Определение списка разрешений и запретов и инвентаризации приложений для политик ограниченного использования программ

Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

в этом разделе для ит-специалистов содержатся инструкции по созданию списка разрешений и запретов для управления приложениями с помощью политик ограниченного использования программ (SRP), начиная с Windows Server 2008 и Windows Vista.

Введение

Политики ограниченного использования программ — это основанная на групповых политиках функция, которая выявляет программы, работающие на компьютерах в домене, и управляет возможностью выполнения этих программ. Эти политики позволяют создать конфигурацию со строгими ограничениями для компьютеров, где разрешается запуск только определенных приложений. Политики интегрируются с доменными службами Active Directory и групповой политикой, но также могут настраиваться на изолированных компьютерах. Сведения об отправной точке для набора исправлений безопасности см. в разделе политики ограниченного использования программ.

начиная с Windows Server 2008 R2 и Windows 7, Windows AppLocker можно использовать вместо или совместно с SRP для части стратегии управления приложениями.

Сведения о способах выполнения определенных задач с помощью политик ограниченного использования программ см. в следующих разделах:

Какое правило по умолчанию выбрать: разрешить или запретить

Политики ограниченного использования программ можно развернуть в одном из двух режимов, которые являются основанием правила по умолчанию: список разрешений или список запретов. Можно создать политику, определяющую все приложения, которые разрешено запускать в среде; правило по умолчанию в политике ограничено и блокирует все приложения, которые явно не разрешено выполнять. Или можно создать политику, определяющую все приложения, которые не могут быть запущены; правило по умолчанию не ограничено и ограничивает только те приложения, которые были указаны явно.

Важно!

Режим списка запретов может быть стратегией высокого уровня обслуживания для Организации, касающейся управления приложениями. Создание и обслуживание списка развития, в котором запрещены все вредоносные программы и другие проблемные приложения, занимают много времени и подвержены ошибкам.

Создание инвентаризации приложений для списка разрешений

Чтобы эффективно использовать правило по умолчанию, необходимо точно определить, какие приложения требуются в вашей организации. существуют средства, предназначенные для создания инвентаризации приложений, такие как сборщик перечней в набор средств совместимости приложений майкрософт. Однако SRP обладает расширенной функцией ведения журнала, помогающей понять, какие именно приложения работают в вашей среде.

Определение приложений, которые следует разрешить
  1. В тестовой среде разверните политику ограниченного использования программ с набором правил по умолчанию без ограничений и удалите все дополнительные правила. Если включить SRP без принудительного ограничения каких бы то ни было приложений, СПР сможет отслеживать, какие приложения выполняются.

  2. Создайте следующее значение реестра, чтобы включить функцию расширенного ведения журнала, и задайте путь к месту, где должен быть записан файл журнала.

    "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers"

    Строковое значение: LogFilename путь к LogFilename

    Поскольку SRP оценивает все приложения при их запуске, запись записывается в файл журнала намелогфиле каждый раз при запуске приложения.

  3. Оценка файла журнала

    Каждая запись журнала имеет следующие статусы:

    • вызывающий объект политики ограниченного использования программ и идентификатор процесса (PID) вызывающего процесса

    • оцениваемый целевой объект

    • правило SRP, которое было обнаружено при запуске приложения

    • Идентификатор для правила SRP.

    Пример выходных данных, записываемых в файл журнала:

explorer.exe (PID = 4728) identifiedC:\Windows\system32\onenote.exe в качестве неограниченного правила усингпас, GUID = {320bd852-aa7c-4674-82c5-9a80321670a3} Все приложения и соответствующий код, которые проверяет и задаются в блоке безопасности, будут записаны в файл журнала, который затем можно использовать для определения того, какие исполняемые файлы следует учитывать в списке разрешенных.