Как использовать политики ограниченного использования программ в Windows Server 2003

В данной статье описано применение политик ограниченного использования программ в Windows Server 2003. Использование этих политик позволяет определять и задавать программы, которые разрешено запускать, тем самым защищая компьютер от запуска опасного кода. При создании политик ограниченного использования программ для объектов групповой политики (GPO) задаются уровни безопасности по умолчанию (Неограниченный или Не разрешено), то есть по умолчанию запуск программ может быть разрешен или запрещен. Для создания исключений из политики по умолчанию используются правила для конкретных программ. Ниже перечислены возможные типы правил.

• Правила для хеша
• Правила для сертификатов
• Правила для пути
• Правила для зоны Интернета

Политика включает в себя уровень безопасности по умолчанию и правила для объектов групповой политики. Политика может распространяться на все компьютеры или на отдельных пользователей. Политики ограниченного использования программ предоставляют несколько способов идентификации программ и инфраструктуру принятия решений о возможности запуска той или иной программы. Политики ограниченного использования программ помогают следить за выполнением пользователями административных требований.

Политики ограниченного использования программ позволяют выполнять указанные ниже задачи.

• Управление тем, какие программы можно запускать на компьютере. Например, для защиты от вирусов, распространяемых по электронной почте, можно запретить запуск некоторых типов файлов из папки с вложениями к электронным письмам.
• Разрешение пользователям общих компьютеров запускать лишь некоторые типы файлов. Например, если с компьютером работает несколько пользователей, то с помощью политики ограниченного использования программ можно разрешить запуск на этом компьютере лишь некоторых программ, необходимых пользователям для работы.
• Определение того, кто может добавлять на компьютере доверенных издателей.
• Выбор пользователей, на которых распространяются политики ограниченного использования программ.
• Полный запрет на запуск файлов на локальном компьютере, узле, в подразделении или домене. Например, политики ограниченного использования программ позволяют запретить работу с определенными файлами, которые содержат известные вирусы.

  Важно! Корпорация Майкрософт не рекомендует использовать политики ограниченного использования программ в качестве альтернативы антивирусному программному обеспечению.

Использование политик ограниченного использования программ с помощью AppLocker

// Хотя политики ограниченного использования программ и AppLocker предназначены для одной цели, AppLocker представляет собой полный пересмотр политик ограниченного использования программ, представленных в Windows 7 и Windows Server 2008 R2. AppLocker нельзя использовать для управления параметрами ограниченного использования программ. Правила AppLocker применяются только на компьютерах под управлением выпусков Windows 7 Максимальная и Windows 7 Корпоративная, а также всех выпусков системы Windows Server 2008 R2, тогда как политики ограниченного использования программ применяются как в указанных операционных системах, так и в более ранних версиях операционных систем.

Кроме того, если AppLocker и параметры политики ограниченного использования программ настроены в одном объекте групповой политики (GPO), то на компьютерах под управлением систем Windows 7 и Windows Server 2008 R2 будут применены только параметры AppLocker. Поэтому в том случае, если в организации необходимо использовать политики ограниченного использования программ наряду с AppLocker, рекомендуется создать правила AppLocker для тех компьютеров, на которых может использоваться политика AppLocker, а политики ограниченного использования программ создать на компьютерах под управлением более ранних версий операционной системы Windows.

Дополнительные сведения об использовании этих двух технологий ограниченного использования программ см. в теме AppLocker технической библиотеки Microsoft TechNet: http://technet.microsoft.com/ru-ru/library/dd723678(WS.10).aspx (http://technet.microsoft.com/ru-ru/library/dd723678(WS.10).aspx) Перейти к началу страницы

Запуск политик ограниченного использования программ

//

Только на локальных компьютерах

//

1. Нажмите кнопку Пуск и выберите последовательно пункты Программы, Администрирование и Локальная политика безопасности.
2. В дереве консоли разверните последовательно узлы Параметры безопасности и Политики ограниченного использования программ.

В домене, на узле, в подразделении, на рядовом сервере или входящей в домен рабочей станции

//

1. Откройте консоль MMC. Для этого нажмите кнопку Пуск, выберите команду Выполнить, введите команду mmc и нажмите кнопку ОК.
2. В меню Файл выберите команду Добавить или удалить оснастку и нажмите кнопку Добавить.
3. Выберите Редактор объектов групповой политики и нажмите кнопку Добавить.
4. Нажмите кнопку Обзор рядом с полем Редактор объекта групповой политики.
5. В окне Поиск объекта групповой политики выберите объект в нужном домене, подразделении или узле и нажмите кнопку Готово.

   Вы можете также создать новый объект групповой политики и нажать кнопку Готово.

6. Нажмите кнопку Закрыть, а затем – кнопку ОК.
7. В дереве консоли перейдите к следующему пункту: Объект групповой политики имя_компьютера Политика/Конфигурация компьютера или Конфигурация пользователя/Конфигурация Windows/Параметры безопасности/Политики ограниченного использования программ

В подразделении, домене или на рабочей станции с установленным пакетом средств администрирования

//

1. Нажмите кнопку Пуск и выберите последовательно пункты Программы, Администрирование и Пользователи и компьютеры Active Directory.
2. В дереве консоли щелкните правой кнопкой мыши имя домена или подразделения, для которых требуется создать групповую политику.
3. Выберите пункт Свойства и перейдите к вкладке Групповая политика.
4. Выберите объект групповой политики из списка Ссылки объекта групповой политики и нажмите кнопку Изменить.

   Вы можете также сначала создать объект групповой политики с помощью кнопки Создать, а затем нажать кнопку Изменить.

5. В дереве консоли перейдите к следующему пункту: Объект групповой политики имя_компьютера Политика/Конфигурация компьютера или Конфигурация пользователя/Конфигурация Windows/Параметры безопасности/Политики ограниченного использования программ

На узле, контроллере домена или на рабочей станции с установленным пакетом средств администрирования

//

1. Нажмите кнопку Пуск и выберите последовательно пункты Программы, Администрирование и Active Directory – сайты и службы.
2. В дереве консоли щелкните правой кнопкой мыши имя сайта, для которого требуется создать групповую политику.
   • Active Directory — сайты и службы [ имя_контроллера_домена. имя_домена]
   • Узлы
   • Узел
3. Выберите пункт Свойства и перейдите к вкладке Групповая политика.
4. Выберите объект групповой политики из списка Ссылки объекта групповой политики и нажмите кнопку Изменить.

   Вы можете также сначала создать объект групповой политики с помощью кнопки Создать, а затем нажать кнопку Изменить.

5. В дереве консоли перейдите к следующему пункту: Объект групповой политики имя_компьютера Политика/Конфигурация компьютера или Конфигурация пользователя/Конфигурация Windows/Параметры безопасности/Политики ограниченного использования программВажно! Чтобы задать политики, которые будут распространяться на пользователей независимо от компьютера, с которым они работают, щелкните Конфигурация пользователя. Чтобы задать политики, которые будут распространяться на компьютеры независимо от пользователей, которые с ними работают, щелкните Конфигурация компьютера.

   Кроме того, с помощью дополнительного параметра групповой политики, называемого замыканием на себя, вы можете создавать политики ограниченного использования программ для конкретных пользователей, работающих с конкретными компьютерами.

Предотвращение применения политик ограниченного использования программ к локальным администраторам

//

1. Выберите в меню Пуск пункт Выполнить, введите команду mmc и нажмите кнопку OК.
2. Откройте «Политики ограниченного использования программ».
3. Дважды щелкните в области сведений элемент Принудительный.
4. В списке Применять политики ограниченного использования программ для следующих пользователей щелкните пункт Для всех пользователей, кроме локальных администраторов.

Примечания

• Если для данного объекта групповой политики еще не создана политика ограниченного использования программ, ее необходимо создать.
• В большинстве случаев, пользователи входят в состав групп «Администраторы» своих компьютеров, поэтому в таком случае нет смысла в задании этого параметра. Политики ограниченного использования программ не будут распространяться на пользователей, входящих в локальные группы администраторов.
• Данную процедуру рекомендуется использовать при определении параметров политики ограниченного использования программ на локальном компьютере, чтобы правила политики не распространялись на локальных администраторов. При определении параметров политики ограниченного использования программ в сети выполняйте фильтрацию параметров политики на основе их принадлежности группам безопасности с помощью групповых политик.

Создание правила для сертификата

//

1. Выберите в меню Пуск пункт Выполнить, введите команду mmc и нажмите кнопку OК.
2. Откройте «Политики ограниченного использования программ».
3. В дереве консоли или области сведений щелкните правой кнопкой мыши элемент Дополнительные правила и выберите команду Создать правило для сертификата.
4. Нажмите кнопку Обзор и выберите сертификат.
5. Выберите уровень безопасности.
6. В поле Описание введите описание правила и нажмите кнопку OK.

Примечания

• Сведения о запуске политик ограниченного использования программ в консоли MMC см. в разделе «Запуск ограниченного использования программ» справки Windows Server 2003.
• Если для данного объекта групповой политики еще не создана политика ограниченного использования программ, ее необходимо создать.
• По умолчанию правила для сертификатов отключены. Чтобы включить правила для сертификатов:
  1. Нажмите кнопку Пуск, выберите команду Выполнить, введите в командную строку regedit и нажмите кнопку ОК.
  2. Найдите следующий ключ реестра: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers
  3. В области сведений дважды щелкните ключ AuthenticodeEnabled и измените его значение с 0 на 1.
• Правила для сертификатов распространяются только на типы файлов, содержащиеся в списке Назначенные типы файлов. Все правила используют общий список назначенных типов файлов.
• Чтобы политики ограниченного использования программ вступили в силу, пользователи должны выйти из системы и войти в нее снова для обновления параметров политики.
• Если политика состоит из нескольких правил, то для разрешения конфликтов между ними используется приоритет правил.

Создание правила для хеша

//

1. Выберите в меню Пуск пункт Выполнить, введите команду mmc и нажмите кнопку OК.
2. Откройте «Политики ограниченного использования программ».
3. В дереве консоли или области сведений щелкните правой кнопкой мыши элемент Дополнительные правила и выберите команду Создать правило для хеша.
4. Чтобы найти файл, нажмите кнопку Обзор или вставьте предварительно рассчитанный хеш в поле Хешируемый файл.
5. В поле Уровень безопасности выберите вариант Не разрешено или Неограниченный.
6. В поле Описание введите описание правила и нажмите кнопку OK.

Примечания

• Если для данного объекта групповой политики еще не создана политика ограниченного использования программ, ее необходимо создать.
• Правило для хеша создается для того, чтобы вирус или «троянский конь» не смогли запустить опасные программы.
• Если необходимо предоставить возможность другим пользователям использовать правило для хеша при защите от вируса, следует рассчитать хеш вируса с помощью политик ограниченного использования программ и отправить его другим пользователям посредством электронной почты. Никогда не отправляйте по электронной почте сам вирус.
• Если вирус был отправлен по электронной почте, то для запрета на запуск пользователями файлов приложений создаются правила для пути.
• Изменение имени файла или перенос его в другую папку не изменяет значения его хеша.
• Изменение самого файла приводит к изменению значения хеша.
• Правила для хеша распространяются только на типы файлов, содержащиеся в списке Назначенные типы файлов. Все правила используют общий список назначенных типов файлов.
• Чтобы политики ограниченного использования программ вступили в силу, пользователи должны выйти из системы и войти в нее снова для обновления параметров политики.
• Если политика состоит из нескольких правил, то для разрешения конфликтов между ними используется приоритет правил.

Создание правила для зоны Интернета

//

1. Выберите в меню Пуск пункт Выполнить, введите команду mmc и нажмите кнопку OК.
2. Откройте «Политики ограниченного использования программ».
3. В дереве консоли выберите Политики ограниченного использования программ.
4. В дереве консоли или области сведений щелкните правой кнопкой мыши элемент Дополнительные правила и выберите команду Создать правило для зоны Интернета.
5. В поле Зона Интернета выберите зону Интернета.
6. В поле Уровень безопасности выберите вариант Не разрешено или Неограниченный и нажмите кнопку OK.

Примечания

• Если для данного объекта групповой политики еще не создана политика ограниченного использования программ, ее необходимо создать.
• Правила для зоны влияют только на пакеты установщика Windows.
• Правила для зоны распространяются только на типы файлов, содержащиеся в списке Назначенные типы файлов. Все правила используют общий список назначенных типов файлов.
• Чтобы политики ограниченного использования программ вступили в силу, пользователи должны выйти из системы и войти в нее снова для обновления параметров политики.
• Если политика состоит из нескольких правил, то для разрешения конфликтов между ними используется приоритет правил.

Создание правила для пути

//

1. Выберите в меню Пуск пункт Выполнить, введите команду mmc и нажмите кнопку OК.
2. Откройте «Политики ограниченного использования программ».
3. В дереве консоли или области сведений щелкните правой кнопкой мыши элемент Дополнительные правила и выберите команду Создать правило для пути.
4. В поле Путь введите путь или выберите его с помощью кнопки Обзор.
5. В поле Уровень безопасности выберите вариант Не разрешено или Неограниченный.
6. В поле Описание введите описание правила и нажмите кнопку ОК.

   Важно! В некоторых папках, например в папке Windows, задание уровня безопасности Не разрешено может нарушить работу операционной системы. Убедитесь, что запуск важных компонентов операционной системы или зависящих от них программ не запрещен.

Примечания

• Если для данного объекта групповой политики еще не создана политика ограниченного использования программ, ее необходимо создать.
• При создании правила для пути с уровнем безопасности Не разрешено, пользователь все равно сможет запустить расположенные по этому пути программы, если скопирует их в другую папку.
• При задании пути можно использовать подстановочные символы звездочка (*) и вопросительный знак (?).
• При задании правила для пути можно использовать переменные окружения, например %programfiles% или %systemroot%.
• Если необходимо создать правило для пути, расположение которого не известно, но известен соответствующий ключ реестра, то можно создать правило для пути реестра.
• Чтобы пользователи не запускали файлы, вложенные в электронные письма, можно создать файл для пути к папке с почтовыми вложениями.
• Правила для пути распространяются только на типы файлов, содержащиеся в списке Назначенные типы файлов. Все правила используют общий список назначенных типов файлов.
• Чтобы политики ограниченного использования программ вступили в силу, пользователи должны выйти из системы и войти в нее снова для обновления параметров политики.
• Если политика состоит из нескольких правил, то для разрешения конфликтов между ними используется приоритет правил.

Создание правила для пути реестра

//

1. Нажмите кнопку Пуск, выберите команду Выполнить, введите в командную строку regedit и нажмите кнопку ОК.
2. В дереве консоли щелкните правой кнопкой мыши раздел реестра, для которого требуется создать правило, и выберите команду Копировать имя раздела.
3. Запомните параметр в области сведений.
4. Выберите в меню Пуск пункт Выполнить, введите команду mmc и нажмите кнопку OК.
5. Откройте «Политики ограниченного использования программ».
6. В дереве консоли или области сведений щелкните правой кнопкой мыши элемент Дополнительные правила и выберите команду Создать правило для пути.
7. В поле Путь вставьте имя раздела реестра и параметр.
8. Заключите путь реестра в символ процента (%), например: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PlatformSDK\Directories\InstallDir%
9. В поле Уровень безопасности выберите вариант Не разрешено или Неограниченный.
10. В поле Описание введите описание правила и нажмите кнопку OK.

Примечания

• Если для данного объекта групповой политики еще не создана политика ограниченного использования программ, ее необходимо создать.
• Чтобы выполнить данную процедуру, необходимо быть членом группы администраторов.
• Отформатируйте путь реестра следующим образом: % куст_реестра\ имя_раздела_реестра\ имя_параметра%
• Имя куста реестра должно указываться полностью без сокращений. Например, нельзя указывать HKCU вместо HKEY_CURRENT_USER.
• После закрывающего символа процента (%) путь реестра может содержать суффикс. Суффикс не может содержать символа обратная косая черта (\). Пример правила для пути реестра: %HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Cache%OLK*
• Правила для пути распространяются только на типы файлов, содержащиеся в списке Назначенные типы файлов. Все правила используют общий список назначенных типов файлов.
• Чтобы политики ограниченного использования программ вступили в силу, пользователи должны выйти из системы и войти в нее снова для обновления параметров политики.
• Если политика состоит из нескольких правил, то для разрешения конфликтов между ними используется приоритет правил.

Добавление или удаление назначенного типа файла

//

1. Выберите в меню Пуск пункт Выполнить, введите команду mmc и нажмите кнопку OК.
2. Откройте «Политики ограниченного использования программ».
3. Дважды щелкните в области сведений элемент Назначенные типы файлов.
4. Выполните одно из двух возможных действий.
   • Чтобы добавить тип файла, введите расширение имени файла в поле Расширение и нажмите кнопку Добавить.
   • Чтобы удалить тип файла, выберите этот тип из списка Назначенные типы файлов и нажмите кнопку Удалить.

Примечания

• Если для данного объекта групповой политики еще не создана политика ограниченного использования программ, ее необходимо создать.
• Все правила во всех конфигурациях используют общий список назначенных типов файлов. Списки назначенных типов файлов для компьютеров и пользователей различаются.

Изменение уровня безопасности по умолчанию политики ограниченного использования программ

//

1. Выберите в меню Пуск пункт Выполнить, введите команду mmc и нажмите кнопку OК.
2. Откройте «Политики ограниченного использования программ».
3. В области сведений дважды щелкните элемент Уровни безопасности.
4. Щелкните правой кнопкой мыши уровень безопасности, который требуется назначить уровнем по умолчанию, и выберите пункт По умолчанию.

   Внимание! Установка уровня безопасности по умолчанию некоторых папок равным Не разрешено может нарушить работу операционной системы.

Примечания

• Если для данного объекта групповой политики еще не создана политика ограниченного использования программ, ее необходимо создать.
• В области сведений текущий уровень безопасности по умолчанию обозначается черным кружком с галочкой внутри. В контекстном меню текущего уровня безопасности по умолчанию отсутствует пункт По умолчанию.
• Создаваемые правила задают исключения из уровня безопасности по умолчанию. Если по умолчанию установлен уровень безопасности Неограниченный, то правила определяют программы, которые запрещено запускать. Если по умолчанию установлен уровень безопасности Не разрешено, то правила определяют программы, которые разрешено запускать.
• Изменение уровня по умолчанию затрагивает все файлы, для которых заданы политики ограниченного использования программ.
• Во время установки программ для них задается уровень безопасности по умолчанию Неограниченный.

Установка параметров доверенного издателя

//

1. Выберите в меню Пуск пункт Выполнить, введите команду mmc и нажмите кнопку OК.
2. Откройте «Политики ограниченного использования программ».
3. Дважды щелкните значок Доверенные издатели.
4. Выберите пользователей, сертификатам которых следует доверять, и нажмите кнопку OK.

Примечания

• Если для данного объекта групповой политики еще не создана политика ограниченного использования программ, ее необходимо создать.
• Вы можете выбирать пользователей, которые имеют право добавлять доверенных издателей, пользователей, администраторов или администраторов предприятия. Например, это средство позволяет запретить пользователям принимать решения о доверии при публикации органов управления ActiveX.
• Администраторы локального компьютера имеют право задавать доверенных издателей на локальном компьютере, а администраторы предприятия имеют право задавать доверенных издателей на уровне подразделений.