ВИДЕО Applocker - запрет на запуск программ
AppLocker это компонент управления приложениями предназначенный для того, чтобы запретить пользователям запускать программы. С помощью AppLocker можно настроить систему безопасности, чтобы пользователь по случайности не запустил вредоносную программу.
В 7, данный компонент доступен только в версиях Unlimited и Enterprise (максимальная и корпоративная), а в 2008 сервере R2 во всех версиях.
Ну и давайте разберемся что это за компонент. Для запуска в выполнить вводим gpedit.msc и запускается редактор локальной групповой политики. Далее идем конфигурация компьютера \ Конфигурация Windows \ Параметры безопасности \ Политики управления приложениями \ AppLocker
И тут у нас есть три пункта, это правила для приложений, установщиков и сценариев.
А нас в частности интересует пункт исполняемые файлы, т.е. правила для приложений. Изначально никакие правила не созданы, по этому первым делом давайте создадим правила по умолчанию. Эти правила создаются для того, что бы администратор, случайно не заблокировал выполнение важных системных файлов и не лишил себя прав на доступ к определенным административным инструментам.
Создание правил по умолчанию для applocker
И так, щелкаем правой кнопкой мыши на Исполняемые правила \ Создать правила по умолчанию
Теперь давайте разберемся, что же за правила у нас создались, это 3 правила
- Правила исполняемых файлов могут разрешать или запрещать запуск файлов *.exe и *.com.
- Правила установщика Windows могут разрешать или запрещать исполнение файлов *.msi (файлы установщика Windows) и *.msp (файлы обновлений установщика Windows).
- Правила сценариев могут разрешать или запрещать исполнение файлов сценариев различных типов (*.ps1, *.bat, *.cmd, *.vbs, *.js).
Перед тем как редактировать и проверять правила, создадим пользователя, для которого они будут применяться. Если у вас пользователь, которого нужно урезать в правах на запуск приложений, уже существует, то можете пропустить данный шаг. Пускай, это будет пользователь Проверка и он не должен состоять в группе администраторы.
Идем далее, допустим у нас задача заблокировать для пользователей запуск стандартных игр Windows, но они находятся в папке Program Files, а как сказано в первом правиле, Все имеют доступ ко всем файлам папки Program Files, по этому, заходим в исключения данного правила и указываем там маску для папки %PROGRAMFILES%\Microsoft Games\*. Т.е. exe файлы, находящиеся по пути PROGRAMFILES\Microsoft Games\ и далее, будут запрещены.
Можно так же не добавлять в разрешающее правило, наше исключение, можно создать новое правило на запрет, суть одна и та же.
Служба Удостоверение приложения должна быть постоянно запущена, в автоматическом режиме \ Перезагружаемся
Проверка работы applocker
Допустим, пользователь принес портативную игру на флешке, которая не требует установки в систему и пытается её запустить.
Для простоты конфигурации в одноранговой сети, можно экспортировать и импортировать правила. В домене все это можно сделать групповой политикой домена
Что касается двух других пунктов, рекомендую создать для них правила по умолчанию, так как вирус может заразить систему как раз через файл сценария.