Поделиться через


Выберите типы правил для создания

 

Применимо к:Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8

В этом разделе перечислены ресурсы, которые можно использовать при выборе правил политики управления приложения с помощью AppLocker.

При определении, какие типы правил для создания для каждой группы, также следует определить, какой параметр применения для каждой группы. Различных типов правил лучше подходят для некоторых приложений, в зависимости от того, что приложения развертываются в конкретной группе.

Следующие разделы содержат дополнительные сведения о правилах AppLocker, которые помогут вам решить, какие правила для приложения:

Выберите коллекцию правил

Созданные правила могут иметь следующие коллекции правил.

  • Исполняемые файлы: .exe и .com

  • Файлы установщика Windows: MSI-файл, MSP- и MST

  • Сценарии: .ps1, .bat, .cmd, .vbs и .js

  • Упакованные приложения и установщики упакованных приложений: .appx

  • DLL: DLL-файл и OCX

Примечание

типы файлов .appx и MST неприменимы к AppLocker под управлением Windows Server 2008 R2 и Windows 7.

По умолчанию правила позволит файла на основе пользователя или группы прав доступа. Если используются правила DLL, библиотеки DLL разрешающее правило должны быть созданы для каждой библиотеки DLL, которая используется всеми разрешенными приложениями. Коллекция правил DLL по умолчанию выключена.

В примере банка Woodgrove Bank бизнес-приложения для бизнес-группы, кассиры Bank — C:\Program Files\Woodgrove\Teller.exe и приложение должно быть включено в правиле. Кроме того поскольку это правило входит в список разрешенных приложений, все файлы Windows в папке C:\Windows должен быть включен также.

Определить условие правила

Условие — критерии, на которых основан правила AppLocker и может быть только одно из условий правил в следующей таблице.

Условие для правила

Сценарий использования

Ресурсы

Издатель

Чтобы использовать условие издателя, файлы должны иметь цифровую подпись издателем программного обеспечения или необходимо сделать с помощью внутреннего сертификата. Правила, заданные на уровень версии может потребоваться обновить при выпуске новой версии файла.

Дополнительные сведения об этом условии правило см. в разделеОсновные сведения об условии правила издателя в AppLocker.

путь

Любой файл можно назначить это условие правила; Тем не менее поскольку правила для пути в расположение в файловой системе, подкаталога также повлияет правило (если не указано явно исключен).

Дополнительные сведения об этом условии правило см. в разделеОсновные сведения об условии правила для пути в AppLocker.

Хэш файла

Любой файл можно назначить это условие правила; Однако правила должны обновляться каждый раз, когда новая версия файла освобожден, потому что значение хэша частично основана на версии.

Дополнительные сведения об этом условии правило см. в разделеОсновные сведения об условии для правила хэша файла в AppLocker.

В примере банка Woodgrove Bank бизнес-приложения для бизнес-группы, кассиры Bank подписывается и расположенный в папке C:\Program Files\Woodgrove\Teller.exe. Таким образом можно определить правило с условием издателя. Если определено правило для конкретной версии и выше (например, Teller.exe версии 8.0 и более поздних версий), то это позволит все обновления этого приложения возникает без прерывания доступа пользователям, если приложение, имя и подписанные атрибуты остаются одинаковыми.

Определить, как разрешить системных файлов для запуска

Поскольку правила AppLocker составить список разрешенных приложений, чтобы разрешить все файлы Windows для запуска должны создаваться или нескольких правил. AppLocker предоставляет средства для обеспечения системные файлы считаются правильно в коллекции правил, создавая правила по умолчанию для каждой коллекции правил. Правила по умолчанию можно использовать как шаблон при создании собственных правил. Тем не менее эти правила предназначены только для работы в качестве начального политики при первом тестировании правила AppLocker, чтобы системные файлы в папках Windows будет разрешено выполнение. При создании правила по умолчанию, он обозначается с «(по умолчанию правило)» в имени как оно отображается в коллекции правил.

Можно также создать правило для системных файлов, на основе условия пути. В предыдущем примере, для группы банковских кассиры все файлы Windows находятся под C:\Windows и могут определяться с помощью пути тип условия правила. Это позволит доступ к этим файлам при каждом применения обновлений и изменять файлы. Если требуется дополнительное приложение безопасности, может потребоваться изменить правила, созданные из коллекции по умолчанию встроенные правила. Например правило по умолчанию, чтобы разрешить всем пользователям запускать файлы .exe в папке Windows основан на пути условие, при котором все файлы в папке Windows для запуска. Папка Windows содержит вложенную папку Temp, к которому получает следующие разрешения группы "пользователи".

  • Обзор папок/Выполнение файлов

  • Создание файлов или запись данных

  • Создание папок/Добавление данных

Эти разрешения применяются в эту папку для обеспечения совместимости приложений. Тем не менее поскольку любой пользователь может создавать файлы в этом расположении, позволяя приложениям для запуска из этого расположения может конфликтовать с политику безопасности вашей организации.

Дальнейшие действия

После выбора типы правил для создания записи результаты, как описано вПравила AppLocker документов.

После записи результаты для правила AppLocker для создания, необходимо учитывать способ применения правил. Сведения о том, как это сделать, см.Определения групповой политики структуры и применения правил.