Software Restriction Policies

Область применения: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

В этом разделе для ИТ-специалистов описываются политики ограниченного использования программного обеспечения (SRP) в Windows Server 2012 и 2016 и Windows 8, а также приводятся ссылки на технические сведения о SRP, начиная с Windows Server 2003.

Важно!

Политики ограниченного использования программного обеспечения устарели, начиная с Windows 10 сборки 1803, а также применяются к Windows Server 2019 и более поздних версий. Для управления запуском программного обеспечения следует использовать Защитник Windows управления приложениями (WDAC) или AppLocker.

Процедуры и советы по устранению неполадок см. в разделах Администрирование политик ограниченного использования программного обеспечения и Устранение неполадок с политиками ограниченного использования программного обеспечения.

Описание политик ограниченного использования программ

Политики ограниченного использования программ — это основанная на групповых политиках функция, которая выявляет программы, работающие на компьютерах в домене, и управляет возможностью выполнения этих программ. Политики ограниченного использования программ являются частью стратегии управления и безопасности Майкрософт, позволяющей предприятиям повышать надежность, целостность и управляемость их компьютеров.

Кроме того, данные политики помогают создать конфигурацию с расширенными ограничениями для компьютеров, на которых разрешается запуск только определенных приложений. Политики ограниченного использования программ интегрируются со службой Microsoft Active Directory и групповой политикой. Политики можно создавать на изолированных компьютерах. Они являются политиками доверия, то есть представляют собой правила, устанавливаемые администратором, чтобы ограничить выполнение сценариев и другого кода, не имеющего полного доверия.

Данные политики ограниченного использования программ определяются как расширение редактора локальных групповых политик или оснастки Microsoft Management Console (MMC) "Локальные политики безопасности".

Более подробные сведения о политике ограниченного использования программ см. в разделе Технический обзор политик ограниченного использования программ.

Практическое применение

Администраторы могут использовать политики ограниченного использования программ для решения следующих задач:

  • определить доверенный код;

  • разработать гибкую групповую политику для регулирования работы сценариев, исполняемых файлов и элементов ActiveX.

Политики ограниченного использования программ применяются операционной системой и приложениями (например, для создания сценариев), которые им соответствуют.

В частности, администраторы могут использовать политики ограниченного использования программ в следующих целях:

  • определить программное обеспечение (исполняемые файлы), которое может выполняться на клиентах;

  • запретить пользователям выполнять определенные программы на компьютерах с общим доступом;

  • определить, кто может добавлять доверенных издателей на клиентах;

  • установить область действия политик ограниченного использования программ (указать, будут ли политики применяться для всех пользователей или только для группы пользователей на клиентах);

  • запретить работу исполняемых файлов на локальном компьютере, сайте, в подразделении или домене. Это уместно в тех случаях, когда политики ограниченного использования программ не применяются для решения потенциальных проблем со злоумышленниками.

Новые и измененные функции

Функциональные изменения в политиках ограниченного использования программ отсутствуют.

Удаленные или устаревшие функциональные возможности

Удаленные или устаревшие функции в политиках ограниченного использования программ отсутствуют.

Требования к программному обеспечению

Расширение редактора локальных групповых политик для политик ограниченного использования программ доступно через консоль управления (MMC).

Для создания и поддержки политик ограниченного использования программ на локальном компьютере требуются следующие компоненты:

  • Редактор локальных групповых политик

  • Установщик Windows

  • Authenticode и WinVerifyTrust

Если планируются вызовы для развертывания этих политик в домене, к вышеупомянутому списку потребуется добавить следующие компоненты:

  • Доменные службы Active Directory

  • Групповая политика

Сведения о диспетчере сервера

Политики ограниченного использования программ представляют собой расширение редактора локальных групповых политик и не устанавливаются с помощью пункта "Добавить роли и компоненты" диспетчера серверов.

В следующей таблице содержатся ссылки на соответствующие ресурсы, необходимые для понимания и применения политик ограниченного использования программ.

Тип содержимого Ссылки
Оценка продукта Блокировка приложения с помощью политик ограниченного использования программ
Planning Технический обзор политик ограниченного использования программного обеспечения ( Windows Server 2012 )

Технический справочник по политикам ограниченного использования программ (Windows Server 2003)

Развертывание Доступные ресурсы отсутствуют.
Операции Администрирование политик ограниченного использования программного обеспечения ( Windows Server 2012 )

Справка по политикам ограниченного использования программ (Windows Server 2003)

Устранение неполадок Устранение неполадок с политиками ограниченного использования программного обеспечения ( Windows Server 2012 )

Диагностика политик ограниченного использования программ (Windows Server 2003)

Безопасность Угрозы и противодействия для политик ограниченного использования программ (Windows Server 2008)

Угрозы и противодействия для политик ограниченного использования программ (Windows Server 2008 R2)

Средства и параметры Средства и параметры политик ограниченного использования программ (Windows Server 2003)
Ресурсы сообщества Блокировка приложения с помощью политик ограниченного использования программ