Администрирование политик ограниченного использования программ
Этот раздел предназначен для ИТ-специалистов и содержит процедуры для администрирования политик управления приложениями с помощью политик ограниченного использования программ (SRP), начиная с Windows Server 2008 и Windows Vista.
Введение
Политики ограниченного использования программ — это основанная на групповых политиках функция, которая выявляет программы, работающие на компьютерах в домене, и управляет возможностью выполнения этих программ. Эти политики позволяют создать конфигурацию со строгими ограничениями для компьютеров, где разрешается запуск только определенных приложений. Политики интегрируются с доменными службами Active Directory и групповой политикой, но также могут настраиваться на изолированных компьютерах. Подробные сведения о политиках ограниченного использования программ см. в разделе Политики ограниченного использования программ.
Начиная с Windows Server 2008 R2 и Windows 7, вместо политики SRP или вместе с ней в рамках стратегии управления приложениями можно использовать Windows AppLocker.
Содержание раздела
Предотвращение применения политик ограничений программного обеспечения к локальным администраторам
Изменение уровня безопасности по умолчанию политик ограничений программного обеспечения
Применение политик ограничений программного обеспечения к библиотекам DLL
Сведения о способах выполнения определенных задач с помощью политик ограниченного использования программ см. в следующих разделах:
Открытие окна "Политики ограниченного использования программ"
Для локального компьютера
Откройте окно "Локальные параметры безопасности".
В дереве консоли щелкните Политики ограниченного использования программ.
Где?
- Параметры безопасности/Политики ограниченного использования программ
Примечание.
Для выполнения данной процедуры необходимо входить в группу "Администраторы" на локальном компьютере или получить соответствующие полномочия путем делегирования.
Для домена, сайта или подразделения: вы находитесь на рядовом сервере или на рабочей станции, присоединенной к домену.
Откройте консоль управления (MMC).
В меню Файл выберите команду Добавить или удалить оснастку и затем нажмите кнопку Добавить.
Щелкните элемент Редактор объектов групповой политики и затем нажмите кнопку Добавить.
В окне Выбор объекта групповой политики нажмите кнопку Обзор.
Найдите объект групповой политики, выберите объект групповой политики (GPO) в соответствующем домене, сайте или подразделении или создайте новый объект, а затем нажмите кнопку "Готово".
Нажмите кнопку Закрыть, а затем — ОК.
В дереве консоли щелкните Политики ограниченного использования программ.
Где?
Объект групповой политики [имя_компьютера] Policy/Computer Configuration или
User Configuration/Windows Settings/Security Settings/Software Restriction Policies
Примечание.
Для выполнения этой процедуры необходимо быть членом группы "Администраторы домена".
Для домена или подразделения: вы находитесь на контроллере домена или на рабочей станции, где установлены средства удаленного администрирования сервера.
Откройте консоль управления групповыми политиками.
В дереве консоли правой кнопкой мыши щелкните объект групповой политики, для которого требуется открыть политики ограниченного использования программ.
Нажмите кнопку Изменить, чтобы открыть объект групповой политики для правки. Также можно нажать кнопку Создать, чтобы создать новый объект групповой политики, а затем нажать кнопку Изменить.
В дереве консоли щелкните Политики ограниченного использования программ.
Где?
Объект групповой политики [имя_компьютера] Policy/Computer Configuration или
User Configuration/Windows Settings/Security Settings/Software Restriction Policies
Примечание.
Для выполнения этой процедуры необходимо быть членом группы "Администраторы домена".
Для сайта: вы находитесь на контроллере домена или на рабочей станции, где установлены средства удаленного администрирования сервера.
Откройте консоль управления групповыми политиками.
В дереве консоли щелкните правой кнопкой мыши сайт, для которого требуется задать групповую политику.
Где?
- Active Directory — сайты и службы [имя_контроллера_домена.имя_домена]/Sites/Site
Щелкните объект в списке Ссылки объекта групповой политики, чтобы выбрать существующий объект групповой политики (GPO), а затем нажмите кнопку Изменить. Также можно нажать кнопку Создать, чтобы создать новый объект групповой политики, а затем нажать кнопку Изменить.
В дереве консоли щелкните Политики ограниченного использования программ.
Where
Объект групповой политики [имя_компьютера] Policy/Computer Configuration или
User Configuration/Windows Settings/Security Settings/Software Restriction Policies
Примечание.
- Для выполнения данной процедуры необходимо входить в группу "Администраторы" на локальном компьютере или получить соответствующие полномочия путем делегирования. Если компьютер присоединен к домену, эту процедуру могут выполнять члены группы "Администраторы домена".
- Чтобы задать параметры политики, которые будут применяться к компьютерам независимо от пользователей, входящих в систему, щелкните Конфигурация компьютера.
- Чтобы задать параметры политики, которые будут применяться к пользователям независимо от компьютера, с которого они входят в систему, щелкните Конфигурация пользователя.
Создание новых политик ограниченного использования программ
Откройте окно "Политики ограниченного использования программ".
В меню Действие щелкните Создать политику ограниченного использования программ.
Предупреждение
Для выполнения этой процедуры требуются различные административные учетные данные в зависимости от среды.
- Если новые политики ограниченного использования программ создаются для локального компьютера: минимальным требованием для выполнения этой процедуры является членство в локальной группе Администраторы или аналогичной.
- Если новые политики ограниченного использования программ создаются для компьютера, присоединенного к домену, то эту процедуру могут выполнить члены группы "Администраторы домена".
Если политики ограниченного использования программ уже созданы для объекта групповой политики, то в меню Действие не отображается команда Создать политику ограниченного использования программ. Чтобы удалить политики ограниченного использования программ, применяемые к объекту групповой политики, щелкните правой кнопкой мыши узел Политики ограниченного использования программ в дереве консоли и выберите команду Удалить политики ограниченного использования программ. При удалении политик ограниченного использования программ для объекта групповой политики также удаляются все правила политик ограниченного использования программ для этого объекта групповой политики. После удаления политик ограниченного использования программ можно создать новые политики ограниченного использования программ для этого объекта групповой политики.
Добавление или удаление назначенного типа файлов
Откройте окно "Политики ограниченного использования программ".
В области сведений дважды щелкните элемент Назначенные типы файлов.
Выполните одно из следующих действий:
Чтобы добавить тип файла, введите расширение имени файла в поле Расширение имени файла, а затем нажмите кнопку Добавить.
Чтобы удалить тип файла, щелкните этот тип в окне Назначенные типы файлов и нажмите кнопку Удалить.
Примечание.
Для выполнения этой процедуры требуются различные административные учетные данные в зависимости от среды, в которой добавляется или удаляется назначенный тип файлов.
- Если назначенный тип файлов добавляется или удаляется для локального компьютера: минимальным требованием для выполнения этой процедуры является членство в локальной группе Администраторы или аналогичной.
- Если новые политики ограниченного использования программ создаются для компьютера, присоединенного к домену, то эту процедуру могут выполнить члены группы "Администраторы домена".
Может понадобиться создать новый параметр политики ограниченного использования программ для объекта групповой политики, если это еще не сделано.
Список назначенных типов файлов для объекта групповой политики является общим для всех правил в разделах "Конфигурация компьютера" и "Конфигурация пользователя".
Запрет применения политик ограниченного использования программ к локальным администраторам
Откройте окно "Политики ограниченного использования программ".
В области сведений дважды щелкните элемент Применение.
В разделе Применять политики ограниченного использования программ к следующим пользователям выберите вариант всех пользователей, кроме локальных администраторов.
Предупреждение
- Чтобы выполнить эту процедуру, вы должны быть членом локальной группы Администраторы или аналогичной.
- Может понадобиться создать новый параметр политики ограниченного использования программ для объекта групповой политики, если это еще не сделано.
- Если на компьютерах организации пользователи часто входят в локальную группу "Администраторы", то этот параметр можно не включать.
- Если параметр политики ограниченного использования программ определяется для локального компьютера, то эта процедура предотвращает применение политик ограниченного использования программ к локальным администраторам. Если параметр политики ограниченного использования программ определяется для сети, отфильтруйте параметры политики пользователей в зависимости от членства в группах безопасности с помощью групповой политики.
Изменение уровня безопасности по умолчанию для политик ограниченного использования программ
Откройте окно "Политики ограниченного использования программ".
В области сведений дважды щелкните элемент Уровни безопасности.
Щелкните правой кнопкой мыши уровень безопасности, который следует установить по умолчанию, и выберите команду По умолчанию.
Внимание
В некоторых каталогах задание уровня безопасности Запрещено в качестве уровня по умолчанию может отрицательно сказаться на работе операционной системы.
Примечание.
- Для выполнения этой процедуры требуются различные административные учетные данные в зависимости от среды, в которой изменяется уровень безопасности по умолчанию для политик ограниченного использования программ.
- Может понадобиться создать новый параметр политики ограниченного использования программ для данного объекта групповой политики, если это еще не сделано.
- В области сведений текущий уровень безопасности по умолчанию обозначается черным кружком с отметкой. Если щелкнуть правой кнопкой мыши текущий уровень безопасности по умолчанию, то в меню не появится команда По умолчанию.
- Чтобы задать исключения для уровня безопасности по умолчанию, создаются правила политики ограниченного использования программ. Если уровень безопасности по умолчанию имеет значение Не ограничено, то в правилах можно указывать программное обеспечение, запуск которого не разрешается. Если уровень безопасности по умолчанию имеет значение Запрещено, то в правилах можно указывать программное обеспечение, запуск которого разрешается.
- Во время установки в политиках ограниченного использования программ для всех файлов в системе задается уровень безопасности по умолчанию Не ограничено.
Применение политик ограниченного использования программ к библиотекам DLL
Откройте окно "Политики ограниченного использования программ".
В области сведений дважды щелкните элемент Применение.
В разделе Применять политики ограниченного использования программ к следующим объектам выберите вариант ко всем файлам программ.
Примечание.
- Для выполнения данной процедуры необходимо входить в группу "Администраторы" на локальном компьютере или получить соответствующие полномочия путем делегирования. Если компьютер присоединен к домену, эту процедуру могут выполнять члены группы "Администраторы домена".
- По умолчанию политики ограниченного использования программ не проверяют библиотеки динамической компоновки (DLL). Проверка библиотек DLL может понизить производительность системы, поскольку политики ограниченного использования программ должны вычисляться при каждой загрузке библиотеки DLL. Однако проверку библиотек DLL можно выполнять, если есть опасность заражения вирусом, затрагивающим библиотеки DLL. Если уровень безопасности по умолчанию имеет значение Запрещено и включена проверка библиотек DLL, то необходимо создать правила политик ограниченного использования программ, которые разрешают выполнение каждой библиотеки DLL.