Администрирование политик ограниченного использования программ

Этот раздел предназначен для ИТ-специалистов и содержит процедуры для администрирования политик управления приложениями с помощью политик ограниченного использования программ (SRP), начиная с Windows Server 2008 и Windows Vista.

Introduction

Политики ограниченного использования программ — это основанная на групповых политиках функция, которая выявляет программы, работающие на компьютерах в домене, и управляет возможностью выполнения этих программ. Эти политики позволяют создать конфигурацию со строгими ограничениями для компьютеров, где разрешается запуск только определенных приложений. Политики интегрируются с доменными службами Active Directory и групповой политикой, но также могут настраиваться на изолированных компьютерах. Подробные сведения о политиках ограниченного использования программ см. в разделе Политики ограниченного использования программ.

Начиная с Windows Server 2008 R2 и Windows 7, вместо политики SRP или вместе с ней в рамках стратегии управления приложениями можно использовать Windows AppLocker.

Содержание раздела

• Открытие политик ограничений программного обеспечения

• Создание новых политик ограничений программного обеспечения

• Добавление или удаление указанного типа файла

• Предотвращение применения политик ограничений программного обеспечения к локальным администраторам

• Изменение уровня безопасности по умолчанию политик ограничений программного обеспечения

• Применение политик ограничений программного обеспечения к библиотекам DLL

Сведения о способах выполнения определенных задач с помощью политик ограниченного использования программ см. в следующих разделах:

• Определение списка разрешений и инвентаризации приложений для политик ограничений программного обеспечения

• Работа с правилами политик ограниченного использования программ

• Использование политик ограничений программного обеспечения для защиты компьютера от вируса электронной почты

Открытие окна "Политики ограниченного использования программ"

• Для локального компьютера

• Для домена, сайта или подразделения, и вы находитесь на сервере-члене или на рабочей станции, присоединенной к домену.

• Для домена или подразделения, а также на контроллере домена или на рабочей станции с установленными средствами удаленного администрирования сервера

• Для сайта и на контроллере домена или на рабочей станции с установленными средствами удаленного администрирования сервера

Для локального компьютера

1. Откройте окно "Локальные параметры безопасности".

2. В дереве консоли щелкните Политики ограниченного использования программ.

   Where?

   • Параметры безопасности/Политики ограниченного использования программ

Note

Для выполнения данной процедуры необходимо входить в группу "Администраторы" на локальном компьютере или получить соответствующие полномочия путем делегирования.

Для домена, сайта или подразделения: вы находитесь на рядовом сервере или на рабочей станции, присоединенной к домену.

1. Откройте консоль управления (MMC).

2. On the File menu, click Add/Remove Snap-in, and then click Add.

3. Щелкните элемент Редактор объектов групповой политики и затем нажмите кнопку Добавить.

4. В окне Выбор объекта групповой политики нажмите кнопку Обзор.

5. Найдите объект групповой политики, выберите объект групповой политики (GPO) в соответствующем домене, сайте или подразделении или создайте новый объект, а затем нажмите кнопку "Готово".

6. Click Close, and then click OK.

7. В дереве консоли щелкните Политики ограниченного использования программ.

   Where?

   • Объект групповой политики [имя_компьютера] Policy/Computer Configuration или

     Конфигурация пользователя/Параметры Windows/Параметры безопасности/Политики ограниченного использования программ

Note

Для выполнения этой процедуры необходимо быть членом группы "Администраторы домена".

Для домена или подразделения: вы находитесь на контроллере домена или на рабочей станции, где установлены средства удаленного администрирования сервера.

1. Откройте консоль управления групповыми политиками.

2. В дереве консоли правой кнопкой мыши щелкните объект групповой политики, для которого требуется открыть политики ограниченного использования программ.

3. Click Edit to open the GPO that you want to edit. You can also click New to create a new GPO, and then click Edit.

4. В дереве консоли щелкните Политики ограниченного использования программ.

   Where?

   • Объект групповой политики [имя_компьютера] Policy/Computer Configuration или

     Конфигурация пользователя/Параметры Windows/Параметры безопасности/Политики ограниченного использования программ

Note

Для выполнения этой процедуры необходимо быть членом группы "Администраторы домена".

Для сайта: вы находитесь на контроллере домена или на рабочей станции, где установлены средства удаленного администрирования сервера.

1. Откройте консоль управления групповыми политиками.

2. В дереве консоли щелкните правой кнопкой мыши сайт, для которого требуется задать групповую политику.

   Where?

   • Active Directory Sites and Services [Domain_Controller_Name.Domain_Name]/Sites/Site

3. Щелкните объект в списке Ссылки объекта групповой политики, чтобы выбрать существующий объект групповой политики (GPO), а затем нажмите кнопку Изменить. You can also click New to create a new GPO, and then click Edit.

4. В дереве консоли щелкните Политики ограниченного использования программ.

   Where

   • Объект групповой политики [имя_компьютера] Policy/Computer Configuration или

     Конфигурация пользователя/Параметры Windows/Параметры безопасности/Политики ограниченного использования программ

Note

• Для выполнения данной процедуры необходимо входить в группу "Администраторы" на локальном компьютере или получить соответствующие полномочия путем делегирования. Если компьютер присоединен к домену, эту процедуру могут выполнять члены группы "Администраторы домена".
• To set policy settings that will be applied to computers, regardless of which users log on to them, click Computer Configuration.
• To set policy settings that will be applied to users, regardless of which computer they log on to, click User Configuration.

Создание новых политик ограниченного использования программ

1. Откройте окно "Политики ограниченного использования программ".

2. On the Action menu, click New Software Restriction Policies.

Warning

• Для выполнения этой процедуры требуются различные административные учетные данные в зависимости от среды.

  • If you create new software restriction policies for your local computer: Membership in the local Administrators group, or equivalent, is the minimum required to complete this procedure.
  • Если новые политики ограниченного использования программ создаются для компьютера, присоединенного к домену, то эту процедуру могут выполнить члены группы "Администраторы домена".

• Если политики ограниченного использования программ уже созданы для объекта групповой политики, то в меню Действие не отображается команда Создать политику ограниченного использования программ. Чтобы удалить политики ограниченного использования программ, применяемые к объекту групповой политики, щелкните правой кнопкой мыши узел Политики ограниченного использования программ в дереве консоли и выберите команду Удалить политики ограниченного использования программ. При удалении политик ограниченного использования программ для объекта групповой политики также удаляются все правила политик ограниченного использования программ для этого объекта групповой политики. После удаления политик ограниченного использования программ можно создать новые политики ограниченного использования программ для этого объекта групповой политики.

Добавление или удаление назначенного типа файлов

1. Откройте окно "Политики ограниченного использования программ".

2. В области сведений дважды щелкните элемент Назначенные типы файлов.

3. Выполните одно из следующих действий:

   • Чтобы добавить тип файла, введите расширение имени файла в поле Расширение имени файла, а затем нажмите кнопку Добавить.

   • Чтобы удалить тип файла, щелкните этот тип в окне Назначенные типы файлов и нажмите кнопку Удалить.

Note

• Для выполнения этой процедуры требуются различные административные учетные данные в зависимости от среды, в которой добавляется или удаляется назначенный тип файлов.

  • If you add or delete a designated file type for your local computer: Membership in the local Administrators group, or equivalent, is the minimum required to complete this procedure.
  • Если новые политики ограниченного использования программ создаются для компьютера, присоединенного к домену, то эту процедуру могут выполнить члены группы "Администраторы домена".

• Может понадобиться создать новый параметр политики ограниченного использования программ для объекта групповой политики, если это еще не сделано.

• Список назначенных типов файлов для объекта групповой политики является общим для всех правил в разделах "Конфигурация компьютера" и "Конфигурация пользователя".

Запрет применения политик ограниченного использования программ к локальным администраторам

1. Откройте окно "Политики ограниченного использования программ".

2. In the details pane, double-click Enforcement.

3. В разделе Применять политики ограниченного использования программ к следующим пользователям выберите вариант всех пользователей, кроме локальных администраторов.

Warning

• Membership in the local Administrators group, or equivalent, is the minimum required to complete this procedure.
• Может понадобиться создать новый параметр политики ограниченного использования программ для объекта групповой политики, если это еще не сделано.
• Если на компьютерах организации пользователи часто входят в локальную группу "Администраторы", то этот параметр можно не включать.
• Если параметр политики ограниченного использования программ определяется для локального компьютера, то эта процедура предотвращает применение политик ограниченного использования программ к локальным администраторам. Если параметр политики ограниченного использования программ определяется для сети, отфильтруйте параметры политики пользователей в зависимости от членства в группах безопасности с помощью групповой политики.

Изменение уровня безопасности по умолчанию для политик ограниченного использования программ

1. Откройте окно "Политики ограниченного использования программ".

2. In the details pane, double-click Security Levels.

3. Щелкните правой кнопкой мыши уровень безопасности, который следует установить по умолчанию, и выберите команду По умолчанию.

Caution

In certain directories, setting the default security level to Disallowed can adversely affect your operating system.

Note

• Для выполнения этой процедуры требуются различные административные учетные данные в зависимости от среды, в которой изменяется уровень безопасности по умолчанию для политик ограниченного использования программ.
• Может понадобиться создать новый параметр политики ограниченного использования программ для данного объекта групповой политики, если это еще не сделано.
• В области сведений текущий уровень безопасности по умолчанию обозначается черным кружком с отметкой. Если щелкнуть правой кнопкой мыши текущий уровень безопасности по умолчанию, то в меню не появится команда По умолчанию.
• Чтобы задать исключения для уровня безопасности по умолчанию, создаются правила политики ограниченного использования программ. When the default security level is set to Unrestricted, rules can specify software that is not allowed to run. When the default security level is set to Disallowed, rules can specify software that is allowed to run.
• At installation, the default security level of software restriction policies on all files on your system is set to Unrestricted.

Применение политик ограниченного использования программ к библиотекам DLL

1. Откройте окно "Политики ограниченного использования программ".

2. In the details pane, double-click Enforcement.

3. В разделе Применять политики ограниченного использования программ к следующим объектам выберите вариант ко всем файлам программ.

Note

• Для выполнения данной процедуры необходимо входить в группу "Администраторы" на локальном компьютере или получить соответствующие полномочия путем делегирования. Если компьютер присоединен к домену, эту процедуру могут выполнять члены группы "Администраторы домена".
• По умолчанию политики ограниченного использования программ не проверяют библиотеки динамической компоновки (DLL). Проверка библиотек DLL может понизить производительность системы, поскольку политики ограниченного использования программ должны вычисляться при каждой загрузке библиотеки DLL. Однако проверку библиотек DLL можно выполнять, если есть опасность заражения вирусом, затрагивающим библиотеки DLL. If the default security level is set to Disallowed, and you enable DLL checking, you must create software restriction policies rules that allow each DLL to run.