Администрирование политики ограниченного использования программ
Применимо к:Windows 8.1, Windows Server 2012 R2, Windows Server 2012, Windows 8
В этом разделе для ИТ-специалистов содержит процедуры по администрированию политики управления приложениями с помощью политики ограниченного использования программ программ (SRP) начиная с Windows Server 2008 и Windows Vista.
Введение
Политики ограниченного использования программ — это основанная на групповых политиках функция, которая выявляет программы, работающие на компьютерах в домене, и управляет возможностью выполнения этих программ. Эти политики позволяют создать конфигурацию со строгими ограничениями для компьютеров, где разрешается запуск только определенных приложений. Они интегрированы в доменные службы Microsoft Active Directory и групповой политики, но также можно настроить на изолированных компьютерах. Дополнительные сведения о политик ограниченного использования Программ см. в разделеОбзор политик ограниченного использования программ.
Начиная с версииWindows Server 2008 R2иWindows 7Windows AppLocker можно использовать вместо или вместе с SRP часть стратегии управления приложениями. Дополнительные сведения об AppLocker вWindows Server 2012иWindows 8в разделеОбзор AppLocker [клиент].
Этот раздел содержит:
Чтобы открыть политики ограниченного использования программ
Чтобы создать новые политики ограниченного использования программ
Добавление или удаление назначенного типа файлов
Предотвращение применения к локальным администраторам политики ограниченного использования программ
Чтобы изменить уровень безопасности по умолчанию политики ограниченного использования программ
Применение политики ограниченного использования программ к библиотекам DLL
Сведения о способах выполнения определенных задач, с помощью политик ограниченного использования Программ см.
Работа с правилами политик ограниченного использования программ программного обеспечения
Политики ограниченного использования программ для защиты компьютера от вирусов электронной почты
Чтобы открыть политики ограниченного использования программ
Для локального компьютера
Для домена сайта или подразделения — на рядовом сервере или рабочей станции, присоединенных к домену
Для домена или подразделения и на контроллере домена или на рабочей станции с средств администрирования удаленного сервера
Для узла, — на контроллере домена или на рабочей станции с средств администрирования удаленного сервера
Для локального компьютера
Откройте окно "Локальные параметры безопасности".
В дереве консоли щелкнитеполитики ограниченного использования программ.
Расположение
- Безопасность параметры/политики ограниченного использования программ
Примечание
Для выполнения данной процедуры необходимо входить в группу "Администраторы" на локальном компьютере или получить соответствующие полномочия путем делегирования.
Для домена сайта или подразделения — на рядовом сервере или рабочей станции, присоединенных к домену
Откройте консоль управления (MMC).
Нафайлменю, нажмите кнопкуДобавить или удалить оснасткуа затем нажмите кнопкуДобавить.
Щелкните элемент Редактор объектов групповой политики и нажмите кнопку Добавить.
В окне Выбор объекта групповой политики нажмите кнопку Обзор.
ВПоиск объекта групповой политикивыберите объект групповой политики (GPO) в нужном домене, сайта или подразделения--или создайте новую и нажмите кнопкуГотово.
Щелкните Закрыть, а затем нажмите кнопку ОК.
В дереве консоли щелкнитеполитики ограниченного использования программ.
Расположение
Объект[имя_компьютера] политика/Конфигурация компьютера или
Политики ограниченного использования программ программного и параметры безопасности/Конфигурация Windows пользователя
Примечание
Для выполнения этой процедуры необходимо быть членом группы "Администраторы домена".
Для домена или подразделения и на контроллере домена или на рабочей станции с средств администрирования удаленного сервера
Откройте консоль управления групповыми политиками.
В дереве консоли щелкните правой кнопкой мыши группу объекта политики (GPO), который требуется открыть политики ограниченного использования программ для.
Нажмите кнопку Изменить, чтобы открыть объект групповой политики для правки. Также можно нажать кнопку Создать, чтобы создать новый объект групповой политики, а затем нажать кнопку Изменить.
В дереве консоли щелкнитеполитики ограниченного использования программ.
Расположение
Объект[имя_компьютера] политика/Конфигурация компьютера или
Политики ограниченного использования программ программного и параметры безопасности/Конфигурация Windows пользователя
Примечание
Для выполнения этой процедуры необходимо быть членом группы "Администраторы домена".
Для узла, — на контроллере домена или на рабочей станции с средств администрирования удаленного сервера
Откройте консоль управления групповыми политиками.
В дереве консоли щелкните правой кнопкой мыши узел, который требуется настроить групповую политику для.
Расположение
- Active Directory — сайты и службы [имя_контроллера_домена.имя_домена] / Sites/сайта
Выберите из спискассылки объекта групповой политикивыберите существующий объект групповой политики (GPO), а затем нажмите кнопкуИзменить. Также можно нажать кнопку Создать, чтобы создать новый объект групповой политики, а затем нажать кнопку Изменить.
В дереве консоли щелкнитеполитики ограниченного использования программ.
Где
Объект[имя_компьютера] политика/Конфигурация компьютера или
Политики ограниченного использования программ программного и параметры безопасности/Конфигурация Windows пользователя
Примечание
-
Для выполнения данной процедуры необходимо входить в группу "Администраторы" на локальном компьютере или получить соответствующие полномочия путем делегирования. Если компьютер присоединен к домену, эту процедуру могут выполнять члены группы "Администраторы домена".
-
Чтобы задать параметры политики, которые будут применяться к компьютерам независимо от пользователей, входящих в систему, щелкнитеКонфигурация компьютера.
-
Чтобы задать параметры политики, которые будут применяться к пользователям, независимо от того, какой компьютер они входят в систему, щелкнитеКонфигурация пользователя.
Чтобы создать новые политики ограниченного использования программ
Откройте окно "Политики ограниченного использования программ".
В меню Действие щелкните ссылку Создать политику ограниченного использования программ.
Предупреждение
-
Для выполнения этой процедуры требуются различные административные учетные данные в зависимости от среды.
-
Если новые политики ограниченного использования программ создаются для локального компьютера: Чтобы выполнить эту процедуру, вы должны быть членом локальной группы Администраторы или аналогичной.
-
Если новые политики ограниченного использования программ создаются для компьютера, присоединенного к домену, то эту процедуру могут выполнить члены группы "Администраторы домена".
-
-
Если политики ограниченного использования программ уже созданы для объекта групповой политики, то в меню Действие не отображается команда Создать политику ограниченного использования программ. Чтобы удалить политики ограниченного использования программ, применяемые к объекту групповой политики, щелкните правой кнопкой мыши узел Политики ограниченного использования программ в дереве консоли и выберите команду Удалить политики ограниченного использования программ. При удалении политики ограниченного использования программ для объекта групповой Политики также удаляются все правила политик ограниченного использования программ программного обеспечения для этого объекта групповой Политики. После удаления политик ограниченного использования программ можно создать новые политики ограниченного использования программ для этого объекта групповой политики.
Добавление или удаление назначенного типа файлов
Откройте окно "Политики ограниченного использования программ".
В области сведений дважды щелкните элемент Назначенные типы файлов.
Выполните одно из указанных ниже действий.
Чтобы добавить тип файла, введите расширение имени файла в поле Расширение имени файла, а затем нажмите кнопку Добавить.
Чтобы удалить тип файла, щелкните этот тип в окне Назначенные типы файлов и нажмите кнопку Удалить.
Примечание
-
Для выполнения этой процедуры требуются различные административные учетные данные в зависимости от среды, в которой добавляется или удаляется назначенный тип файлов.
-
Если назначенный тип файлов добавляется или удаляется для локального компьютера: Чтобы выполнить эту процедуру, вы должны быть членом локальной группы Администраторы или аналогичной.
-
Если новые политики ограниченного использования программ создаются для компьютера, присоединенного к домену, то эту процедуру могут выполнить члены группы "Администраторы домена".
-
-
Может понадобиться создать новый параметр политики ограниченного использования программ для объекта групповой политики, если это еще не сделано.
-
Список назначенных типов файлов используется совместно всеми правилами Конфигурация компьютера и Конфигурация пользователя для объекта групповой Политики.
Предотвращение применения к локальным администраторам политики ограниченного использования программ
Откройте окно "Политики ограниченного использования программ".
В области сведений дважды щелкните элемент Применение.
В разделе Применять политики ограниченного использования программ к следующим пользователям выберите вариант всех пользователей, кроме локальных администраторов.
Предупреждение
-
Чтобы выполнить эту процедуру, вы должны быть членом локальной группы Администраторы или аналогичной.
-
Может понадобиться создать новый параметр политики ограниченного использования программ для объекта групповой политики, если это еще не сделано.
-
Если на компьютерах организации пользователи часто входят в локальную группу "Администраторы", то этот параметр можно не включать.
-
Если параметр политики ограниченного использования программ определяется для локального компьютера, то эта процедура предотвращает применение политик ограниченного использования программ к локальным администраторам. При задании политики ограниченного использования программ для сети, фильтрацию параметров политики на основе членства в группах безопасности групповой политики.
Чтобы изменить уровень безопасности по умолчанию политики ограниченного использования программ
Откройте окно "Политики ограниченного использования программ".
В области сведений дважды щелкните элемент Уровни безопасности.
Щелкните правой кнопкой мыши уровень безопасности, который следует установить по умолчанию, и выберите команду По умолчанию.
Предупреждение
В некоторых каталогах задание уровня безопасности Запрещено в качестве уровня по умолчанию может отрицательно сказаться на работе операционной системы.
Примечание
-
Для выполнения этой процедуры требуются различные административные учетные данные в зависимости от среды, в которой изменяется уровень безопасности по умолчанию для политик ограниченного использования программ.
-
Может понадобиться создать новый параметр политики ограниченного использования программ для данного объекта групповой политики, если это еще не сделано.
-
В области сведений текущий уровень безопасности по умолчанию обозначается черным кружком с отметкой. Если щелкнуть правой кнопкой мыши текущий уровень безопасности по умолчанию, то в меню не появится команда По умолчанию.
-
Чтобы задать исключения для уровня безопасности по умолчанию создаются правил политик ограниченного использования программ. Если уровень безопасности по умолчанию имеет значение Не ограничено, то в правилах можно указывать программное обеспечение, запуск которого не разрешается. Если уровень безопасности по умолчанию имеет значение Запрещено, то в правилах можно указывать программное обеспечение, запуск которого разрешается.
-
Во время установки в политиках ограниченного использования программ для всех файлов в системе задается уровень безопасности по умолчанию Не ограничено.
Применение политики ограниченного использования программ к библиотекам DLL
Откройте окно "Политики ограниченного использования программ".
В области сведений дважды щелкните элемент Применение.
В разделе Применять политики ограниченного использования программ к следующим объектам выберите вариант ко всем файлам программ.
Примечание
-
Для выполнения данной процедуры необходимо входить в группу "Администраторы" на локальном компьютере или получить соответствующие полномочия путем делегирования. Если компьютер присоединен к домену, эту процедуру могут выполнять члены группы "Администраторы домена".
-
По умолчанию политики ограниченного использования программ не проверяют библиотеки динамической компоновки (DLL). Проверка библиотек DLL может понизить производительность системы, поскольку политики ограниченного использования программ должны вычисляться при каждой загрузке библиотеки DLL. Однако проверку библиотек DLL можно выполнять, если есть опасность заражения вирусом, затрагивающим библиотеки DLL. Если уровень безопасности по умолчанию равензапрещенои включена проверка библиотек DLL, ограниченного необходимо создать правила политики, которые разрешают выполнение каждой библиотеки DLL.