AppLocker в Windows 7. Блокируем сторонние браузеры | Windows для системных администраторов

AppLocker в Windows 7. Блокируем сторонние браузеры

AppLocker это новая технология в Windows 7, позволяющая системному администратору блокировать выполнение определенных исполняемых файлов на компьютерах сети. AppLocker  — это расширение технологии Software Restriction Policy (используемой в Windows XP/Vista), однако последняя могла блокировать выполнение программ, основываясь лишь на имени файла, пути и хэша файла. В AppLocker появилась возможность блокировки исполняемых файлов, основываясь  на их цифровой подписи, в результате можно блокировать программы, основываясь на  имени программы, версии и вендоре. Это означает, что если производитель обновит версию программы, то правила AppLocker продолжат блокировать обновленное приложение, снижая тем самым нагрузку на системного администратора.  Также, например, можно создать правило AppLocker, основанное на версии ПО, тем самым можно разрешить запуск только определенных заранее разрешенных версий программ. Еще одно преимущество AppLocker заключается в том, что теперь не имеет значение откуда запускается программа (хоть с карты памяти),  AppLocker в любом случае будет блокировать запуск программы.

Данную методику блокировки выполнения определенных программ при помощи AppLocker можно использовать для блокирования выполнения любого исполняемого файла, выпущенного Microsoft либо сторонними разработчиками. В данном примере мы попытаемся запретить использование браузера Google Chrome с помощью групповой политики и технологии AppLocker (это браузер я беру чисто для примера, а не из-за нелюбви к нему, как многие возможно подумали :) ).

1. Откройте объект групповой политики, которая применяется на целевые компьютеры. Откройте раздел политики Computer Configuration > Policies > Windows Settings > Security Settings > Application Control Policies и выберите опцию “Configure rule enforcement”

description: image

2. В разделе Executable rules отметьте опцию “Configured” и выберите “Enforce rules”, затем нажмите “OK”.

description: image

3. Щелкните правой кнопкой мыши по “Executable Rules” и создайте новое правило “Create New Rule.”

description: image

4. Нажмите “Next”

description: image

5. Выберите “Deny” и “Next”

description: image

6. В качестве условия (condition) выберите “Publisher” (издатель) и нажмите “Next”

Примечание: Опции “Path” и “File hash” соответствуют правилам, применяемым в политиках Software Restriction в Windows XP / Vista.

description: image

7. Нажмите кнопку “Browse”

description: image

8. Выберите исполняемый файл Google Chrome “chrome.exe” и нажмите “Open”

description: image

9. В данном примере, мы удовлетворимся настройками по-умолчанию, поэтому просто нажмите “Next”.

Примечание: Если вы хотите заблокировать определённую версию программы, тогда отметьте “Use custom values” и в соответствующем поле “File version”  задайте номер версии, использование которой вы хотите заблокировать данной политикой.

description: image

10: Жмем “Next”

description: image

11: И, наконец, создаем правило — “Create”

description: image

13: Если  вы хотите, чтобы правила AppLocker применялись и к компьютерам администраторов, то в правой панели выделите правило для “BUILTIN\Administrators” и удалить его

description: image

14: На запрос отвечаем “Yes”

description: image

Теперь наши правила AppLocker настроены и выглядят примерно так:

description: image

Последнее, что нам нужно сделать – активировать работу AppLocker на целевых компьютерах

15. В той же самой групповой политике перейдите в ветку Computer Configuration > Policies > Windows Settings > Security Settings > System Services и дважды щелкните по службе “Application Identity”.

Application Identity – это приложение, которое перед запуском любого исполняемого файла выполняет его сканирования, выявляя его имя, хеш и сигнатуру. В том случае, если эта служба отключена,  AppLocker работать не будет.

description: image

16: Выберите “Define this policy setting” и “Automatic”, затем нажмите “OK”

description: image

Секция системных служб будет выглядеть так:

description: image

Вот и все. После применения этой политики, если пользователь попытается запустить запрещенное приложение (в нашем случае это Google Chrome), появится такое диалоговое окно:

description: image

Еще записи по теме: Group Policy
Понравилась статья? Скажи спасибо и расскажи друзьям!
Назад:
Вперед:

Комментариев: 8

Оставить комментарий
  1. dazran | 22.10.2011

    Насколько я помню блокировка по издателю (из цифровой подписи к файлам) работает и без applocker на Windows XP еще. При этом сертификат издателя заносится в список «не доверенных издателей».

    Ответить
  2. Cherand | 17.10.2012

    Только забыли упомянуть, что AppLocker работает только на версиях Windows 7 Максимальная и Корпоративная. А на остальных версиях — увы…

    Ответить
  3. itpro | 18.10.2012

    Cherand Спасибо за уточнение. Все правильно, AppLocker только в Enterprise и Ultimate

    Ответить
  4. Andrii | 10.02.2013

    А как в домене сделать блокировку — применяется наверняка уже другой инструмент?

    Ответить
    • itpro | 12.02.2013

      Applocker можно применять и в доменной среде. Конечно, это не единственный инструментарий по блокировке программ в среде Windows, для этих целей, например, как мы говорили можно использовать Software Restriction Policy и другие опции групповых политик. Но имхо AppLocker — наиболее удобный инструмент.

      Ответить
  5. Dmitry | 01.03.2014

    «..
    1. Откройте объект групповой политики,
    ..»
    Это по-виндузячьи. написать тонну объяснений и не сказать про простые вещи — где открыть этот самый объект групповой политики. Как автор открыл сию оснастку — вообще фик его знает.
    Ааналогичный функционал есть в secpol.msc + запуск службы «управление приложениями +настройка службы на автомат), но те правила действуют не всегда. На одном компьютере будут работать, а на другом нет.
    Вспоминаю времена, когда windows был домашней ОС, и вот такие вот советы. Ничего не поменялось у «windows»-гуру. наверное, нужно быть виндузятником в крови.

    Ответить
    • Василий | 02.03.2014

      Системный администратор, который не знает что такое групповые политики?…

      Ответить
  6. sergikotikov | 02.08.2016

    Внимание, AppLocker по дефолту запрещает все, то есть для портабле на рабочем столе или в appdate юзера нужно выпиливать соответствующим правилом. Спасибо отличный сайт.

    Ответить
Полные правила комментирования на сайте winitpro.ru. Вопросы, не связанные с содержимым статьи или ее обсуждением удаляются.

Сказать Спасибо! можно на этой странице или (еще лучше) поделиться с друзями ссылкой на понравившуюся статью в любимой социальной сети(специально для этого на сайте присуствуют кнопки популярных соц. сетей).

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Я не робот( Обязательно отметьте)



MAXCACHE: 0.26MB/0.00127 sec