Обзор политик ограниченного использования программ
Применимо к:Windows 8.1, Windows Server 2012 R2, Windows Server 2012, Windows 8
В данном разделе, предназначенном для ИТ-специалистов, описаны политики ограниченного использования программ (SRP) в Windows Server 2012 и Windows 8, а также приводятся ссылки на техническую информацию о политиках SRP начиная с ОС Windows Server 2003.
Процедуры и советы по устранению неполадок см. в разделе Администрирование политики ограниченного использования программ и Устранение неполадок политики ограниченного использования программ.
Возможно, вы имели в виду...
Политики безопасности (см. раздел Общие сведения о параметрах политики безопасности)
AppLocker (см. раздел Общие сведения об AppLocker [клиент])
Описание политик ограниченного использования программ
Политики ограниченного использования программ — это основанная на групповых политиках функция, которая выявляет программы, работающие на компьютерах в домене, и управляет возможностью выполнения этих программ. Политики ограниченного использования программ являются частью стратегии управления и безопасности Майкрософт, позволяющей предприятиям повышать надежность, целостность и управляемость их компьютеров.
Кроме того, данные политики помогают создать конфигурацию с расширенными ограничениями для компьютеров, на которых разрешается запуск только определенных приложений. Политики ограниченного использования программ интегрируются со службой Microsoft Active Directory и групповой политикой. Политики можно создавать на изолированных компьютерах. Они являются политиками доверия, то есть представляют собой правила, устанавливаемые администратором, чтобы ограничить выполнение сценариев и другого кода, не имеющего полного доверия.
Данные политики ограниченного использования программ определяются как расширение редактора локальных групповых политик или оснастки Microsoft Management Console (MMC) "Локальные политики безопасности".
Подробные сведения о политиках ограниченного использования программ см. в разделе Технический обзор политик ограниченного использования программ программного обеспечения.
Практическое применение
Администраторы могут использовать политики ограниченного использования программ для решения следующих задач:
определить доверенный код;
разработать гибкую групповую политику для регулирования работы сценариев, исполняемых файлов и элементов ActiveX.
Политики ограниченного использования программ применяются операционной системой и приложениями (например, для создания сценариев), которые им соответствуют.
В частности, администраторы могут использовать политики ограниченного использования программ в следующих целях:
определить программное обеспечение (исполняемые файлы), которое может выполняться на клиентах;
запретить пользователям выполнять определенные программы на компьютерах с общим доступом;
определить, кто может добавлять доверенных издателей на клиентах;
установить область действия политик ограниченного использования программ (указать, будут ли политики применяться для всех пользователей или только для группы пользователей на клиентах);
запретить работу исполняемых файлов на локальном компьютере, сайте, в подразделении или домене. Это уместно в тех случаях, когда политики ограниченного использования программ не применяются для решения потенциальных проблем со злоумышленниками.
Новые и измененные функции
Функциональные изменения в политиках ограниченного использования программ отсутствуют.
Удаленные или устаревшие функциональные возможности
Удаленные или устаревшие функции в политиках ограниченного использования программ отсутствуют.
Требования к программному обеспечению
Расширение редактора локальных групповых политик для политик ограниченного использования программ доступно через консоль управления (MMC).
Для создания и поддержки политик ограниченного использования программ на локальном компьютере требуются следующие компоненты:
Редактор локальных групповых политик
Установщик Windows
Authenticode и WinVerifyTrust
Если планируются вызовы для развертывания этих политик в домене, к вышеупомянутому списку потребуется добавить следующие компоненты:
Доменные службы Active Directory
Групповая политика
Сведения о диспетчере сервера
Политики ограниченного использования программ представляют собой расширение редактора локальных групповых политик и не устанавливаются с помощью пункта "Добавить роли и компоненты" диспетчера серверов.
См. также:
В следующей таблице содержатся ссылки на соответствующие ресурсы, необходимые для понимания и применения политик ограниченного использования программ.