AppLocker это новая технология в Windows 7, позволяющая системному администратору блокировать выполнение определенных исполняемых файлов на компьютерах сети. AppLocker — это расширение технологии Software Restriction Policy (используемой в Windows XP/Vista), однако последняя могла блокировать выполнение программ, основываясь лишь на имени файла, пути и хэша файла. В AppLocker появилась возможность блокировки исполняемых файлов, основываясь на их цифровой подписи, в результате можно блокировать программы, основываясь на имени программы, версии и вендоре. Это означает, что если производитель обновит версию программы, то правила AppLocker продолжат блокировать обновленное приложение, снижая тем самым нагрузку на системного администратора. Также, например, можно создать правило AppLocker, основанное на версии ПО, тем самым можно разрешить запуск только определенных заранее разрешенных версий программ. Еще одно преимущество AppLocker заключается в том, что теперь не имеет значение откуда запускается программа (хоть с карты памяти), AppLocker в любом случае будет блокировать запуск программы.
Данную методику блокировки выполнения определенных программ при помощи AppLocker можно использовать для блокирования выполнения любого исполняемого файла, выпущенного Microsoft либо сторонними разработчиками. В данном примере мы попытаемся запретить использование браузера Google Chrome с помощью групповой политики и технологии AppLocker (это браузер я беру чисто для примера, а не из-за нелюбви к нему, как многие возможно подумали 🙂 ).
1. Откройте объект групповой политики, которая применяется на целевые компьютеры. Откройте раздел политики Computer Configuration > Policies > Windows Settings > Security Settings > Application Control Policies и выберите опцию “Configure rule enforcement”
2. В разделе Executable rules отметьте опцию “Configured” и выберите “Enforce rules”, затем нажмите “OK”.
3. Щелкните правой кнопкой мыши по “Executable Rules” и создайте новое правило “Create New Rule.”
4. Нажмите “Next”
5. Выберите “Deny” и “Next”
6. В качестве условия (condition) выберите “Publisher” (издатель) и нажмите “Next”
Примечание: Опции “Path” и “File hash” соответствуют правилам, применяемым в политиках Software Restriction в Windows XP / Vista.
7. Нажмите кнопку “Browse”
8. Выберите исполняемый файл Google Chrome “chrome.exe” и нажмите “Open”
9. В данном примере, мы удовлетворимся настройками по-умолчанию, поэтому просто нажмите “Next”.
Примечание: Если вы хотите заблокировать определённую версию программы, тогда отметьте “Use custom values” и в соответствующем поле “File version” задайте номер версии, использование которой вы хотите заблокировать данной политикой.
10: Жмем “Next”
11: И, наконец, создаем правило — “Create”
13: Если вы хотите, чтобы правила AppLocker применялись и к компьютерам администраторов, то в правой панели выделите правило для “BUILTIN\Administrators” и удалить его
14: На запрос отвечаем “Yes”
Теперь наши правила AppLocker настроены и выглядят примерно так:
Последнее, что нам нужно сделать – активировать работу AppLocker на целевых компьютерах
15. В той же самой групповой политике перейдите в ветку Computer Configuration > Policies > Windows Settings > Security Settings > System Services и дважды щелкните по службе “Application Identity”.
Application Identity – это приложение, которое перед запуском любого исполняемого файла выполняет его сканирования, выявляя его имя, хеш и сигнатуру. В том случае, если эта служба отключена, AppLocker работать не будет.
16: Выберите “Define this policy setting” и “Automatic”, затем нажмите “OK”
Секция системных служб будет выглядеть так:
Вот и все. После применения этой политики, если пользователь попытается запустить запрещенное приложение (в нашем случае это Google Chrome), появится такое диалоговое окно:
Насколько я помню блокировка по издателю (из цифровой подписи к файлам) работает и без applocker на Windows XP еще. При этом сертификат издателя заносится в список «не доверенных издателей».
Только забыли упомянуть, что AppLocker работает только на версиях Windows 7 Максимальная и Корпоративная. А на остальных версиях — увы…
Cherand Спасибо за уточнение. Все правильно, AppLocker только в Enterprise и Ultimate
А как в домене сделать блокировку — применяется наверняка уже другой инструмент?
Applocker можно применять и в доменной среде. Конечно, это не единственный инструментарий по блокировке программ в среде Windows, для этих целей, например, как мы говорили можно использовать Software Restriction Policy и другие опции групповых политик. Но имхо AppLocker — наиболее удобный инструмент.
«..
1. Откройте объект групповой политики,
..»
Это по-виндузячьи. написать тонну объяснений и не сказать про простые вещи — где открыть этот самый объект групповой политики. Как автор открыл сию оснастку — вообще фик его знает.
Ааналогичный функционал есть в secpol.msc + запуск службы «управление приложениями +настройка службы на автомат), но те правила действуют не всегда. На одном компьютере будут работать, а на другом нет.
Вспоминаю времена, когда windows был домашней ОС, и вот такие вот советы. Ничего не поменялось у «windows»-гуру. наверное, нужно быть виндузятником в крови.
Системный администратор, который не знает что такое групповые политики?…
Внимание, AppLocker по дефолту запрещает все, то есть для портабле на рабочем столе или в appdate юзера нужно выпиливать соответствующим правилом. Спасибо отличный сайт.
TOR таким образом можно заблочить? А то у меня в колледже студенты любят ставить и на флешках приносить.
Частично вам может помочь AppLocker / SRP — и внимательно ограничение прав. Вплость до запрета запуска exe файлов из несистемных каталогов.
Благодарю, буду пробовать.