Applocker windows 10 home не работает

Обновлено: 02.07.2024

В этой статье рассмотрим механизм AppLocker, который позволяет блокировать запуск определенных приложений для некоторых групп пользователей.

Теория

Механизм AppLocker впервые появился в Windows 8.1 и Windows Server 2012 и позволил:

  • блокировать запуск приложений;
  • работать в режиме аудита, при этом приложения будут запускаться но в журнале будут появляться записи.

AppLocker позволяет блокировать запуск следующих типов файлов:

AppLocker предоставляет простой GUI-механизм на основе правил для определения того, каким приложениям разрешено запускаться конкретными пользователями и группами. Эта технология использует два типа правил:

  • разрешить запуск конкретных файлов, запретив всё остальное;
  • запретить запуск конкретных файлов, разрешив всё остальное.

У каждого правила может быть список исключений. Например можно создать правило «Разрешить запускать всё в каталогах C:\Windows и C:\ProgramFiles, за исключением Regedit.exe».

AppLocker может идентифицировать приложения по:

  • сертификату приложения. Например разрешить запускаться только программам подписанным определенным сертификатом;
  • пути к каталогу с приложениями. Например разрешить запускаться только из определенного каталога;
  • хешу файла. Интересный вариант, так как если приложение будет изменено, например вирусом, то хеш его изменится и оно не запустится. Но если приложение изменится в ходе обновления, то оно тоже не запустится.

Практика

На локальном компьютере правила AppLocker могут быть определены с помощью «Локальной политики безопасности (secpol.msc)». А в домене правила можно распространять групповой политикой безопасности.

Локальная политика безопасности / AppLocker

Если нажать “Настроить применения правил“, то можно выбрать к каким типам файлов применять правила. А также нужно будет указать: применять правила или вести аудит:

Внутреннее устройство Windows. AppLocker, изображение №2

Если нажать на какой-нибудь типе файлов, то вы перейдете в раздел, где сможете создать правила для этого типа файлов:

Внутреннее устройство Windows. AppLocker, изображение №3

Давайте создадим правила “по умолчанию” и посмотрим на них:

Внутреннее устройство Windows. AppLocker, изображение №4

Появились три правила, которые разрешают:

  • всем пользователям запускать приложения из Programm Files;
  • всем пользователям запускать приложения из Windows;
  • только администраторам запускать приложения из любых мест.

Точно также можно добавлять правила и для других типов файлов.

Правила для DLL-библиотек

Включить коллекцию DLL-правил можно перейдя на вкладку «Дополнительно». Установите флажок “Включить коллекцию правил DLL” и нажмите кнопку ОК:

Внутреннее устройство Windows. AppLocker, изображение №5

Условия работы AppLocker

Для работы AppLocker нужна работающая служба «Удостоверения приложений (AppIDSvc)»:

Windows Applocker был представлен в Windows 7 и включает некоторые новые функции в Windows 8/10. С помощью AppLocker администратор может заблокировать или разрешить определенным пользователям или группам пользователей устанавливать или использовать определенные приложения. Вы можете использовать правила черного или белого списков для достижения этого результата. AppLocker помогает администраторам контролировать, какие приложения и файлы могут запускать пользователи. К ним относятся исполняемые файлы, сценарии, файлы установщика Windows, библиотеки DLL, упакованные приложения и установщики упакованных приложений.

В Windows 8 и Windows 10 Applocker развился и позволяет блокировать как устаревшие, так и приложения Магазина Windows.

AppLocker в Windows

Чтобы пользователи не могли устанавливать или запускать приложения Магазина Windows с помощью AppLocker в Windows , введите secpol.msc в Выполнить и нажмите Enter, чтобы открыть локальную защиту. Редактор политики.


В дереве консоли выберите «Параметры безопасности»> «Политики управления приложениями»> «AppLocker». Выберите, где вы хотите создать правило. Это может быть исполняемый файл, установщик Windows, сценарии или, в случае Windows 8, упакованное приложение Магазина Windows.

Допустим, вы хотите создать правило для упакованных приложений. Щелкните правой кнопкой мыши на упакованных приложениях и выберите «Создать правило». Вы увидите страницу Перед началом работы .


Нажмите Далее, чтобы перейти на страницу разрешений .


На этой странице выберите действие, а именно. Разрешить или Запретить и пользователя или группы пользователей вы хотите применить правило. Нажмите Далее, чтобы перейти на страницу условий .



Здесь вы можете найти и выбрать Ссылка для упакованного приложения и установить Область для правила.

Настройки для Scope:

  1. Относится к любому издателю
  2. Относится к конкретному издателю
  3. Применяется к имени пакета
  4. Применяется к версии пакета
  5. Применение пользовательских значений к правилу

Параметры для справки:

  1. Использовать установленное упакованное приложение в качестве ссылки
  2. Использовать установщик упакованного приложения в качестве ссылки

Сделав свой выбор, нажмите кнопку Далее еще раз.

При желании на странице Исключения вы можете указать условия, когда следует исключать правила, а на странице Имя и описание вы можете принять автоматически сгенерированное имя или тип правила. новое имя правила и нажмите кнопку «Создать». Вы можете прочитать больше о создании правил для упакованных приложений Магазина Windows здесь на Technet.

Обратите внимание, что для того, чтобы AppLocker работал в вашей системе, на вашем компьютере должна быть запущена Служба идентификации приложений . Кроме того, Служба клиента групповой политики , gpsvc, необходимая для запуска AppLOcker, по умолчанию отключена в Windows RT, поэтому вам, возможно, придется включить ее через services.msc.

Разница между appLocker в Windows 8/10 и Windows 7

AppLocker в Windows 8 позволяет также создавать правила для упакованных приложений Магазина Windows. Более того, правила Windows 10/8 AppLocker также могут дополнительно управлять форматами файлов .mst и .appx.

Это приложение было заблокировано вашим системным администратором


Для создания и применения правил AppLocker компьютер должен работать под управлением Windows 10/Windows 8 Enterprise, Windows 7 Ultimate, Windows 7 Enterprise, Windows Server 2008 R2 или Windows Server 2012.

Узнайте, как настроить устройство под управлением Windows 10 Корпоративная или Windows 10 для образовательных учреждений, версия 1703 и более ранние версии, таким образом, чтобы пользователи могли запускать на нем только несколько определенных приложений. Результат использования описанной в этом разделе функции схож с действием устройства киоска, но при этом доступны несколько приложений. Например, библиотечный компьютер можно настроить таким образом, чтобы пользователи могли выполнять поиск по каталогу и просматривать веб-страницы, но не имели возможности запускать другие приложения или изменять параметры компьютера.

Для устройств под управлением Windows 10, версия 1709, мы рекомендуем метод киоска для нескольких приложений.

С помощью функции AppLockerвы можете разрешить пользователям доступ только к определенному набору приложений на устройстве под управлением Windows 10 Корпоративная или Windows 10 для образовательных учреждений. Правила AppLocker определяют, какие приложения можно запускать на устройстве.

Правила AppLocker организованы в коллекции на основе формата файла. Если правила AppLocker для определенной коллекции правил не существуют, то все файлы этого формата можно запускать. Однако если для коллекции создано правило AppLocker, разрешен только запуск файлов, явно указанных в правиле. Подробнее об этом см. в разделе Как работает AppLocker.

В этом разделе описывается, как блокировать приложения на локальном устройстве. AppLocker также можно использовать, чтобы устанавливать правила для приложений в домене с помощью групповой политики.

установка настройки блокировки.

Установка приложений

Сначала установите на устройстве нужные приложения, используя целевую учетную запись (записи) пользователя. Это работает как для приложений единой Windows платформы (UWP), так и для Windows настольных приложений. Для приложений UWP необходимо войти в систему в качестве этого пользователя для установки приложения. Для настольных приложений можно установить приложение для всех пользователей, не входя в определенную учетную запись.

Использование AppLocker для настройки правил для приложений

После установки необходимых приложений настройте правила AppLocker, чтобы разрешить запуск только определенных приложений, и заблокируйте все остальные.

Запустите локальную политику безопасности (secpol.msc) от имени администратора.

Откройте Параметры безопасности > Политики управления приложениями > AppLocker и выберите Настроить применение правил.

настройка правоприменения правил.

Установите флажок Настроено в разделе Исполняемые правила, а затем нажмите ОК.

Щелкните параметр Исполняемые правила правой кнопкой мыши и выберите Создать правила автоматически.

автоматически создавать правила.

Выберите папку, содержащую приложение, доступ к которому вы хотите разрешить, или выберите C:\, чтобы проанализировать все приложения.

Введите имя набора правил и нажмите Далее.

На странице Параметры правил нажмите кнопку Далее. Обратите внимание, что создание правил может занять некоторое время.

На странице Проверка правил выберите команду Создать. Мастер создаст набор правил, разрешающих использование набора установленных приложений.

предупреждение правил по умолчанию.

Если вы хотите применить правило к выбранной группе пользователей, щелкните его правой кнопкой мыши и выберите Свойства(необязательно). Затем выберите пользователя или группу пользователей в диалоговом окне.

Если для приложений, использование которых запрещено, созданы правила, их можно удалить, щелкнув правило правой кнопкой мыши и выбрав команду Удалить(необязательно).

Чтобы обеспечить выполнение правил AppLocker, необходимо включить службу Удостоверение приложения . Чтобы служба "Удостоверение приложения" автоматически запускалась при сбросе параметров, откройте командную строку и выполните следующую команду:

Другие параметры блокировки

Помимо определения разрешенных приложений, необходимо также запретить доступ к некоторым параметрам и функциям на устройстве. Чтобы повысить безопасность взаимодействия, рекомендуем внести в конфигурацию устройства приведенные ниже изменения.

Удалите список Все приложения

Перейдите в раздел Редактор групповой политики > Конфигурация пользователя > Административные шаблоны\Меню «Пуск» и панель задач\Удалить список всех программ в меню «Пуск».

Скройте компонент Специальные возможности на экране входа.

Перейдите в раздел Панель управления > Специальные возможности > Центр специальных возможностей и отключите все средства специальных возможностей.

Отключите аппаратную кнопку питания.

Перейдите в раздел Электропитание > Действие кнопки питания, измените значение на Действие не требуется и выберите Сохранить изменения.

Перейдите в раздел Параметры > Конфиденциальность > Камера и отключите параметр Разрешить приложениям использовать камеру.

Отключите отображение уведомлений приложений на экране блокировки.

Отключите съемные носители.

Перейдите в меню Редактор групповой политики > Конфигурация компьютера > Административные шаблоны\Система\Установка устройств\Ограничения на установку устройств. Проверьте параметры политики, отображаемые в разделе Ограничения на установку устройств, чтобы найти параметры, подходящие для вашей ситуации.

Примечание.
Чтобы эта политика не влияла на участников группы "Администраторы", в разделе Ограничения на установку устройствустановите флажок Разрешить администраторам заменять политики ограничения установки устройств.

Подробнее о функциях блокировки см. в разделе Настройки Windows 10 Корпоративная.

Настройка макета начального экрана на устройстве (рекомендуется)

Меню "Пуск" на устройстве можно настроить таким образом, чтобы в нем отображались только плитки разрешенных приложений. Для этого нужно вручную внести изменения, экспортировать макет в XML-файл, а затем использовать этот файл на устройстве, чтобы запретить пользователям вносить изменения. Инструкции: Управление параметрами макета начального экрана Windows10.

Рассмотрим ситуацию: У Вас есть "терминальный" сервер, на котором сидят люди с тонких клиентов. Мы для них все настроили, в том числе и браузер, и хотим, чтобы они все пользовались 1 браузером. Но они начинают ставить себе Хром, Яндекс, и упаси Боже - Амиго. А они ставятся не в \Program Files, а в профиль пользователю.

В данной статье рассмотрим, как же можно стандартными средствами Windows запретить пользователю устанавливать приложения, которые ставятся в папку с профилем пользователя, такие как Yandex браузер, Амиго, спутник Mail и т.п.

Рассмотрим ситуацию: У Вас есть "терминальный" сервер, на котором сидят люди с тонких клиентов. Мы для них все настроили, в том числе и браузер, и хотим, чтобы они все пользовались 1 браузером. Но они начинают ставить себе Хром, Яндекс, и упаси Боже - Амиго. А они ставятся не в \Program Files, а в профиль пользователю.

В данной статье рассмотрим, как же можно стандартными средствами Windows запретить пользователю устанавливать приложения, которые ставятся в папку с профилем пользователя, такие как Yandex браузер, Амиго, спутник Mail и т.п.


Для начала идем в "Панель управления" во вкладку "Администрирование"

Открываем "Службы" и находим службу "Удостоверение приложения"


Открываем свойства данной службы

По "умолчанию" она остановлена и стоит "Запуск - вручную"

Нам необходимо установить "Запуск - автоматически" и нажать кнопку "Запустить"


Теперь снова возвращаемся в "Администрирование" и открываем "Локальная политика безопасности"


В открывшемся окне идем в "Политики управления приложениями -> AppLocker -> Исполняемые правила"

У Вас "по умолчанию" там будет пусто


Справа в свободном месте нажимаем правой кнопкой мыши и выбираем "Создать правило. "


Нас приветствует "Мастер создания новых правил", Нажимаем "Далее"


Выбираем, что мы хотим сделать, разрешить или запретить. Выбираем "Запретить".

Далее можем оставить по умолчанию "Все", или выбрать конкретную группу или пользователя.

После нажимаем "Далее"


В данном окне есть несколько типов правил, я пользуюсь правилом "Издатель" и нажимаем "Далее"


Тут выбираем файл, установщик которого мы хотим запретить


Для примера я выбрал установщик Яндекс.Браузера

Слева видим ползунок, которым можно ограничивать, выполнять все условия или поднимая выше - уменьшать кол-во проверок. Поиграйтесь ползунком - поймете что он ограничивает.

После того, как выбрали подходящий Вам вариант - нажимаем "Далее"


Тут можно добавить исключение. Я им не пользовался.

Ну к примеру вы запретили установку любого ПО от производителя "Яндекс", но хотите чтобы было разрешено "Яндекс.Панель", тогда необходимо добавить его в исключение кнопкой "Добавить. ", как все сделали - нажимаем "Далее"


Теперь нам осталось только дать имя нашему правилу и его описание (не обязательно). После чего нажимаем кнопку "Создать"


Все! Наше правило готово. Чтобы оно немедленно вступило в силу - предлагаю обновить правила политики для ПК и Пользователя.

Для этого открываем командную строку (пуск -> выполнить -> cmd или PowerShell) и пишем gpupdate /force

Дожидаемся обновления политик и можем тестировать.


Так как я применял политику только на группу "Пользователи домена", на меня она не распространяется, но если запустить установку Яндекс.Браузера от имени обычного пользователя, то мы увидим вот такую ошибку:

Читайте также: