Политики ограниченного использования программ

  • Статья

Область применения: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

В этом разделе для ИТ-специалистов описаны политики ограничений программного обеспечения (SRP) в Windows Server 2012 и 2016 и Windows 8, а также ссылки на технические сведения о SRP, начиная с Windows Server 2003.

Внимание

Политики ограничений программного обеспечения устарели, начиная с сборки Windows 10 1803, а также применяются к Windows Server 2019 и выше. Для управления запуском программного обеспечения следует использовать элемент управления приложениями в Защитнике Windows (WDAC) или AppLocker.

Инструкции и советы по устранению неполадок см. в статье Администратор ister Software Restriction Policies and Troubleshoot Software Restriction Policies(Устранение неполадок с политиками ограничений программного обеспечения).

Описание политик ограниченного использования программ

Политики ограниченного использования программ — это основанная на групповых политиках функция, которая выявляет программы, работающие на компьютерах в домене, и управляет возможностью выполнения этих программ. Политики ограниченного использования программ являются частью стратегии управления и безопасности Майкрософт, позволяющей предприятиям повышать надежность, целостность и управляемость их компьютеров.

Кроме того, данные политики помогают создать конфигурацию с расширенными ограничениями для компьютеров, на которых разрешается запуск только определенных приложений. Политики ограниченного использования программ интегрируются со службой Microsoft Active Directory и групповой политикой. Политики можно создавать на изолированных компьютерах. Они являются политиками доверия, то есть представляют собой правила, устанавливаемые администратором, чтобы ограничить выполнение сценариев и другого кода, не имеющего полного доверия.

Данные политики ограниченного использования программ определяются как расширение редактора локальных групповых политик или оснастки Microsoft Management Console (MMC) "Локальные политики безопасности".

Подробные сведения о политиках ограниченного использования программ см. в разделе Software Restriction Policies Technical Overview.

Практическое применение

Администраторы могут использовать политики ограниченного использования программ для решения следующих задач:

  • определить доверенный код;

  • разработать гибкую групповую политику для регулирования работы сценариев, исполняемых файлов и элементов ActiveX.

Политики ограниченного использования программ применяются операционной системой и приложениями (например, для создания сценариев), которые им соответствуют.

В частности, администраторы могут использовать политики ограниченного использования программ в следующих целях:

  • определить программное обеспечение (исполняемые файлы), которое может выполняться на клиентах;

  • запретить пользователям выполнять определенные программы на компьютерах с общим доступом;

  • определить, кто может добавлять доверенных издателей на клиентах;

  • установить область действия политик ограниченного использования программ (указать, будут ли политики применяться для всех пользователей или только для группы пользователей на клиентах);

  • запретить работу исполняемых файлов на локальном компьютере, сайте, в подразделении или домене. Это уместно в тех случаях, когда политики ограниченного использования программ не применяются для решения потенциальных проблем со злоумышленниками.

Новые и измененные функции

Функциональные изменения в политиках ограниченного использования программ отсутствуют.

Удаленные или устаревшие функциональные возможности

Удаленные или устаревшие функции в политиках ограниченного использования программ отсутствуют.

Требования к программному обеспечению

Расширение редактора локальных групповых политик для политик ограниченного использования программ доступно через консоль управления (MMC).

Для создания и поддержки политик ограниченного использования программ на локальном компьютере требуются следующие компоненты:

  • Редактор локальных групповых политик

  • Установщик Windows

  • Authenticode и WinVerifyTrust

Если планируются вызовы для развертывания этих политик в домене, к вышеупомянутому списку потребуется добавить следующие компоненты:

  • Доменные службы Active Directory

  • Групповая политика

Сведения о диспетчере сервера

Политики ограниченного использования программ представляют собой расширение редактора локальных групповых политик и не устанавливаются с помощью пункта "Добавить роли и компоненты" диспетчера серверов.

В следующей таблице содержатся ссылки на соответствующие ресурсы, необходимые для понимания и применения политик ограниченного использования программ.

Content type Ссылки
Оценка продукта Блокировка приложений с политиками ограничений программного обеспечения
Планирование Технический обзор политик ограничений программного обеспечения (Windows Server 2012)

Технический справочник по политикам ограниченного использования программ (Windows Server 2003)
Развертывание Доступные ресурсы отсутствуют.
Операции политики ограничения программного обеспечения Администратор ( Windows Server 2012 )

Справка по политикам ограниченного использования программ (Windows Server 2003)
Устранение неполадок Устранение неполадок политик ограничений программного обеспечения (Windows Server 2012)

Диагностика политик ограниченного использования программ (Windows Server 2003)
Безопасность Угрозы и противодействия для политик ограниченного использования программ (Windows Server 2008)

Угрозы и противодействия для политик ограниченного использования программ (Windows Server 2008 R2)
Средства и параметры Средства и параметры политик ограниченного использования программ (Windows Server 2003)
Ресурсы сообщества Блокировка приложений с политиками ограничений программного обеспечения