сертификатом, путем, зоной Интернета и хэш-правилами с использованием политик ограниченного использования программ.

Введение

С помощью политик ограниченного использования программ вы можете защитить свою вычислительную среду от ненадежного программного обеспечения, определив и указав, какое программное обеспечение разрешено запускать. Вы можете определить уровень безопасности по умолчанию Unrestricted или Disallowed для объекта групповой политики (GPO), чтобы программное обеспечение было либо разрешено, либо не разрешено по умолчанию. Вы можете сделать исключения из этого уровня безопасности по умолчанию, создав правила политик ограниченного использования программ для определенного программного обеспечения.Например, если уровень безопасности по умолчанию установлен на Запрещено , вы можете создать правила, разрешающие запуск определенного программного обеспечения. Типы правил следующие:

Для получения информации о других задачах по управлению политиками ограниченного использования программ см. Администрирование политик ограниченного использования программ.

Работа с правилами сертификата

Политики ограниченного использования программ также могут идентифицировать программное обеспечение по его сертификату подписи. Вы можете создать правило сертификата, которое идентифицирует программное обеспечение, а затем разрешает или не разрешает запуск программного обеспечения, в зависимости от уровня безопасности.Например, вы можете использовать правила сертификатов, чтобы автоматически доверять программному обеспечению из надежного источника в домене без запроса пользователя. Вы также можете использовать правила сертификатов для запуска файлов в запрещенных областях вашей операционной системы. Правила сертификатов по умолчанию не включены.

При создании правил для домена с использованием групповой политики у вас должны быть разрешения на создание или изменение объекта групповой политики. Если вы создаете правила для локального компьютера, у вас должны быть учетные данные администратора на этом компьютере.

Для создания сертификата правило

Открытые политики ограниченного использования программ.
В дереве консоли или на панели сведений щелкните правой кнопкой мыши Дополнительные правила , а затем щелкните Новое правило сертификата .
Щелкните Обзор , а затем выберите сертификат или подписанный файл.
На уровне безопасности щелкните Запрещено или Без ограничений .
В поле Описание введите описание для этого правила и нажмите ОК .

Примечание

Может потребоваться создать новый параметр политики ограниченного использования программ для объекта групповой политики (GPO), если вы еще этого не сделали.
Правила сертификатов не включены по умолчанию.
Единственные типы файлов, на которые влияют правила сертификатов, — это те, которые перечислены в Назначенные типы файлов на панели сведений для политик ограниченного использования программ.Существует один список назначенных типов файлов, который используется всеми правилами.
Чтобы политики ограниченного использования программ вступили в силу, пользователи должны обновить параметры политики, выйдя из системы и войдя в систему на своих компьютерах.
Когда к параметрам политики применяется более одного правила политик ограниченного использования программ, существует приоритет правил для обработки конфликтов.

Включение правил сертификата

Существуют разные процедуры включения правил сертификатов в зависимости от вашей среды:

Включение правил сертификатов для локального компьютера

Откройте настройки локальной безопасности.
В дереве консоли щелкните Параметры безопасности в разделе «Параметры безопасности / Локальные политики».
В области сведений дважды щелкните Параметры системы: использовать правила сертификатов для исполняемых файлов Windows для политик ограниченного использования программ .
Выполните одно из следующих действий и нажмите ОК :
- Чтобы включить правила сертификата, щелкните Включено .
- Чтобы отключить правила сертификата, щелкните Отключено .

Чтобы включить правила сертификата для объекта групповой политики, и вы находитесь на сервере, который присоединен к домену

Откройте консоль управления Microsoft (MMC).
В меню Файл щелкните Добавить / удалить оснастку , а затем щелкните Добавить .
Щелкните Редактор объектов локальной групповой политики , а затем щелкните Добавить .
В Выберите объект групповой политики , нажмите Обзор .
В Найдите объект групповой политики , выберите объект групповой политики (GPO) в соответствующем домене, сайте или организационной единице или создайте новый, а затем нажмите Завершить .
Щелкните Закрыть , а затем щелкните ОК .
В дереве консоли щелкните Параметры безопасности , расположенный в разделе GroupPolicyObject [ ComputerName ] Policy / Computer Configuration / Windows Settings / Security Settings / Local Policies /.
В области сведений дважды щелкните Параметры системы: использовать правила сертификатов для исполняемых файлов Windows для политик ограниченного использования программ .
Если этот параметр политики еще не определен, установите флажок Определить эти параметры политики .
Выполните одно из следующих действий и нажмите ОК :
- Чтобы включить правила сертификата, щелкните Включено .
- Чтобы отключить правила сертификата, щелкните Отключено .

Для включения правил сертификата для объекта групповой политики, если вы находитесь на контроллере домена или на рабочей станции, на которой установлены средства удаленного администрирования сервера.

Откройте Active Directory — пользователи и компьютеры.
В дереве консоли щелкните правой кнопкой мыши объект групповой политики (GPO), для которого вы хотите включить правила сертификата.
Щелкните Свойства , а затем щелкните вкладку Групповая политика .
Щелкните Изменить , чтобы открыть объект групповой политики, который нужно изменить. Вы также можете щелкнуть New , чтобы создать новый GPO, а затем щелкнуть Edit .
В дереве консоли щелкните Параметры безопасности , расположенный в разделе GroupPolicyObject [ ComputerName ] Policy / Computer Configuration / Windows Settings / Security Settings / Local Policies.
В области сведений дважды щелкните Параметры системы: использовать правила сертификатов для исполняемых файлов Windows для политик ограниченного использования программ .
Если этот параметр политики еще не определен, установите флажок Определить эти параметры политики .
Выполните одно из следующих действий и нажмите ОК :
- Чтобы включить правила сертификата, щелкните Включено .
- Чтобы отключить правила сертификата, щелкните Отключено .

Чтобы включить правила сертификатов только для контроллеров домена, и вы находитесь на контроллере домена или на рабочей станции, на которой установлены средства удаленного администрирования сервера

Откройте настройки безопасности контроллера домена.
В дереве консоли щелкните Параметры безопасности , расположенный в разделе GroupPolicyObject [ ComputerName ] Policy / Computer Configuration / Windows Settings / Security Settings / Local Policies.
В области сведений дважды щелкните Параметры системы: использовать правила сертификатов для исполняемых файлов Windows для политик ограниченного использования программ .
Если этот параметр политики еще не определен, установите флажок Определить эти параметры политики .
Выполните одно из следующих действий и нажмите ОК :
- Чтобы включить правила сертификата, щелкните Включено .
- Чтобы отключить правила сертификата, щелкните Отключено .

Примечание

Вы должны выполнить эту процедуру, прежде чем правила сертификата вступят в силу.

Установить параметры доверенного издателя

Подписывание программного обеспечения используется все большим числом издателей программного обеспечения и разработчиков приложений для проверки того, что их приложения поступают из надежного источника.Однако многие пользователи не понимают или не обращают внимания на сертификаты подписи, связанные с приложениями, которые они устанавливают.

Параметры политики на вкладке Доверенные издатели политики проверки пути сертификата позволяют администраторам контролировать, какие сертификаты могут быть приняты как исходящие от доверенного издателя.

Для настройки параметров политики доверенных издателей для локального компьютера

На экране Start введите gpedit.msc и затем нажмите ENTER.
В дереве консоли в разделе Политика локального компьютера \ Конфигурация компьютера \ Параметры Windows \ Параметры безопасности щелкните Политики открытого ключа .
Дважды щелкните Параметры проверки пути к сертификату , а затем щелкните вкладку Доверенные издатели .
Установите флажок Определить эти параметры политики , выберите параметры политики, которые вы хотите применить, а затем нажмите ОК , чтобы применить новые параметры.

Для настройки параметров политики доверенных издателей для домена

Открыть Управление групповой политикой .
В дереве консоли дважды щелкните Объекты групповой политики в лесу и домене, содержащем объект групповой политики (GPO) Default Domain Policy , который вы хотите изменить.
Щелкните правой кнопкой мыши объект Default Domain Policy GPO, а затем щелкните Edit .
В дереве консоли в разделе Конфигурация компьютера \ Параметры Windows \ Параметры безопасности щелкните Политики открытого ключа .
Дважды щелкните Параметры проверки пути к сертификату , а затем щелкните вкладку Доверенные издатели .
Установите флажок Определить эти параметры политики , выберите параметры политики, которые вы хотите применить, а затем нажмите ОК , чтобы применить новые параметры.

Разрешить только администраторам управлять сертификатами, используемыми для подписи кода для локального компьютера

На экране Пуск введите gpedit.msc в Поиск программ и файлов или в Windows 8 на рабочем столе и нажмите клавишу ВВОД.
В дереве консоли в разделе Политика домена по умолчанию или Политика локального компьютера дважды щелкните Конфигурация компьютера , Параметры Windows и Параметры безопасности , а затем щелкните Политики открытого ключа .
Дважды щелкните Параметры проверки пути к сертификату , а затем щелкните вкладку Доверенные издатели .
Установите флажок Определить эти параметры политики .
В разделе Управление надежными издателями щелкните Разрешить только всем администраторам управлять надежными издателями , а затем щелкните ОК , чтобы применить новые настройки.

Разрешить только администраторам управлять сертификатами, используемыми для подписи кода для домена

Открыть Управление групповой политикой .
В дереве консоли дважды щелкните Объекты групповой политики в лесу и домене, содержащем объект групповой политики Default Domain Policy , который вы хотите изменить.
Щелкните правой кнопкой мыши объект Default Domain Policy GPO, а затем щелкните Edit .
В дереве консоли в разделе Конфигурация компьютера \ Параметры Windows \ Параметры безопасности щелкните Политики открытого ключа .
Дважды щелкните Параметры проверки пути к сертификату , а затем щелкните вкладку Доверенные издатели .
Установите флажок Определить эти параметры политики , внесите необходимые изменения и нажмите ОК , чтобы применить новые параметры.

Работа с хеш-правилами

Хэш — это последовательность байтов фиксированной длины, которая однозначно идентифицирует программу или файл. Хэш вычисляется с помощью алгоритма хеширования. Когда для программы создается правило хеширования, политики ограниченного использования программ вычисляют хэш программы.Когда пользователь пытается открыть программу, хеш-код программы сравнивается с существующими правилами хеширования для политик ограниченного использования программ. Хеш-код программы всегда один и тот же, независимо от того, где она расположена на компьютере. Однако, если программа каким-либо образом изменяется, ее хэш также изменяется, и он больше не совпадает с хешем в правиле хеширования для политик ограниченного использования программ.

Например, вы можете создать правило хеширования и установить уровень безопасности Запрещено , чтобы запретить пользователям запускать определенный файл.Файл можно переименовать или переместить в другую папку, но в результате будет получен тот же хеш. Однако любые изменения в самом файле также изменяют его хеш-значение и позволяют файлу обходить ограничения.

Для создания правила хеширования

Открытые политики ограниченного использования программ.
В дереве консоли или на панели сведений щелкните правой кнопкой мыши Дополнительные правила , а затем щелкните Новое правило хеширования .
Щелкните Обзор , чтобы найти файл.
Примечание
В Windows XP можно вставить предварительно рассчитанный хэш в Хэш файла . В Windows Server 2008 R2, Windows 7 и более поздних версиях этот параметр недоступен.
На уровне безопасности щелкните Запрещено или Без ограничений .
В поле Описание введите описание для этого правила и нажмите ОК .

Примечание

Может потребоваться создать новый параметр политики ограниченного использования программ для объекта групповой политики (GPO), если вы еще этого не сделали.
Для вируса или троянского коня можно создать правило хеширования, чтобы предотвратить их запуск.
Если вы хотите, чтобы другие люди использовали правило хеширования, чтобы вирус не запускался, вычислите хеш-код вируса, используя политики ограниченного использования программ, а затем отправьте значение хеш-функции другим людям по электронной почте. Никогда не отправляйте по электронной почте сам вирус.
Если вирус был отправлен по электронной почте, вы также можете создать правило пути, чтобы предотвратить выполнение вложений электронной почты.
Файл, который переименовывается или перемещается в другую папку, имеет тот же хеш.Любое изменение самого файла приводит к другому хешу.
Единственные типы файлов, на которые влияют правила хеширования, — это те, которые перечислены в Назначенные типы файлов на панели сведений для политик ограниченного использования программ. Существует один список назначенных типов файлов, который используется всеми правилами.
Чтобы политики ограниченного использования программ вступили в силу, пользователи должны обновить параметры политики, выйдя из системы и войдя в систему на своих компьютерах.
Когда к параметрам политики применяется более одного правила политик ограниченного использования программ, существует приоритет правил для обработки конфликтов.

Работа с правилами Интернет-зоны

Правила зоны Интернета применяются только к пакетам установщика Windows. Правило зоны может идентифицировать программное обеспечение из зоны, указанной в Internet Explorer. Это зоны «Интернет», «Местная интрасеть», «Ограниченные сайты», «Надежные сайты» и «Мой компьютер». Правило зоны Интернета предназначено для предотвращения загрузки и установки программного обеспечения пользователями.

Для создания правила зоны Интернета

Открытые политики ограниченного использования программ.
В дереве консоли или на панели сведений щелкните правой кнопкой мыши Дополнительные правила , а затем щелкните Новое правило зоны Интернета .
В зоне Интернета щелкните зону Интернета.
На уровне безопасности щелкните Запрещено или Неограничено , а затем щелкните ОК .

Примечание

Может потребоваться создать новый параметр политики ограниченного использования программ для объекта групповой политики (GPO), если вы еще этого не сделали.
Правила зоны применяются только к файлам с типом файла .msi, которые являются пакетами установщика Windows.
Чтобы политики ограниченного использования программ вступили в силу, пользователи должны обновить параметры политики, выйдя из системы и войдя в систему на своих компьютерах.
Когда к параметрам политики применяется более одного правила политик ограниченного использования программ, существует приоритет правил для обработки конфликтов.

Работа с правилами пути

Правило пути определяет программное обеспечение по пути к файлу.Например, если у вас есть компьютер с уровнем безопасности по умолчанию Запрещено , вы все равно можете предоставить неограниченный доступ к определенной папке для каждого пользователя. Вы можете создать правило пути, указав путь к файлу и установив уровень безопасности правила пути на Неограниченный . Некоторые общие пути для этого типа правил:% userprofile%,% windir%,% appdata%,% programfiles% и% temp%. Вы также можете создать правила пути реестра, которые будут использовать ключ реестра программного обеспечения в качестве пути.

Поскольку эти правила задаются путем, если программа перемещается, правило пути больше не применяется.

Чтобы создать правило пути

Открытые политики ограниченного использования программ.
В дереве консоли или на панели сведений щелкните правой кнопкой мыши Дополнительные правила , а затем щелкните Правило нового пути .
В поле Путь введите путь или щелкните Обзор , чтобы найти файл или папку.
На уровне безопасности щелкните Запрещено или Без ограничений .
В поле Описание введите описание для этого правила и нажмите ОК .

Осторожно

В некоторых папках, например в папке Windows, установка уровня безопасности Запрещено может отрицательно повлиять на работу вашей операционной системы. Убедитесь, что вы не запрещаете важный компонент операционной системы или одну из зависимых от нее программ.

Примечание

Может потребоваться создать новые политики ограниченного использования программ для объекта групповой политики (GPO), если вы еще этого не сделали.
Если вы создаете правило пути для программного обеспечения с уровнем безопасности Запрещено , пользователи все равно могут запускать программное обеспечение, копируя его в другое место.
Подстановочные знаки, которые поддерживаются правилом пути, — это * и?.
В правиле пути можно использовать переменные среды, такие как% programfiles% или% systemroot%.
Если вы хотите создать правило пути для программного обеспечения, когда вы не знаете, где оно хранится на компьютере, но у вас есть его раздел реестра, вы можете создать правило пути реестра.
Чтобы запретить пользователям запускать вложения электронной почты, вы можете создать правило пути для каталога вложений вашей программы электронной почты, которое запрещает пользователям запускать вложения электронной почты.
Единственные типы файлов, на которые влияют правила пути, — это те, которые перечислены в Назначенные типы файлов на панели сведений для политик ограниченного использования программ.Существует один список назначенных типов файлов, который используется всеми правилами.
Чтобы политики ограниченного использования программ вступили в силу, пользователи должны обновить параметры политики, выйдя из системы и войдя в систему на своих компьютерах.
Когда к параметрам политики применяется более одного правила политик ограниченного использования программ, существует приоритет правил для обработки конфликтов.

Чтобы создать правило пути реестра

На экране Start введите regedit.
В дереве консоли щелкните правой кнопкой мыши раздел реестра, для которого нужно создать правило, а затем выберите Копировать имя раздела . Обратите внимание на имя значения в области сведений.
Открытые политики ограниченного использования программ.
В дереве консоли или на панели сведений щелкните правой кнопкой мыши Дополнительные правила , а затем щелкните Правило нового пути .
В Путь вставьте имя раздела реестра, а затем имя значения.
Заключите путь реестра в знаки процента (%), например,% HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ PlatformSDK \ Directories \ InstallDir%.
На уровне безопасности щелкните Запрещено или Без ограничений .
В поле Описание введите описание для этого правила и нажмите ОК .