Determine Allow-Deny List and Application Inventory for Software Restriction Policies (Определение списка разрешенных и списка запрещенных программ, а также перечня программ для политик ограниченного использования программ)

Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

В этом разделе для ИТ-специалистов описано, как создать список разрешений и запретов для приложений, управляемых политиками ограничений программного обеспечения (SRP), начиная с Windows Server 2008 и Windows Vista.

Введение

Политики ограниченного использования программ — это основанная на групповых политиках функция, которая выявляет программы, работающие на компьютерах в домене, и управляет возможностью выполнения этих программ. Эти политики позволяют создать конфигурацию со строгими ограничениями для компьютеров, где разрешается запуск только определенных приложений. Политики интегрируются с доменными службами Active Directory и групповой политикой, но также могут настраиваться на изолированных компьютерах. Отправная точка для SRP см. в политиках ограничений программного обеспечения.

Начиная с Windows Server 2008 R2 и Windows 7, вместо политики SRP или вместе с ней в рамках стратегии управления приложениями можно использовать Windows AppLocker.

Сведения о способах выполнения определенных задач с помощью политик ограниченного использования программ см. в следующих разделах:

• Работа с правилами политик ограниченного использования программ

• Использование политик ограничений программного обеспечения для защиты компьютера от вируса электронной почты

Какое правило по умолчанию выбрать: разрешить или запретить

Политики ограничений программного обеспечения можно развернуть в одном из двух режимов, которые являются основой правила по умолчанию: список разрешений или список запретов. Вы можете создать политику, которая идентифицирует каждое приложение, которое разрешено запускать в вашей среде; Правило по умолчанию в политике ограничено и блокирует все приложения, которые не разрешены явным образом. Вы также можете создать политику, которая идентифицирует каждое приложение, которое не может выполняться; Правило по умолчанию не ограничено и ограничивает только приложения, которые вы явно перечислили.

Внимание

Режим списка запретов может быть стратегией высокого обслуживания для вашей организации в отношении управления приложениями. Создание и обслуживание развивающегося списка, запрещающего все вредоносные программы и другие проблемные приложения, будут потреблять много времени и подвержены ошибкам.

Создание инвентаризации приложений для списка разрешений

Чтобы эффективно использовать правило allow по умолчанию, необходимо определить, какие приложения требуются в вашей организации. Существуют средства, предназначенные для создания инвентаризации приложений, таких как сборщик инвентаризации в набор средств совместимости приложений Майкрософт. Но SRP имеет расширенную функцию ведения журнала, чтобы понять, какие приложения выполняются в вашей среде.

Обнаружение разрешенных приложений

1. В тестовой среде разверните политику ограничений программного обеспечения с заданным по умолчанию правилом "Неограниченный" и удалите все дополнительные правила. Если вы включите SRP без принудительного ограничения приложений, SPR сможет отслеживать выполнение приложений.

2. Создайте следующее значение реестра, чтобы включить функцию расширенного ведения журнала и задать путь к месту записи файла журнала.

   "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Сейф r\CodeIdentifiers"

   Строковое значение: путь LogFileName к LogFileName

   Так как SRP оценивает все приложения при выполнении, запись записывается в файл журнала NameLogFile при каждом запуске приложения.

3. Оценка файла журнала

   Каждое состояние записи журнала:

   • вызывающий политику ограничений программного обеспечения и идентификатор процесса (PID) вызывающего процесса

   • вычисляемый целевой объект

   • Правило SRP, обнаруженное при запуске этого приложения

   • идентификатор правила SRP.

   Пример выходных данных, записанных в файл журнала:

explorer.exe (PID = 4728) идентифицировалсяC:\Windows\system32\onenote.exe как неограниченное правило usingpath, Guid ={320bd852-aa7c-4674-82c5-9a80321670a3} Все приложения и связанный код, которые SRP проверка и заданы для блокировки, будут отмечены в файле журнала, который затем можно использовать для определения исполняемых файлов для списка разрешенных.