Выбор типов создаваемых правил
В этой статье перечислены ресурсы, которые следует использовать при создании правил политики управления приложениями с помощью AppLocker.
При определении типов правил, создаваемых для каждой из групп, следует также определить, какой параметр принудительного применения следует использовать для каждой группы. Различные типы правил более применимы для некоторых приложений в зависимости от способа развертывания приложений в определенной бизнес-группе.
В следующих статьях содержатся дополнительные сведения о правилах AppLocker, которые помогут вам решить, какие правила следует использовать для приложений.
- Общие сведения о поведении правил AppLocker
- Общие сведения об исключениях из правил AppLocker
- Общие сведения о коллекциях правил AppLocker
- Общие сведения о разрешающих и запрещающих действиях AppLocker в отношении правил
- Общие сведения о типах условий правил AppLocker
- Общие сведения о правилах AppLocker, используемых по умолчанию
Выбор коллекции правил
Используемые коллекции правил зависят от типов файлов, которыми вы хотите управлять, в том числе:
- Исполняемые файлы: .exe и .com
- Файлы установщика Windows: .msi, MSP и MST
- Скрипты: .ps1, .bat, .cmd, VBS и .js
- Упакованные приложения и установщики упакованных приложений: .appx
- Библиотеки DLL: .dll и .ocx
По умолчанию правила разрешают запуск файла на основе привилегий пользователя или группы. Если вы используете правила DLL, необходимо создать правило разрешения DLL для каждой библиотеки DLL, которая используется всеми разрешенными приложениями. Коллекция правил DLL не включена по умолчанию.
В примере Банка Woodgrove бизнес-приложение для бизнес-группы Bank Tellers — это C:\Program Files\Woodgrove\Teller.exe, и это приложение должно быть включено в правило. Кроме того, так как это правило входит в список разрешенных приложений, все файлы Windows в C:\Windows также должны быть включены.
Определение условия правила
Условие правила — это условие, на котором основано правило AppLocker, и может быть только одним из условий правила в следующей таблице.
Условие правила | Сценарий использования | Ресурсы |
---|---|---|
Издатель | Чтобы использовать условие издателя, издатель программного обеспечения должен подписать свои файлы цифровой подписью или с помощью сертификата организации. Правила, указанные на уровне версии, могут быть обновлены при выпуске новой версии файла. | Дополнительные сведения об этом условии правила см. в статье Общие сведения об условии правила издателя в AppLocker. |
Путь | Это условие правила можно назначить любому файлу. Тем не менее, так как правила пути указывают расположения в файловой системе, правило применяется к любому подкаталогу (если это явно не исключается). | Дополнительные сведения об этом условии правила см. в статье Общие сведения об условии правила пути в AppLocker. |
Хеш файла | Это условие правила можно назначить любому файлу. Однако правило должно обновляться при каждом выпуске новой версии файла из-за изменения хэш-значения. | Дополнительные сведения об этом условии правила см. в статье Общие сведения о условии правила хэша файлов в AppLocker. |
В примере Банка Woodgrove бизнес-приложение для бизнес-группы Bank Tellers подписано и находится по адресу C:\Program Files\Woodgrove\Teller.exe. Таким образом, правило можно определить с условием издателя.
Определение способа разрешения запуска системных файлов
Так как правила AppLocker создают список разрешенных приложений, необходимо создать правила, позволяющие запускать все файлы Windows. Вы можете создать правила AppLocker по умолчанию для каждой коллекции правил, чтобы обеспечить выполнение системных приложений. Эти правила по умолчанию (перечисленные в разделе Правила по умолчанию AppLocker) можно использовать в качестве шаблона при создании собственных правил. Однако эти правила предназначены только для работы в качестве начальной политики при первом тестировании правил AppLocker, чтобы системные файлы в папках Windows запускались. При создании правила по умолчанию его имя начинается с "(Правило по умолчанию)" в коллекции правил.
Можно также создать правило для системных файлов на основе условия пути. В предыдущем примере для группы "Банковские кассировщики" все файлы Windows находятся в папке C:\Windows и могут быть определены с помощью типа условия правила пути. Это правило разрешает доступ к этим файлам при каждом применении обновлений и изменении файлов. Если требуется дополнительная безопасность приложений, может потребоваться изменить правила, созданные из встроенной коллекции правил по умолчанию. Например, правило по умолчанию, разрешающее всем пользователям запускать .exe файлы в папке Windows, основано на условии пути, которое позволяет запускать все файлы в папке Windows. Папка Windows содержит вложенную папку Temp, для которой группе Пользователи предоставляются следующие разрешения:
- Просмотр папки или выполнение файла
- Создание файлов и запись данных
- Создание папок или добавление данных
Эти параметры разрешений применяются к этой папке для обеспечения совместимости приложений. Однако, поскольку любой пользователь может создавать файлы в этом расположении, разрешение на запуск приложений из этого расположения может конфликтовать с политикой безопасности вашей организации.
Дальнейшие действия
Выбрав типы правил для создания, запишите результаты, как описано в разделе Документирование правил AppLocker.
После записи результатов для создания правил AppLocker необходимо подумать о том, как применить эти правила. Сведения о том, как выполнить это принудительное применение, см. в разделе Определение структуры групповая политика и принудительного применения правил.