Работа с правилами политик ограниченного использования программ

Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

В этом разделе описываются процедуры, работающие с сертификатом, путем, зонами Интернета и хэш-правилами с помощью политик ограничений программного обеспечения.

Введение

С помощью политик ограничений программного обеспечения вы можете защитить среду вычислений от ненадежного программного обеспечения, определив и указав, какое программное обеспечение разрешено запускать. Вы можете определить уровень безопасности по умолчанию неограниченного или запрещенного для объекта групповой политики (GPO), чтобы программное обеспечение было разрешено или запрещено выполнять по умолчанию. Вы можете сделать исключения на этом уровне безопасности по умолчанию, создав правила политик ограничений программного обеспечения для конкретного программного обеспечения. Например, если для уровня безопасности по умолчанию задано значение "Запрещено", можно создать правила, позволяющие запускать определенное программное обеспечение. Типы правил приведены следующим образом:

• Правила сертификата

  Инструкции см. в разделе "Работа с правилами сертификата".

• Хэш-правила

  Инструкции см. в разделе "Работа с хэш-правилами".

• Правила зоны Интернета

  Инструкции см. в разделе "Работа с правилами зоны Интернета".

• Правила пути

  Инструкции см. в разделе "Работа с правилами пути".

Сведения о других задачах для управления политиками ограничений программного обеспечения см. в разделе Администратор стер политик ограничений программного обеспечения.

Работа с правилами сертификатов

Политики ограничений программного обеспечения также могут определять программное обеспечение по его сертификату подписи. Можно создать правило для сертификата, которое определяет программу, а потом разрешает или запрещает ее запуск в зависимости от уровня безопасности. Например, с помощью правил для сертификатов можно автоматически считать доверенным программное обеспечение из доверенного источника в домене, не запрашивая пользователя. С помощью правил для сертификатов также можно запускать файлы в запрещенных областях операционной системы. По умолчанию правила для сертификатов не включены.

При создании правил для домена с помощью групповой политики необходимо иметь разрешения на создание или изменение объекта групповой политики. При создании правил для локального компьютера необходимы административные учетные данные на этом компьютере.

Создание правила для сертификатов

1. Откройте окно "Политики ограниченного использования программ".

2. В дереве консоли или области сведений щелкните правой кнопкой мыши дополнительные правила и выберите пункт "Создать правило сертификата".

3. Нажмите кнопку "Обзор" и выберите сертификат или подписанный файл.

4. На уровне безопасности щелкните "Запрещено" или "Запрещено".

5. В поле "Описание" введите описание этого правила и нажмите кнопку "ОК".

Примечание.

• Может понадобиться создать новый параметр политики ограниченного использования программ для объекта групповой политики, если это еще не сделано.
• По умолчанию правила для сертификатов не включены.
• Единственными типами файлов, затронутыми правилами сертификатов, являются те, которые перечислены в указанных типах файлов в области сведений о политиках ограничений программного обеспечения. Все правила используют общий список назначенных типов файлов.
• Чтобы политики ограничений программного обеспечения вступают в силу, пользователи должны обновлять параметры политики путем выхода из системы и входа на компьютеры.
• При применении нескольких правил политик ограничений программного обеспечения к параметрам политики имеется приоритет правил для обработки конфликтов.

Включение правил для сертификатов

Правила для сертификатов включаются различными процедурами в зависимости от среды.

• Для локального компьютера

• Для объекта групповой политики и на сервере, присоединенном к домену

• Для объекта групповой политики и на контроллере домена или на рабочей станции с установленными средствами удаленного сервера Администратор istration Tools

• Для только контроллеров домена, и вы находитесь на контроллере домена или на рабочей станции с установленным пакетом средств удаленного сервера Администратор istration

Включение правил сертификатов для локального компьютера

1. Откройте окно "Локальные параметры безопасности".

2. В дереве консоли щелкните "Параметры безопасности", расположенные в разделе "Безопасность Параметры/локальные политики".

3. В области сведений дважды щелкните параметры системы: используйте правила сертификатов в исполняемых файлах Windows для политик ограничений программного обеспечения.

4. Выполните одно из следующих действий и нажмите кнопку "ОК".

   • Чтобы включить правила сертификата, нажмите кнопку "Включено".

   • Чтобы отключить правила сертификата, нажмите кнопку "Отключено".

Чтобы включить правила сертификата для объекта групповой политики, и вы находитесь на сервере, присоединенном к домену.

1. Откройте консоль управления (MMC).

2. В меню "Файл" щелкните "Добавить или удалить оснастку" и нажмите кнопку "Добавить".

3. Щелкните элемент Редактор объектов групповой политики и затем нажмите кнопку Добавить.

4. В окне Выбор объекта групповой политики нажмите кнопку Обзор.

5. Найдите объект групповой политики, выберите объект групповой политики (GPO) в соответствующем домене, сайте или подразделении или создайте новый объект, а затем нажмите кнопку "Готово".

6. Нажмите кнопку Закрыть, а затем кнопку ОК.

7. В дереве консоли щелкните "Параметры безопасности", расположенные в группе GroupPolicyObject [Имя_компьютера], политика/конфигурация компьютера/Windows Параметры/Безопасность Параметры/Локальные политики/.

8. В области сведений дважды щелкните параметры системы: используйте правила сертификатов в исполняемых файлах Windows для политик ограничений программного обеспечения.

9. Если этот параметр политики еще не определен, выберите поле "Определить эти параметры политики" проверка.

10. Выполните одно из следующих действий и нажмите кнопку "ОК".

    • Чтобы включить правила сертификата, нажмите кнопку "Включено".

    • Чтобы отключить правила сертификата, нажмите кнопку "Отключено".

Чтобы включить правила сертификатов для объекта групповой политики, и вы находитесь на контроллере домена или на рабочей станции с установленными средствами удаленного сервера Администратор istration Tools

1. Откройте оснастку "Пользователи и компьютеры Active Directory".

2. В дереве консоли щелкните правой кнопкой мыши объект групповой политики, для которого следует включить правила для сертификатов.

3. Щелкните "Свойства" и перейдите на вкладку групповой политики .

4. Нажмите кнопку Изменить, чтобы открыть объект групповой политики для правки. Также можно нажать кнопку Создать, чтобы создать новый объект групповой политики, а затем нажать кнопку Изменить.

5. В дереве консоли щелкните "Параметры безопасности", расположенные в разделе "Политика groupPolicyObject[Имя_компьютера], конфигурация компьютера/Windows Параметры/безопасность Параметры/локальные политики.

6. В области сведений дважды щелкните параметры системы: используйте правила сертификатов в исполняемых файлах Windows для политик ограничений программного обеспечения.

7. Если этот параметр политики еще не определен, выберите поле "Определить эти параметры политики" проверка.

8. Выполните одно из следующих действий и нажмите кнопку "ОК".

   • Чтобы включить правила сертификата, нажмите кнопку "Включено".

   • Чтобы отключить правила сертификата, нажмите кнопку "Отключено".

Чтобы включить правила сертификатов только для контроллеров домена, и вы находитесь на контроллере домена или на рабочей станции с установленными средствами удаленного сервера Администратор istration Tools

1. Откройте консоль параметров безопасности контроллера домена.

2. В дереве консоли щелкните "Параметры безопасности", расположенные в разделе GroupPolicyObject [Имя_компьютера], политика/конфигурация компьютера/Windows Параметры/безопасность Параметры/локальные политики.

3. В области сведений дважды щелкните параметры системы: используйте правила сертификатов в исполняемых файлах Windows для политик ограничений программного обеспечения.

4. Если этот параметр политики еще не определен, выберите поле "Определить эти параметры политики" проверка.

5. Выполните одно из следующих действий и нажмите кнопку "ОК".

   • Чтобы включить правила сертификата, нажмите кнопку "Включено".

   • Чтобы отключить правила сертификата, нажмите кнопку "Отключено".

Примечание.

Эту процедуру необходимо выполнить, чтобы правила для сертификатов вступили в силу.

Настройка параметров доверенного издателя

Все большее число издателей программного обеспечения и разработчиков приложений используют подписи для программного обеспечения, чтобы подтвердить, что их приложения поступают из надежного источника. Однако многие пользователи не понимают назначение сертификатов подписей, связанных с устанавливаемыми приложениями, или уделяют им мало внимания.

Параметры политики на вкладке доверенных издателей политики проверки пути сертификата позволяют администраторам контролировать, какие сертификаты можно принимать от доверенного издателя.

Настройка параметров политики доверенных издателей для локального компьютера

1. На начальном экране введитеgpedit.msc и нажмите клавишу ВВОД.

2. В дереве консоли в разделе "Политика локального компьютера\Конфигурация компьютера\Windows Параметры\Безопасность Параметры щелкните политики открытого ключа".

3. Дважды щелкните Параметры проверки пути сертификата и перейдите на вкладку "Доверенные издатели".

4. Выберите флажок "Определить эти параметры политики" проверка, выберите параметры политики, которые вы хотите применить, и нажмите кнопку "ОК", чтобы применить новые параметры.

Настройка параметров политики доверенных издателей для домена

1. Откройте раздел Управление групповой политикой.

2. В дереве консоли дважды щелкните объекты групповой политики в лесу и домене, содержащий объект групповой политики по умолчанию , который требуется изменить.

3. Щелкните GPO политики домена по умолчаниюправой кнопкой мыши и выберите команду Изменить.

4. В дереве консоли в разделе "Конфигурация компьютера\Windows Параметры\Безопасность Параметры щелкните политики открытого ключа".

5. Дважды щелкните Параметры проверки пути сертификата и перейдите на вкладку "Доверенные издатели".

6. Выберите флажок "Определить эти параметры политики" проверка, выберите параметры политики, которые вы хотите применить, и нажмите кнопку "ОК", чтобы применить новые параметры.

Чтобы разрешить только администраторам управление сертификатами, используемыми для подписи кода на локальном компьютере, выполните следующие действия.

1. На начальномэкране введите gpedit.msc в программах поиска и файлах или в Windows 8 на рабочем столе и нажмите клавишу ВВОД.

2. В дереве консоли в разделе "Политика домена по умолчанию" или "Локальная политика компьютера" дважды щелкните "Конфигурация компьютера", "Windows Параметры" и "Безопасность Параметры", а затем выберите политики открытого ключа.

3. Дважды щелкните Параметры проверки пути сертификата и перейдите на вкладку "Доверенные издатели".

4. Выберите поле "Определение этих параметров политики" проверка.

5. В разделе "Управление доверенными издателями" нажмите кнопку "Разрешить только всем администраторам управлять доверенными издателями" и нажмите кнопку "ОК ", чтобы применить новые параметры.

Чтобы разрешить только администраторам управление сертификатами, используемыми для подписи кода в домене, выполните следующие действия.

1. Откройте раздел Управление групповой политикой.

2. В дереве консоли дважды щелкните объекты групповой политики в лесу и домене, содержащий объект групповой политики домена по умолчанию, который требуется изменить.

3. Щелкните GPO политики домена по умолчаниюправой кнопкой мыши и выберите команду Изменить.

4. В дереве консоли в разделе "Конфигурация компьютера\Windows Параметры\Безопасность Параметры щелкните политики открытого ключа".

5. Дважды щелкните Параметры проверки пути сертификата и перейдите на вкладку "Доверенные издатели".

6. Выберите нужные параметры политики проверка, реализуйте необходимые изменения и нажмите кнопку "ОК", чтобы применить новые параметры.

Работа с хэш-правилами

Хэш — это последовательность байтов фиксированной длины, уникальным образом определяющая программу или файл. Хэш вычисляется по хэш-алгоритму. Когда для программы создается правило хэширования, политики ограниченного использования программ вычисляют хэш программы. Когда пользователь пытается открыть программу, ее хэш сравнивается с существующими правилами хэширования для политик ограниченного использования программ. Хэш программы остается неизменным независимо от ее расположения на компьютере. Однако если программа каким-либо образом меняется, то ее хэш также меняется и перестает совпадать с хэшем в правиле хэширования для политик ограниченного использования программ.

Например, можно создать хэш-правило и задать уровень безопасности запрещено, чтобы запретить пользователям запускать определенный файл. Этот файл можно переименовать или переместить в другую папку, однако он будет иметь тот же хэш. Однако при изменении содержимого файла его хэш-значение также изменится, и файл сможет обойти ограничения.

Создание правила хэширования

1. Откройте окно "Политики ограниченного использования программ".

2. В дереве консоли или области сведений щелкните правой кнопкой мыши дополнительные правила и выберите команду "Создать правило хэша".

3. Нажмите кнопку " Обзор" , чтобы найти файл.

   Примечание.

   В Windows XP можно вставить предварительно вычисляемый хэш в хэш файла. В Windows Server 2008 R2, Windows 7 и более поздних версиях этот параметр недоступен.

4. На уровне безопасности щелкните "Запрещено" или "Запрещено".

5. В поле "Описание" введите описание этого правила и нажмите кнопку "ОК".

Примечание.

• Может понадобиться создать новый параметр политики ограниченного использования программ для объекта групповой политики, если это еще не сделано.
• Правило хэширования можно создать для вируса или вредоносной программы типа "троянский конь", чтобы предотвратить их запуск.
• Если вы хотите, чтобы другие пользователи использовали правило хэша, чтобы вирус не удалось запустить, вычислите хэш вируса с помощью политик ограничений программного обеспечения, а затем по электронной почте хэш-значение другим людям. Никогда не по электронной почте сам вирус.
• Если вирус был отправлен по электронной почте, можно также создать правило пути, чтобы предотвратить выполнение вложений электронной почты.
• После переименования или перемещения в другую папку файл будет иметь тот же хэш. Любое изменение файла приводит к другому хэшу.
• Единственными типами файлов, затронутыми правилами хэша, являются те, которые перечислены в указанных типах файлов в области сведений о политиках ограничений программного обеспечения. Все правила используют общий список назначенных типов файлов.
• Чтобы политики ограничений программного обеспечения вступают в силу, пользователи должны обновлять параметры политики путем выхода из системы и входа на компьютеры.
• При применении нескольких правил политик ограничений программного обеспечения к параметрам политики имеется приоритет правил для обработки конфликтов.

Работа с правилами зоны Интернета

Правила для зон Интернета применяются только к пакетам установщика Windows. Правило для зоны может определять программу из зоны, заданной в Internet Explorer. Это зоны "Интернет", "Локальная интрасеть", "Опасные сайты", "Надежные сайты" и "Мой компьютер". Правило зоны Интернета предназначено для предотвращения загрузки и установки программного обеспечения пользователями.

Создание правила для зоны Интернета

1. Откройте окно "Политики ограниченного использования программ".

2. В дереве консоли или области сведений щелкните правой кнопкой мыши дополнительные правила и выберите пункт "Создать правило зоны Интернета".

3. В зоне Интернета щелкните зону Интернета.

4. На уровне безопасности нажмите кнопку "Запретить " или "Неограниченный" и нажмите кнопку "ОК".

Примечание.

• Может понадобиться создать новый параметр политики ограниченного использования программ для объекта групповой политики, если это еще не сделано.
• Правила для зон применяются только к файлам типа MSI, то есть к пакетам установщика Windows.
• Чтобы политики ограничений программного обеспечения вступают в силу, пользователи должны обновлять параметры политики путем выхода из системы и входа на компьютеры.
• При применении нескольких правил политик ограничений программного обеспечения к параметрам политики имеется приоритет правил для обработки конфликтов.

Работа с правилами пути

Правило для пути определяет программу по пути к ее файлу. Например, если у вас есть компьютер с уровнем безопасности по умолчанию запрещено, вы по-прежнему можете предоставить неограниченный доступ к определенной папке для каждого пользователя. Вы можете создать правило пути с помощью пути к файлу и задать уровень безопасности правила пути на "Неограниченный". Для этого типа правила часто используются пути %userprofile%, %windir%, %appdata%, %programfiles% и %temp%. Также можно создавать правила для пути в реестре, где путем служит раздел реестра для программы.

Поскольку такие правила задаются для пути, при перемещении программы правило для пути перестает действовать.

Создание правила для пути

1. Откройте окно "Политики ограниченного использования программ".

2. В дереве консоли или области сведений щелкните правой кнопкой мыши дополнительные правила и выберите пункт "Создать правило пути".

3. В поле "Путь" введите путь или нажмите кнопку "Обзор ", чтобы найти файл или папку.

4. На уровне безопасности щелкните "Запрещено" или "Запрещено".

5. В поле "Описание" введите описание этого правила и нажмите кнопку "ОК".

Внимание

• В некоторых папках, таких как папка Windows, установка уровня безопасности запрещено может негативно повлиять на работу операционной системы. Убедитесь, что не запрещается доступ к важному компоненту операционной системы или какой-либо из ее зависимых программ.

Примечание.

• Может понадобиться создать новые политики ограниченного использования программ для объекта групповой политики, если это еще не сделано.
• Если вы создаете правило пути для программного обеспечения с уровнем безопасности запрещено, пользователи по-прежнему могут запускать программное обеспечение, копируя его в другое расположение.
• В правиле для пути поддерживаются подстановочные знаки звездочки (*) и вопроса (?).
• В правиле для пути можно использовать переменные среды, например %programfiles% и %systemroot%.
• Если нужно создать правило для программы, когда неизвестно ее расположение на компьютере, но имеется ее раздел реестра, то можно создать правило для пути в реестре.
• Чтобы запретить пользователям выполнять вложения электронной почты, можно создать правило пути для каталога вложений программы электронной почты, которое запрещает пользователям запускать вложения электронной почты.
• Единственными типами файлов, затронутыми правилами пути, являются те, которые перечислены в указанных типах файлов в области сведений о политиках ограничений программного обеспечения. Все правила используют общий список назначенных типов файлов.
• Чтобы политики ограничений программного обеспечения вступают в силу, пользователи должны обновлять параметры политики путем выхода из системы и входа на компьютеры.
• При применении нескольких правил политик ограничений программного обеспечения к параметрам политики имеется приоритет правил для обработки конфликтов.

Создание правила для пути в реестре

1. На начальном экране введите regedit.

2. В дереве консоли щелкните правой кнопкой мыши раздел реестра, для которого нужно создать правило, а затем нажмите кнопку "Копировать имя ключа". Найдите параметр в области сведений.

3. Откройте окно "Политики ограниченного использования программ".

4. В дереве консоли или области сведений щелкните правой кнопкой мыши дополнительные правила и выберите пункт "Создать правило пути".

5. В поле Path вставьте имя раздела реестра, а затем имя значения.

6. Заключите путь реестра в знаки процента (например, %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PlatformSDK\Directoryies\InstallDir%.

7. На уровне безопасности щелкните "Запрещено" или "Запрещено".

8. В поле "Описание" введите описание этого правила и нажмите кнопку "ОК".