Как отключить applocker в windows 10

блокировка_запуска_приложений_win_10_iot_enterprise

Содержание

Ограничение запуска приложений

Информация в данном разделе актуальна для Windows 10: 1809.

AppLocker позволяет запретить или разрешить запуск определенных приложений для определенных пользователей или групп пользователей.

Настройки AppLocker’а находятся в локальной групповой политике

«Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Политики управления приложениями\AppLocker»

(Computer Configuration\Windows Settings\Security Settings\Application Control Policies\AppLocker)

В разделе «AppLocker» можно указать политику применения правил:

  • Не настроено

  • Аудит

  • Принудительное применение правил

В подразделах находятся разделы с настройками правил AppLocker’а.

Перед включением AppLocker’а необходимо создать правила по умолчанию или минимально необходимый набор правил для корректной работы системы.

Создание правил по умолчанию

Необходимо создать правила по умолчанию в разделах:

  • «Исполняемые правила» / (Executable Rules)

  • «Правила упакованных приложений» / (Packaged app Rules)

Для создания правил по умолчанию необходимо нажать правой кнопкой мыши на соответствующем разделе и выбрать пункт «Создать правила по умолчанию» / (Create Default Rules)

Без создания вышеуказанных правил система будет некорректно работать после включения AppLocker’а

Включение AppLocker’а

Для включения AppLocker’а необходимо перевести службу AppLocker’а в автоматический режим запуска и запустить ее. Для этого необходимо выполнить нижеуказанные команды в консоли, которая запущена с повышенными привилегиями:

sc config AppIDSvc start=auto
net start AppIDSvc

AppLocker начнет работу НЕ сразу после запуска службы.

Узнать состояние работы AppLocker’а можно в просмотре событий.

«Просмотр событий \ Журналы приложений и служб \ Microsoft \ Windows \ AppLocker \ EXE и DLL»

(Event Viewer \ Application and Services Logs \ Microsoft \ Windows \ AppLocker \ EXE и DLL)

Ветка журнала «Журналы приложений и служб» / (Application and Services Logs) открывается не сразу, ее открытие может занять некоторое время.

AppLocker не будет работать до тех пор пока в разделе журнала «EXE и DLL» не появится сообщение о том, что политика AppLocker’а применена к системе – код события 8001.

В журнале нет автоматического обновления отображения содержимого, для обновления отображаемых данных в журнале необходимо нажать «F5»

Настройка правил

Правила по умолчанию позволяют всем пользователям запускать файлы исполнения, которые находятся в папках «Windows» и «Program Files». Запуск остальных файлов разрешен только группе «Администраторы». Запуск упакованных приложений разрешен всем пользователям.

Для настройки правил по белому списку — запрещено все, кроме того, что разрешено, необходимо настроить разрешения только для группы «Администраторы» или для учетной записи администратора.

Если вы не знаете какие разрешения необходимо установить для корректной работы пользователя, то можно включить режим аудита, при котором ограничения AppLocker’а не будут действовать, но будут записаны сообщения в журнал о том, что выполнение было бы запрещено, если бы действовали правила AppLocker’а

Для включения режима аудита выберите пункт «AppLocker» в редакторе локальной групповой политики по ранее указанному пути. В правой части редактора нажмите левой кнопкой мыши на пункте «Настроить применение правил» \ (Configure rule enforcement). В необходимом разделе поставьте флажок «Настроено» \ (Configured) и в выпадающем меню выберите пункт «Только аудит» \ (Audit only).

После включения режима аудита запустите все программы, которые будет запускать пользователь и посмотрите в журнале AppLocker’а запуск каких программ был бы запрещен.

Во время сбора сведений в режиме аудита необходимо входить в учетную запись пользователя так, как это будет делать пользователь. Т.е. если вход в учетную запись пользователя будет автоматический после загрузки системы, то загрузите систему со входом в учетную запись, не нужно просто переходить из одной учетной записи в другую.

По результатам аудита добавьте разрешения на запуск программ, необходимых для пользователя, а затем отключите режим аудита и проверьте работу системы.

Или можно автоматически создать правила на основании результатов аудита.

Автоматическое создание правил по результатам аудита

Пример для автоматического создания правил на основании результатов аудита с помощью PowerShell:

Get-ApplockerFileinformation -Eventlog -EventType Audited | New-ApplockerPolicy -RuleType Hash, Publisher -User (Имя пользователя) -RuleNamePrefix AuditBased | Set-ApplockerPolicy –Merge

В данном примере:

  • «Get-ApplockerFileinformation -Eventlog -EventType Audited» — получает события типа «Аудит»

  • «New-ApplockerPolicy» — создает новые правила

    • «-RuleType Hash, Publisher» — создает новые правила на основании «Hash», если не доступен «Hash», то правило будет создано на основе «Publisher». Если поменять значения местами, то изменится приоритет и первичным будет «Publisher».

    • «User» — В значении «User» необходимо указать SID пользователя или группы.

    • «RuleNamePrefix» — определяет строку, которая будет добавлена к названию создаваемого правила

  • «Set-ApplockerPolicy» — применяет правила к системе

    • «Merge» — параметр указывающий на то, что правила необходимо добавить к уже существующим, без данного ключа новые правила заменят существующие правила

Для уменьшения количества создаваемых правил можно использовать параметр «Optimize» для командлета «New-ApplockerPolicy», но это может ухудшить наглядное представление правил.

Описание команд AppLocker’а можно посмотреть здесь

Отключение AppLocker’а

Правила AppLocker’а будут действовать после остановки службы. Чтобы правила AppLocker’а перестали действовать необходимо из папки «С:\Windows\System32\AppLocker» удалить файлы:

  • Appx.AppLocker

  • Dll.AppLocker

  • Exe.AppLocker

  • Msi.AppLocker

  • Script.AppLocker

Для возобновления работы AppLocker’а необходимо вернуть файлы обратно в папку.

Чтобы изменения вступили в силу необходимо перезагрузить систему.

Проблемы и решения

Изменение параметров запуска службы AppLocker’а

При изменении параметров запуска службы AppLocker’а система может сообщить о том, что недостаточно прав. Изменить параметры запуска службы можно в реестре

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AppIDSvc

За тип запуска отвечает параметр «Start»:

  • 2 — Автоматически

  • З – Вручную

Система не загружается после запечатывания в режиме OOBE

AppLocker запрещает запуск того, что явно разрешено

Проверьте, что служба «Удостоверение приложения» запущена. Статус работы службы можно узнать с помощью команды «Get-Service AppIDSvc».

Если служба остановлена запустите ее и переведите в автоматический режим запуска.

AppLocker разрешает запуск того, чего нет в разрешениях

  • Проверьте не установлен ли режим применения правил «Только аудит»

  • Переведите режим применения правил в «Принудительное применение правил»

  • Выполните команду «gpupdate /force»

Официальная документация

блокировка_запуска_приложений_win_10_iot_enterprise.txt

· Последние изменения: 2022/12/30 14:01 —

vladimir

Grilled Giardiniera-Stuffed Steak Sandwich image

Grilled Giardiniera-Stuffed Steak Sandwich

This rolled flank steak is inspired by the Italian beef sandwich, a Chicago delicacy typically consisting of chopped thin slices of roast beef stuffed…

Provided by Food Network Kitchen

Mapo Potato image

Mapo Potato

Let’s be clear: Nothing surpasses the hearty deliciousness of a traditional mapo tofu. But for those days when you find yourself without soft tofu in the…

Provided by Hetty McKinnon

Chili image

Chili

This is a spicy, smoky and hearty pot of chili. It’s the kind of chili you need after a long day skiing — or hibernating. To create a rich and thick sauce,…

Provided by Ali Slagle

Banket image

Banket

This recipe is from my mother. It is the one she taught me with a slight tweak. In my home on the holidays one way to show someone or a family they were…

Provided by Jena Lewis

Moroccan Nachos image

Moroccan Nachos

This Moroccan twist on the much-loved appetizer features kefta, a ground beef (or lamb) mixture seasoned with parsley, cilantro, mint, paprika and cumin,…

Provided by Nargisse Benkabbou

Peanut Butter Brownie Cups image

Peanut Butter Brownie Cups

I’m not a chocolate fan (atleast not the kind made in the U.S.), but I LOVE peanut butter and chocolate and this hit the spot. I found the recipe in 2007…

Provided by AmyZoe

Banana Cream Pudding image

Banana Cream Pudding

This fabulous version of the favorite Southern dessert boosts the banana flavor by infusing it into the homemade vanilla pudding, in addition to the traditional…

Provided by Martha Stewart

Lemon Russian Tea Cakes image

Lemon Russian Tea Cakes

I love lemon desserts,these are a simple cookie I can make quickly. The recipe is based on the pecan Russian tea cakes.I don’t like lemon extract,instead…

Provided by Stephanie L. @nurseladycooks

Easy Churros with Mexican Chocolate Sauce image

Easy Churros with Mexican Chocolate Sauce

Forgo the traditional frying — and mixing up the batter! — for this Latin American treat. Instead, bake store-bought puff pastry for churros that are…

Provided by Martha Stewart

Easy Lasagna image

Easy Lasagna

Everyone loves lasagna. It’s perfect for feeding a big crowd and a hit at potlucks. But most people reserve it for a weekend cooking project since it can…

Provided by Food Network Kitchen

Grilled Vegetables Korean-Style image

Grilled Vegetables Korean-Style

Who doesn’t love grilled vegetables — the sauce just takes them over the top.

Provided by Daily Inspiration S @DailyInspiration

Outrageous Chocolate Cookies image

Outrageous Chocolate Cookies

From Martha Stewart. I’m putting this here for safe keeping. This is a chocolate cookie with chocolate chunks. Yum! Do not over cook this cookie since…

Provided by C. Taylor

CERTO® Citrus Jelly image

CERTO® Citrus Jelly

A blend of freshly squeezed orange and lemon juices puts the citrusy deliciousness in this CERTO Citrus Jelly.

Provided by My Food and Family

Previous

Next

CLEAR APPLOCKER POLICY IN WINDOWS 10 | TUTORIALS — TEN …

clear-applocker-policy-in-windows-10-tutorials-ten image

2018-12-25 1. Open Local Security Policy (secpol.msc). 2. Expand open Application Control Policies in the left pane of the Local Security Policy …
From tenforums.com
Estimated Reading Time 2 mins

1. Open Local Security Policy (secpol.msc). 2. Expand open Application Control Policies in the left pane of the Local Security Policy …»>
See details


USE THE APPLOCKER WINDOWS POWERSHELL CMDLETS …

2022-10-25 The five AppLocker cmdlets are designed to streamline the administration of an AppLocker policy. They can be used to help create, test, maintain, and troubleshoot an …
From learn.microsoft.com

The five AppLocker cmdlets are designed to streamline the administration of an AppLocker policy. They can be used to help create, test, maintain, and troubleshoot an …»>
See details


APPLOCKER IN WINDOWS 10 EDUCATION PRO — MICROSOFT COMMUNITY

2022-10-31I want to turn of AppLocker. Could you please guide me how to do that? This thread is locked. You can follow the question or vote as helpful, but you cannot reply to this thread. I have the …
From answers.microsoft.com


USE APPLOCKER TO CREATE A WINDOWS 10 KIOSK THAT RUNS MULTIPLE APPS

2022-08-11 You can restrict users to a specific set of apps on a device running Windows 10 Enterprise or Windows 10 Education by using AppLocker. AppLocker rules specify which …
From learn.microsoft.com

You can restrict users to a specific set of apps on a device running Windows 10 Enterprise or Windows 10 Education by using AppLocker. AppLocker rules specify which …»>
See details


APPLOCKER (WINDOWS) — WINDOWS SECURITY | MICROSOFT LEARN

2022-10-27 AppLocker is unable to control processes running under the system account on any operating system. AppLocker can help you: Define rules based on file attributes that persist …
From learn.microsoft.com

AppLocker is unable to control processes running under the system account on any operating system. AppLocker can help you: Define rules based on file attributes that persist …»>
See details


HOW TO SET UP APPLOCKER RESTRICTIONS ON WINDOWS 10 PRO?

2019-06-04 The only difference that I see in your tutorial is this line: This tutorial will show you how to use AppLocker to allow or block specified executable (.exe and .com) files to run for …
From tenforums.com

The only difference that I see in your tutorial is this line: This tutorial will show you how to use AppLocker to allow or block specified executable (.exe and .com) files to run for …»>
See details


DELETE AN APPLOCKER RULE (WINDOWS) — WINDOWS SECURITY

2022-10-25 To delete a rule in an AppLocker policy. Open the AppLocker console. Click the appropriate rule collection for which you want to delete the rule. In the details pane, right-click …
From learn.microsoft.com

To delete a rule in an AppLocker policy. Open the AppLocker console. Click the appropriate rule collection for which you want to delete the rule. In the details pane, right-click …»>
See details


APPLOCKER SETTINGS (WINDOWS) — WINDOWS SECURITY

2022-10-25 This topic for the IT professional lists the settings used by AppLocker. The following table describes the settings and values used by AppLocker. Setting. Value. Registry path. …
From learn.microsoft.com

This topic for the IT professional lists the settings used by AppLocker. The following table describes the settings and values used by AppLocker. Setting. Value. Registry path. …»>
See details


ENABLE APPLOCKER ON WINDOWS 10 PRO AND WINDOWS 11 PRO WITH

2022-06-30 You will need Windows 10 Pro or Windows 11 Pro. Even though Windows 10 Home and Windows 11 Home allow applying these rules, there is no easy way to create …
From 4sysops.com

You will need Windows 10 Pro or Windows 11 Pro. Even though Windows 10 Home and Windows 11 Home allow applying these rules, there is no easy way to create …»>
See details


WINDOWS 10: HOW TO BYPASS APPLOCKER WITH DEFAULT RULES

2022-10-31PoC about how to bypass AppLocker with default rules in Windows 10 and. More info at http://www.elladodelmal.com/2017/06/como-saltarse-applocker-en-windows-1…
From youtube.com


HOW TO RESET APPLOCKER TO NOTHING? — SOCIAL.TECHNET.MICROSOFT.COM

2019-12-10 Check that the «Identity of the application» service is no longer active. Open «GPEDI.MSC», go to «delete the strategy», which will erase all the rules. Then create the …
From social.technet.microsoft.com


ADMINISTER APPLOCKER (WINDOWS) — WINDOWS SECURITY | MICROSOFT …

2022-10-25 Administer AppLocker on the local PC. Click Start, type local security policy, and then click Local Security Policy. If the User Account Control dialog box appears, confirm that …
From learn.microsoft.com

Administer AppLocker on the local PC. Click Start, type local security policy, and then click Local Security Policy. If the User Account Control dialog box appears, confirm that …»>
See details


WINDOWS APPLOCKER PREVENTS USERS FROM INSTALLING OR RUNNING …

2021-01-06 The AppLocker in Windows 10 allows you to also create rules for Packaged Windows Store apps. Moreover, the Windows 10/8 AppLocker rules can also additionally …
From thewindowsclub.com

The AppLocker in Windows 10 allows you to also create rules for Packaged Windows Store apps. Moreover, the Windows 10/8 AppLocker rules can also additionally …»>
See details


WINDOWS 10 APPLOCKER POLICIES STILL AFFECT AFTER DISABLING …

2018-02-19 Then reboot the Computer. After the reboot open up Local Securtiy Policy again. Navigate to AppLocker, right-click and “Clear Policy”. Then again reboot the machine. …
From en.it-pirate.eu

Then reboot the Computer. After the reboot open up Local Securtiy Policy again. Navigate to AppLocker, right-click and “Clear Policy”. Then again reboot the machine. …»>
See details


HOW TO BYPASS A WINDOWS APPLOCKER? — INFOSECADDICTS

2017-07-06 How to activate AppLocker on your machine. Open Administrative Tool -> Services. Get through the Group Policy Editor which differs between one domain controller (gpmc.msc) …
From infosecaddicts.com

How to activate AppLocker on your machine. Open Administrative Tool -> Services. Get through the Group Policy Editor which differs between one domain controller (gpmc.msc) …»>
See details


HOW TO USE APPLOCKER IN WINDOWS 10 | INFOSEC RESOURCES

2020-07-27 The following are the steps to create a rule in AppLocker. Type local security policy and click “Run as Administrator”. Under Application Control Policies, right-click on Executable …
From resources.infosecinstitute.com

The following are the steps to create a rule in AppLocker. Type local security policy and click “Run as Administrator”. Under Application Control Policies, right-click on Executable …»>
See details


BLOCKING BUILT-IN APPS IN WINDOWS 10 USING APPLOCKER

2015-08-13 3. On a Windows 10 computer running the Enterprise version start Group Policy Editor by typing Edit Group Policy in the search Taskbar. 4. Under Computer …
From ccmexec.com

3. On a Windows 10 computer running the Enterprise version start Group Policy Editor by typing Edit Group Policy in the search Taskbar. 4. Under Computer …»>
See details


HOW TO CONFIGURE APPLOCKER GROUP POLICY TO PREVENT SOFTWARE …

2022-10-31Firstly: What is AppLocker? AppLocker is a set of Group Policy settings that evolved from Software Restriction Policies, to restrict which applications can run on a corporate network, …
From social.technet.microsoft.com


WINDOWS 10 MAIL DISABLE VIA GPO NOT WORKING

2016-04-11 I have a GPO entitled _Windows 10 Applocker Policies that disables most of the bundled Windows 10 apps, such as Xbox. Under Computer Configuration, Administrative …
From social.technet.microsoft.com


BYPASSING APPLOCKER AS AN ADMIN – ODDVAR MOE’S BLOG

2019-02-01 All you need to do is to copy the Exe.AppLocker file and replace the one in c:\windows\system32\applocker and then reboot. Illustration: The sweet thing (for an …
From oddvar.moe

All you need to do is to copy the Exe.AppLocker file and replace the one in c:\windows\system32\applocker and then reboot. Illustration: The sweet thing (for an …»>
See details


Operating system security

What is AppLocker?

AppLocker is an application whitelisting feature which helps an organization to control what apps and files can be run by the user. AppLocker was first introduced with Windows 7 OS, Windows Server 2008 R2.

AppLocker provides a simple interface to prevent or block an application from running by unintended users. These include Windows Installer Files, executable files, dynamic-link libraries (DLLs), packaged app installers, scripts, packaged apps and so on.

Learn Windows 10 Host Security

Learn Windows 10 Host Security

Build your Windows skills with 13 courses covering Windows registry, services, processes, toolset and more.

AppLocker overview

AppLocker is inbuilt into Windows OS enterprise-level edition and needs no additional installation onto the system. For standalone systems, rules can be enforced using the Local Security Policy editor (secpol.msc). For a group of computers, it can be done using the Group Policy Management Console.

AppLocker rules

AppLocker is capable of blocking different file types. The following are the types of files AppLocker is capable of blocking.

  1. Executable files like .exe, .com
  2. Windows installer files like .mst, .msi and .msp
  3. Executable files like .bat, .ps1, .cmd, .js and .vbs
  4. DLL executables
  5. Packaged app installers like .appx

Creating AppLocker rules

The following are the steps to create a rule in AppLocker.

Type local security policy and click “Run as Administrator”.

Under Application Control Policies, right-click on Executable Rules under AppLocker as shown.

Click on Default Rules. Default Rules get created, as shown below.

Create New Rule by right-clicking Executable Rules, as shown.

Click Next. Select Deny for denying certain files from getting executed. By default, rules applies to everyone, you can select User or Group as per the need:

Select File Hash, as shown.

Select Browse Folders and navigate to the path for the executable/file you want to deny execution. We will deny Notepad++ from being executed, as shown. 

Click OK. Notepad++ Files not allowed to execute get populated, as shown.

Click Next, give the name for the rule and click Create, as shown.

The rule to block Notepad++ gets created and users are not allowed to execute Notepad++ on the system. Now close Local Security Policy Editor.

That’s how simple it is to use AppLocker to block any file from getting executed.

Operating system security - Main All - A

Sources

  • What Is AppLocker?, Microsoft
  • Use AppLocker to create a Windows 10 kiosk that runs multiple apps, Microsoft
  • AppLocker, Microsoft
  • How to Use AppLocker to Allow or Block Executable Files from Running in Windows 10, Windows TenForums
  • AppLocker in Windows 10 Enterprise, Michael Firsov (WordPress)

Nitesh Malviya

Nitesh Malviya

Nitesh Malviya is a Security Consultant. He has prior experience in Web Appsec, Mobile Appsec and VAPT. At present he works on IoT, Radio and Cloud Security and open to explore various domains of CyberSecurity. He can be reached on his personal blog — https://nitmalviya03.wordpress.com/ and Linkedin — https://www.linkedin.com/in/nitmalviya03/.

Для тех, кто не читал первую часть статьи, скажу, что в данной статье под OEMщиком подразумевается специалист, который занимается подготовкой Windows к тиражированию на множество устройств.

В этой части мы рассмотрим, как повысить безопасность и отказоустойчивость системы с помощью стандартных средств Windows: AppLocker, фильтр записи, блокировка устройств. Плюс к этому рассмотрим особенности запечатывания системы в режиме приветствия (OOBE) с некоторыми специфичными настройками системы.

Из первой части Вы узнали, как быстро создать и развернуть образ системы, в этой части этот навык пригодится больше всего, ведь мы будем экспериментировать с настройками повышения безопасности. При их неправильной настройке система может не загрузиться или при включении настройки в системе поменяется столько параметров, что проще будет развернуть ранее сохраненный образ системы, чем ее перенастраивать.

Во второй части статьи, мы рассмотрели базовые настройки устройства фиксированного назначения. В данной части мы будем рассматривать настройки безопасности в контексте ранее выполненных настроек. Поэтому, для успешного проведения экспериментов по описанию в статье, возьмите образ системы, который у Вас получился после второй части или настройте систему так, чтобы она соответствовала следующим требованиям:

  • С помощью скрипта настройки питания «PowerSettings» включена схема питания «HORM»
  • Система в режиме аудита
  • В системе есть две созданные учетные записи, одна только в группе «Администраторы», вторая только в группе «Пользователи»
  • С помощью «Shell Launcher V1» настроен запуск приложения для группы «Пользователи»

Напомню, что все настройки мы выполняем на Windows 10 IoT Enterprise версии 1809. Убедитесь, что у Вас именно эта версия системы, выполнив команду «winver».

Если у Вас нет дистрибутива этой системы, то Вы можете скачать пробную версию.

И еще один нюанс, скрипты для настройки рассматриваемых возможностей в этой части находятся только в полном наборе скриптов. Полный набор скриптов Вам будет доступен при приобретении операционных систем линейки Windows 10 IoT в компании «Кварта Технологии». Или вы можете попробовать настроить систему вручную, как описано в нашей вики.

Чтобы узнать о выходе новых версий скриптов с исправлениями и дополнениями, Вы можете подписаться на нашу рассылку или присоединиться к нашим группам в соцсетях.

Блокировка запуска приложений

Блокировка запуска приложений будет выполняться с помощью AppLocker’а. Учтите, что правила AppLocker’а не работают в режиме мультикиоска, т.к. в режиме мультикиоска по умолчанию запрещен запуск всех приложений, которые не разрешены. Чтобы правила мультикиоска и AppLocker’а не конфликтовали, в режиме мультикиоска AppLocker не работает.

Блокировка запуска приложений не только усилит защиту от вредоносного ПО, а еще и не даст пользователю попасть куда не нужно, например, в настройки.

Появляется вопрос, как же так, во второй части статьи мы все пользователю блокировали, блокировали, да не заблокировали? На самом деле все дело в нюансах, запуск какого приложения мы настроили и при каких обстоятельствах оно будет работать.

Вот вполне реальный пример. Есть информационный киоск с сенсорным экраном. На киоске настроен режим киоска «Shell Launcher V1», который запускает IE. IE настроен на запуск в полноэкранном режиме, кнопки управления окном скрыты, отключен вызов контекстного меню. IE отображает интернет-страницу.

И казалось, ничего не предвещало беды… но судьба распорядилась по-другому.

Попробуйте отключить интернет на таком решении, IE Вам сообщит, что устройство не подключено к сети и предложит исправить проблемы с подключением. А из этой настройки пользователь сможет получить доступ к файловой системе и немного пошалить…

Из этой ситуации можно сделать вывод, что при нештатной работе устройства существует вероятность запуска приложений, непредназначенных для пользователя. И самый простой выход из этой ситуации – это настройка блокировки запуска приложений по белому списку, как в режиме мультикиоска.

Для проверки работоспособности блокировки приложений можно временно отключить фильтр клавиатуры, чтобы пользователь мог вызвать диспетчер задач по «Ctrl + Shift + Esc» и окно залипания клавиш по пятикратному нажатию «Shift».

Для начала рассмотрим особенности настройки AppLocker’а в целом – теоретическая часть. А потом рассмотрим, как настроить правила запуска приложений по белому списку – практическая часть.

Теоретическая часть

Перед включением AppLocker’а нужно создать минимально необходимый набор правил для нормальной работы системы. Правила AppLocker’а находятся в локальной групповой политике, по пути «Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Политики управления приложениями\AppLocker».

Для AppLocker’а необходимо создать правила по умолчанию для разделов «Исполняемые правила» и «Правила упакованных приложений». Создать правила можно в контекстном меню раздела.

После создания правил по умолчанию можно включить AppLocker, для включения AppLocker’а необходимо запустить службу «AppIDSvc» и перевести ее в автоматический режим запуска. Но AppLocker начнет работать не сразу, а после применения политики AppLocker’а к системе. О том, что правила AppLocker’а применены к системе, можно узнать из журнала AppLocker’а «Управление компьютером\Служебные программы\Просмотр событий\Журналы приложений и служб\Microsoft\Windows\AppLocker\EXE и DLL». После применения правил в журнале появится запись с кодом события 8001, в событии будет уведомление о том, что политика AppLocker’а применена к системе.

Ветка лога «Журналы приложений и служб» открывается не сразу, ее открытие может занять некоторое время. Если открыть журнал до появления записи в журнале, то для обновления отображения состояния журнала необходимо нажимать «F5».

Для создания новых правил исполняемых приложений можно выбрать пункт контекстного меню «Создать новое правило…», после чего откроется помощник создания правил.

Для правил AppLocker’а можно настроить политику применения правил.

Если флажки не установлены, то правила находятся в ненастроенном состоянии — «Not configured», это значит, что правила будут применяться, если нет конфликтующих правил более высокого уровня.

Если флажки установлены, то есть возможность выбрать один из вариантов настройки. «Принудительное применение правил» — к системе будут применены текущие правила. «Только аудит» — можно запускать запрещенные приложения, но при запуске запрещенного приложения в журнал AppLocker’а будет добавлена соответствующая запись, в которой будет указано, что данное приложение было бы запрещено.

На основании записей результатов аудита можно создать правила для AppLocker’а, причем это можно сделать автоматически с помощью консольных команд управления AppLocker’ом.

Настройка в редакторе локальной групповой политики больше подходит для настройки по черному списку, т.е. будет разрешен запуск всех приложений, кроме тех, которые явно незапрещены.

Практическая часть

Для настройки по белому списку будем использовать скрипт «AppLocker», который находится в наборе скриптов.

Включите AppLocker, выбрав соответствующий пункт меню. Скрипт проверит, есть ли минимально необходимые правила для AppLocker’а, если их нет, то он предложит их создать. При подтверждении скрипт создаст правила, где разрешен запуск всех программ только для группы «Администраторы», а для группы «Пользователи» правила не прописаны, т.е. запрещен запуск всех программ. После создания правил скрипт запустит службу «AppIDSvc» и настроит ее автоматический запуск.

Если Вы согласны с предложением скрипта создать правила, просто нажмите «Enter».

Чтобы узнать, что AppLocker начал работать, просто обновите информацию об AppLocker’е, выбрав соответствующий пункт меню.

Когда AppLocker начнет работать, выберите пункт изменения политики правил и включите режим аудита.

Важно учесть, что при настройке правил для пользователя по белому списку необходимо делать все так же, как это будет делать пользователь. Если Вы планируете настроить автоматический вход в учетную запись пользователя при загрузке системы, то именно так и нужно войти в учетную запись в режиме аудита. Поэтому выполните команду «netplwiz» и отключите требование ввода учетных данных для пользователя. После включения автоматического входа перезагрузите систему.

Когда система загрузится, выполнит вход в учетную запись пользователя и запустит назначенное приложение вместо оболочки системы, перейдите в учетную запись администратора, запустите скрипт настройки AppLocker’а, выберите пункт выбора группы для создания правил AppLocker’а. В пункте выбора группы выберите группу «Пользователи» (Users).

После создания правил вернитесь в главное меню скрипта и выберите пункт отображения правил AppLocker’а. У меня для пользователя был настроен запуск «Tools\TestRunAs.bat», который находится в наборе скриптов, я получил вот такой набор правил.

Первые два правила для группы «Administrators» создал скрипт перед запуском AppLocker’а. Остальные правила, с приставкой «AuditBased», скрипт создал на основании результатов аудита. При желании Вы можете изменить приставку, которая добавляется к создаваемым правилам, для этого нужно просто поменять в скрипте «AppLocker.ps1» значение параметра «-RuleNamePrefix». Этот параметр легко найти с помощью поиска «Ctrl + F».

Теперь посмотрим, что у нас получилось. Измените политику применения правил на принудительное применение правил и перезагрузите систему. Когда система загрузится, и запустится назначенное приложение вместо оболочки системы, попробуйте вызвать диспетчер задач с помощью «Ctrl + Shift + Esc» или открыть окно настройки залипания клавиш с помощью пятикратного нажатия «Shift».

Учтите, что при создании правил на основании результатов аудита создаваемые правила добавляются к уже существующим правилам. Поэтому перед следующей настройкой очистите журнал AppLocker’а, иначе новые правила будут созданы с учетом старых данных журнала. Для очистки журнала AppLocker’а есть соответствующий пункт скрипта.

Правила AppLocker’а можно сохранить в отдельный файл и применить их к другой системе. Обратите внимание, что можно добавить правила к уже существующим правилам или заменить существующие правила новыми. При замене правил, помимо самих правил, будут установлены и политики применения правил, которые были указаны в сохраненном файле.

После настройки AppLocker’а отключите автоматический вход пользователя в систему.

Если захотите запечатать систему в режиме аудита с включенным AppLocker’ом, когда правила настроены по белому списку, то учтите, что после загрузки системы панель задач будет работать только во встроенной учетной записи «Administrator», в которую система загрузится автоматически. Для восстановления работы панели задач в других учетных записях, просто отключите, а затем снова включите AppLocker с помощью скрипта.

Запечатываем систему в режиме приветствия — OOBE

Если Вы хотите сохранить текущие настройки системы, то перед дальнейшими действиями сохраните образ системы в режиме аудита, как это было описано в первой части статьи.

В обычном режиме работы системы мы посмотрим на те настройки, которые не работают в режиме аудита. А именно:

  • Блокировка устройств
  • Отключение отображения процесса загрузки системы
  • Фильтр записи

Небольшое уточнение, фильтр записи будет работать в режиме аудита, но в режиме аудита не выполняются задачи, которые прописаны в планировщике заданий, а такая задача очень пригодится при работе фильтра записи. В режиме аудита можно добавить компонент фильтра записи и настроить его, но включать его не нужно.

Теперь запечатывать систему обязательно нужно с помощью скрипта для запечатывания. В первой части статьи я написал часть того, что делает скрипт при запечатывании в разделе «Для чего нужен скрипт для запечатывания», а сейчас немного дополню.

Сейчас система настроена для комфортного обслуживания. Для дополнительных настроек учетной записи пользователя достаточно учетную запись пользователя перевести из группы «Пользователи» в группу «Администраторы», и с учетной записи пользователя будут сняты все ограничения:

  • Вместо назначенного приложения будет запущена оболочка системы
  • Не будет ограничений фильтра клавиатуры
  • AppLocker разрешит запускать любые приложения.

Для этого мы и настраивали все ограничения именно для группы. Но всякое решение плодит новые проблемы…

Мюллер шел по улице. Вдруг ему на голову упал кирпич.
«Вот тебе раз,» — подумал Мюллер.
«Вот тебе два,» — подумал Штирлиц, бросая второй кирпич.

При тиражировании системы ее обязательно нужно запечатать для сброса уникальных SID’ов системы и обязательно в режиме приветствия, не использовать же систему в режиме аудита. Но если настроен режим киоска «Shell Launcher V1» с указанием запуска приложения именно для группы «Пользователи», то система не сможет загрузиться в режиме приветствия.

Если правила AppLocker’а настроены по белому списку, и в правилах для пользователя нет разрешения на запуск приложений, которые запускаются при прохождении OOBE, то система не загрузится в режиме приветствия.

Перед запечатыванием системы в режиме «OOBE» скрипт проверяет настройки Shell Launcher’а и AppLocker’а. Если настройки будут препятствовать загрузке системы в режиме приветствия, то скрипт предложит временное отключение этих настроек. Настройки AppLocker’а и Shell Launcher’а будут проверены отдельно друг от друга, и для каждой настройки отдельно будет предложено временное отключение. При подтверждении отключения настроек скрипт отключит их и создаст задачу на их включение, задача будет выполнена после входа в учетную запись при первой загрузке после запечатывания, после включения настроек система будет перезагружена еще раз.

Чтобы не отвечать на вопросы системы при загрузке в режиме приветствия, используйте файл ответов для запечатывания «OOBEAuto.xml», который есть в наборе скриптов.

После запечатывания системы в режиме приветствия сохраните образ системы, у нас еще будут настройки, при которых что-то может пойти не так.

Ограничение установки драйверов

Если у устройства есть общедоступные USB порты, которые нельзя отключить в BIOS’е, то появляется потенциальная угроза безопасности, ведь кто угодно может подключить любое USB устройство и его использовать. Для минимизации подобных рисков можно воспользоваться возможностью ограничения установки драйверов. Данную возможность можно использовать и для запрета автоматического обновления драйвера, если новый драйвер приводит к некорректной работе системы.

Данная возможность не работает в режиме аудита.

Группа настроек, отвечающих за ограничение установки и использования драйверов, находится в локальной групповой политике в разделе «Ограничение на установку устройств». С помощью данной группы настроек можно запретить установку новых драйверов или запретить работу уже установленных драйверов, поэтому название «Ограничение установки драйверов» лучше отражает суть данной возможности.

Для лучшего понимания возможностей данных настроек сначала рассмотрим их в локальной групповой политике, а затем рассмотрим настройку с помощью скрипта «DriverRestrictions», который находится в наборе скриптов.

Настройка в локальной групповой политике

Настройка ограничения установки устройств находится в локальной групповой политике. «Конфигурация компьютера\Административные шаблоны\Система\Установка устройства\Ограничение на установку устройств»

Можно запретить установку устройства по ID устройства или по GUID’у класса оборудования. После запрета установки устройств нельзя будет установить драйвер, который соответствует указанному GUID’у класса или указанному ID оборудования. При этом ранее установленный драйвер будет работать.

ID устройства можно указывать не полностью, сопоставление ID в правилах с ID в системе будет производиться по частичному совпадению с начала строки. Правило запрещения устройства с ID «PCI\VEN_8086&DEV_9D23» будет запрещать все устройства по маске «PCI\VEN_8086&DEV_9D23*», т.е. устройство с ID «PCI\VEN_8086&DEV_9D23&SUBSYS_8079103C&REV_21\3&11583659&0&FC» будет запрещено.

Если в системе настроен запрет на установку новых драйверов, и будет подключено новое устройство, для которого уже есть драйвер в системе, то подключенное устройство будет работать.

При необходимости запретить работу уже установленного драйвера, нужно установить флажок «Также применить для соответствующих устройств, которые уже были установлены». Данная настройка будет распространяться на весь перечень указанных устройств. Эту возможность можно настроить отдельно для списка запрещенных ID и GUID’ов классов. Будьте внимательны при установке запретов на работу уже установленных драйверов по GUID’у класса. Например, GUID класса флэшки может совпадать с GUID’ом класса SSD, на котором установлена система, при установке запрета на работу уже установленного драйвера с таким GUID’ом система не сможет загрузиться.

Установленные запреты распространяются на всех пользователей, в том числе и на администраторов. Чтобы снять все ограничения для администратора, можно включить настройку «Разрешить администраторам заменять политики ограничения установки устройств». Если эта настройка нужна для обхода запрета использования установленного драйвера, то для возобновления работы устройства нужно просто выполнить автоматический поиск драйвера. Учтите, что после возобновления работы устройства оно будет доступно для всех пользователей, поэтому после обслуживания устройства нужно отключить разрешение для администраторов заменять политики ограничений.

Добавление ID и GUID’ов классов в перечень запрещенных – это настройка по черному списку, для настройки правил по белому списку нужно включить настройку «Запретить установку устройств, не описанных другими параметрами политики». После включения данной настройки будет запрещена установка новых драйверов, для которых не настроено явного разрешения. Работа установленных драйверов будет разрешена. При необходимости устанавливать драйверы на некоторые устройства, их можно добавить в разрешенные по ID и GUID’ов классов.

Настройка с помощью скрипта

Если Вы хотите поэкспериментировать с отключением устройств, для наглядности откройте диспетчер устройств и расположите окна так, чтобы перечень устройств был виден, когда окно скрипта находится поверх диспетчера устройств.

При выборе пунктов разрешения или запрета установки драйверов по ID или по GUID’у класса, скрипт покажет таблицу с перечнем текущих устройств, которые еще не добавлены в правила выбранного параметра. При составлении таблицы с перечнем ID, после получения перечня всех устройств скрипт исключает ID, которые начинаются с: «PRINTENUM», «ROOT», «SW», «ACPIAPIC», «MONITOR». При необходимости, перечень исключаемых ID можно изменить в функции «Add-Devices». У оставшихся ID будут отброшены окончания: «&SUBSYS», «&REV», «&CC» вместе со всеми символами после этих окончаний.

С помощью фильтра можно найти устройство по частичному совпадению, поиск которого будет по всем столбцам таблицы. В таблице можно выбрать более одного устройства. Для добавления выбранных устройств в правило нужно нажать «OK».

При выборе пункта отображения и удаления текущих правил скрипт покажет таблицу с текущими правилами. В этой таблице будут отображены правила всех параметров. В столбце «Param» значение указывает на тип правила, разрешающее или запрещающее и на основании чего настроено правило по ID устройства или GUID’у класса. В столбце «Value» отображается ID устройства или GUID класса, по которому настроено правило. Для удаления правил нужно выбрать одно или множество правил, которые необходимо удалить и нажать «OK».

После удаления правил скрипт будет автоматически включать отключенные устройства. Но при включении разрешения замены правил для администраторов нужно будет вручную обновлять драйверы отключенных устройств.

Запретить работу уже установленных драйверов можно с помощью пунктов включения / отключения запрета к установленным драйверам.

С помощью пунктов отключения разрешения или запрещения по ID или GUID можно удалить все правила, которые относятся к конкретной настройке, а с помощью пункта сброса настроек можно сбросить все настроенные правила для устройств.

Фильтр записи

С помощью фильтра записи можно защитить данные от изменения на определенных томах несъемных дисков. На защищенных томах можно настроить места исключения, где данные не будут защищены.

Важно!!!

  1. Включать фильтр записи необходимо непосредственно на конечном устройстве после активации системы.
  2. При включении фильтра записи изменяются некоторые настройки системы, но при выключении фильтра записи измененные настройки не возвращаются в исходное состояние.
  3. Нельзя запечатывать систему с включенным фильтром записи.

По ряду причин Вам может потребоваться защита данных на жестком диске, например, пользователи сбивают настройки специализированного ПО и не могут их восстановить без посторонней помощи. Или из специализированного ПО можно получить доступ к файловой системе, где можно удалить данные. Фильтр записи позволяет вернуть данные в исходное состояние с помощью простой перезагрузки системы.

А вот непридуманная ситуация. Некоторые работники каждое утро тратят 30 – 40 минут на то, чтобы открыть все необходимые окна в специализированном ПО, сделать их определенного размера и расставить их в определенном порядке. Эту проблему можно решить с помощью функции HORM, которая есть в фильтре записи.

Данный раздел тоже разделим на теоретическую и практическую части. В теоретической части рассмотрим работу фильтра записи в целом, и какие у него есть настройки, а в практической части рассмотрим, как его настроить, естественно для настройки будем использовать скрипт.

Теоретическая часть

Фильтр записи необходим для сохранения данных в исходном состоянии. Можно выделить две основные функции:

  1. Защита данных от изменений на несъемных носителях
  2. Загрузка системы в определенное состояние из файла гибернации – режим HORM
    Сначала рассмотрим работу фильтра записи с настройками по умолчанию, а затем рассмотрим, какие еще есть варианты настройки и для чего они нужны.

Если включить фильтр записи с защитой всех томов несъемных дисков, то получится следующая схема.

Все операции чтения / записи будут осуществляться между системой и оверлеем. Оверлей – буфер временного хранения данных, который будет очищен после перезагрузки. По мере записи данных в оверлей он будет заполняться, нельзя допускать полного заполнения оверлея, иначе система перестанет нормально работать. По умолчанию размер оверлея 1024 MB.

Если данные записать, а потом удалить, то оверлей будет очищен частично, для полной очистки оверлея требуется перезагрузка системы. При заполненном оверлее система не сможет выполнить программную перезагрузку, т.к. попадет в цикл «записать сведения о перезагрузке, если запись не удалась, вернуться на предыдущий шаг». Поэтому перезагружать систему нужно до заполнения оверлея.

На защищаемых томах можно настроить места исключения из защиты, в таких местах будут сохраняться изменения данных. При записи данных в места исключения операции чтения / записи все равно будут проходить через оверлей, поэтому оверлей будет заполняться.

У фильтра записи есть уведомления об уровнях заполненности оверлея, это порог предупреждения – по умолчанию 512 MB и критический порог – по умолчанию 1024 MB. При достижении определенного порога в журнал системы будут внесены определенные записи. «Журналы Windows > Система».

Чтобы избежать заполнения оверлея, можно создать задачу на перезагрузку системы, которая будет выполнена при появлении записи в журнале о достижении определенного порога.

В настройках фильтра записи можно изменить размер оверлея и уровень порогов. При изменении размера оверлея учтите, что под оверлей сразу выделяется объем памяти равный объему оверлея, который будет недоступен системе. Не забывайте оставлять минимально необходимый объем памяти для работы самой системы.

Оверлей может быть в оперативной памяти или на жестком диске. Если оверлей на жестком диске, то помимо обычного режима работы оверлея, который мы рассмотрели, будет доступен режим сквозной записи, который будет включен по умолчанию при переключении оверлея на жесткий диск.

В режиме сквозной записи все данные будут записываться в свободное место на жестком диске, а в оверлей будет записываться служебная информация системы и сведения о данных, записанных в свободное место на жестком диске. Если данные записать, а потом удалить, то место на жестком диске будет освобождено, а место в оверлее почти не будет использоваться. Таким образом можно существенно сократить количество необходимых перезагрузок. При перезагрузке все изменения будут удалены, включая данные, записанные в свободное место на жестком диске.

И еще одна особенность оверлея на HDD – режим постоянного оверлея. Данный режим подразумевает сохранение данных в оверлее после перезагрузки системы. А для очистки оверлея перед перезагрузкой необходимо выполнить команду, которая сообщит фильтру записи о необходимости очистить оверлей.

Появляется вопрос, если вся система защищена, то как установить обновления, если они нужны? У фильтра записи для этого есть сервисный режим. Для перевода в сервисный режим необходимо выполнить команду «uwfmgr servicing enable» и перезагрузить систему. В сервисном режиме система сама загрузит и установит обновления, а затем перезагрузится в нормальном режиме работы.

Есть еще некоторые особенности обслуживания устройств с включенным фильтром записи.

HORM

HORM — Hibernate Once/Resume Many (HORM). Принцип работы HORM’а понять очень просто. Все наверно знают, как работает режим гибернации. При переводе системы в режим гибернации все данные из оперативной памяти записываются на жесткий диск в файл «hiberfil.sys», а при включении ПК все данные из файла «hiberfil.sys» записываются в оперативную память. HORM работает точно так же, только есть одно маленькое но, Вы вводите систему в режим гибернации один раз, а в дальнейшем при каждой загрузке система всегда записывает данные из «hiberfil.sys» в оперативную память. При этом не важно, как была завершена работа системы выключением или перезагрузкой. Только учтите, что фильтр записи не защищает файл гибернации, поэтому нужно отключить все способы перевода системы в режим гибернации кроме консольного.

С настройками по умолчанию после пробуждения системы необходимо вводить учетные данные пользователя. При необходимости можно отключить запрос учетных данных при выходе из режима гибернации. В плане питания «HORM», который можно установить с помощью скрипта «PowerSettings», запрос учетных данных при выходе из режима гибернации отключен.

Для работы режима HORM есть ряд требований:

  1. Все тома несъемных носителей должны быть защищены
  2. Не должно быть никаких исключений из защиты в реестре и файловой системе
  3. Оверлей должен быть в оперативной памяти.

Настраиваем фильтр записи

Перед настройкой фильтра записи необходимо добавить компонент фильтра записи. Вся настройка фильтра записи производится в командной строке с помощью утилиты «uwfmgr.exe». Базовые возможности фильтра записи можно настроить с помощью скрипта «UnifiedWriteFilter», который находится в наборе скриптов.

Для отображения текущего состояния фильтра записи добавьте компонент фильтра записи и перезагрузите систему. Если Вам недостаточно параметров настроек, которые отображает скрипт, можно отобразить текущие настройки, выбрав соответствующий пункт меню скрипта, тогда будут показаны настройки, которые отображаются при выполнении команды «uwfmgr get-config».

С помощью пункта установки размера оверлея можно переключать размер оверлея между размером по умолчанию и максимально возможным размером. Это возможность скрипта, такой возможности нет в стандартных настройках. Максимально возможный размер вычисляется следующим образом. Скрипт получает объем оперативной памяти и вычитает минимально необходимый объем для данной системы. 1 ГБ для x32 и 2ГБ для x64. При изменении объема оверлея будут автоматически изменены пороги предупреждения.

С помощью пункта изменения уровня порогов можно изменять уровень порогов межу стандартным и рекомендуемым. Это возможность скрипта, такой возможности нет в стандартных настройках. Стандартные уровни порогов: 50% от объема оверлея – порог предупреждения, 100% от объема оверлея – критический порог. Рекомендуемые пороги предупреждения отличаются для реального и виртуального ПК. Для реального ПК: 80% от объема оверлея – порог предупреждения, 90% от текущего объема оверлея – критический порог. Для виртуального ПК: 10% от объема оверлея – порог предупреждения, 20% от текущего объема оверлея – критический порог. При необходимости Вы можете сами изменить в скрипте % уровня порогов от оверлея, за них отвечают переменные «WarningThresholdGlobal» и «CriticalThresholdGlobal».

В верхней части информации о настройках фильтра записи отображается наличие задачи на перезагрузку системы при достижении критического порога и наличие задачи на включение фильтра записи после активации системы. Наличие этих задач будет отображаться, если они установлены с помощью соответствующих пунктов скрипта. Это возможность скрипта, такой возможности нет в стандартных настройках.

Некоторые настройки фильтра записи вступают в силу только в следующей сессии. Под следующей сессией подразумевается следующая загрузка системы с включенным фильтром записи. В перечне защищенных томов все тома указываются в квадратных скобках, пустые квадратные скобки обозначают том без буквы.

Пункт планирования гибернации нужен для перевода системы в режим гибернации через заданное время, данная возможность нужна при настройке режима HORM. Как я и говорил ранее, чтобы файл гибернации не был перезаписан, необходимо оставить только одну возможность перевода системы в спящий режим, с помощью консольной команды. Но при выполнении команды перехода в режим гибернации система сразу перейдет в режим гибернации, даже не дав закрыть консольное окно. Чтобы было время на то, чтобы привести систему в желаемое состояние, можно запланировать выполнение команды на гибернацию в определенное время. Это возможность скрипта, такой возможности нет в стандартных настройках.

Периодически бывают вопросы, как посмотреть содержимое оверлея, для этого в скрипт добавлен пункт отображения оверлея системного диска. Он добавлен как пример и реализован с помощью Unified Write Filter WMI т.к. содержимое оверлея нельзя посмотреть с помощью утилиты «uwfmgr».

А теперь ближе к практике

После добавления компонента фильтра записи добавьте задачу на перезагрузку с помощью соответствующего пункта меню скрипта. Измените уровни порогов на оптимальный. И защитите все тома несъемных дисков. Перезагрузите систему, чтобы настройки вступили в силу.

Для наглядной демонстрации работы фильтра записи, в наборе скриптов, рядом со скриптом настройки фильтра записи находится утилита «VirusEmulator.exe». Утилита размещает на рабочем столе указанное количество своих ярлыков. Если фильтр записи включен и защищает системный диск, то после перезагрузки все ярлыки исчезнут.

Для проверки работы автоматической перезагрузки скопируйте на диск файл, который больше уровня критического порога и система перезагрузится автоматически. Можно попробовать скопировать файл объемом больше оверлея, но медленные системы не всегда успевают перезагрузить систему до заполнения оверлея, тогда система покажет экран с надписью «Перезагрузка» и не сможет перезагрузиться. Такой системе потребуется жесткая перезагрузка.

Чтобы посмотреть на поведение системы в режиме HORM, включите режим HORM, выбрав соответствующий пункт меню скрипта. После успешного включения режима HORM, выберите пункт планирования гибернации, а затем введите через сколько минут нужно перевести систему в режим гибернации. После того, как будет запланирован переход в режим гибернации, приведите систему в то состояние, в котором ее необходимо загружать каждый раз.

Если Вы захотите выключить фильтр записи, когда у вас включен режим HORM, то сначала необходимо выполнить команду на отключение режима HORM, а затем выполнить команду на отключение фильтра записи. Но если Вы будете отключать фильтр записи с помощью скрипта, то скрипт автоматически отключит HORM перед выключением фильтра записи.

Послесловие

При настройке устройств фиксированного назначения на Windows 10 IoT Enterprise необходимо знать о ее специальных возможностях. Не исключено, что использование специальных возможностей позволит сэкономить на дополнительном ПО, которое может являться аналогом возможностей, которые уже есть в системе. Не исключено, что у дополнительного ПО могут быть преимущества перед стандартными средствами Windows, но, когда Вы что-то покупаете, необходимо понимать, за что именно Вы платите деньги. С помощью набора скриптов можно довольно быстро настроить специальные возможности Windows и сравнить их со сторонним ПО, чтобы принять взвешенное решение.

Но в некоторых случаях встроенных возможностей системы явно недостаточно, например, когда требуется специальная защита с централизованным управлением этой защиты. Или требуется централизованно отслеживать состояние тысяч или десятков тысяч устройств. Но это уже совсем другая история…

Если у вас остались вопросы относительно настройки и лицензирования Windows 10 IoT Enterprise, обращайтесь по адресу mse@quarta.ru или на сайт quarta-embedded.ru.

Ответы на некоторые вопросы Вы можете найти в нашей вики или на нашем YouTube-канале

Автор статьи: Борисенков Владимир, технический эксперт компании Кварта Технологии.

AppLocker — это мощный инструмент безопасности, доступный в операционной системе Windows 10 Home. Он предоставляет возможность ограничить доступ пользователей к определенным приложениям и скриптам, что повышает уровень защиты вашей системы и конфиденциальности данных.

В этой статье мы рассмотрим полезные советы и инструкции по использованию AppLocker в Windows 10 Home. Мы покажем вам, как настроить правила доступа, блокировать нежелательные приложения и предотвращать несанкционированный доступ к вашим данным.

Прежде чем начать использовать AppLocker, необходимо убедиться, что ваша операционная система поддерживает эту функцию. В Windows 10 Home она доступна только в версии Pro и выше. Если у вас установлена версия Home, вы можете обновить ее до более продвинутой версии, чтобы воспользоваться всеми возможностями AppLocker.

В дальнейшем мы рассмотрим, как установить и настроить AppLocker на вашей системе, создавать правила доступа и управлять списками разрешенных и запрещенных приложений. Мы также поделимся рекомендациями по использованию AppLocker для повышения безопасности вашего компьютера.

Содержание

  1. Установка и настройка AppLocker
  2. Создание политик безопасности
  3. Разрешение или запрещение запуска приложений
  4. Управление доступом к файлам и папкам
  5. Аудит изменений в настройках системы
  6. Использование правил исключений
  7. Резервное копирование и восстановление настроек

Установка и настройка AppLocker

  1. Откройте «Панель управления» и выберите раздел «Программы».
  2. Щелкните по ссылке «Включить или отключить компоненты Windows».
  3. В открывшемся окне «Переключение компонентов Windows» найдите раздел «AppLocker».
  4. Убедитесь, что флажок рядом со «Службой управления приложениями AppLocker» установлен.
  5. Нажмите «ОК» и дождитесь завершения процесса установки.

После установки AppLocker вы можете начать настраивать ограничения на использование приложений. Вот некоторые полезные советы:

  • Используйте групповые политики для настройки правил AppLocker.
  • Установите ограничения на использование конкретных приложений или категорий приложений.
  • Настройте правила для пользователей или групп пользователей.
  • Проверьте, работает ли AppLocker правильно, попытавшись запустить ограниченные приложения.
  • Обновляйте правила, когда это необходимо, чтобы отражать изменения в используемых приложениях.

Соблюдая эти рекомендации, вы сможете успешно установить и настроить AppLocker в Windows 10 Home.

Создание политик безопасности

AppLocker предоставляет функционал для создания и управления политиками безопасности, которые определяют правила доступа к приложениям и скриптам на вашем компьютере. В этом разделе вы узнаете, как создать политики безопасности с помощью AppLocker в Windows 10 Home.

Шаг 1: Откройте консоль управления политиками безопасности, нажав сочетание клавиш Win + R и введя команду «secpol.msc».

Шаг 2: В левой панели выберите «Polices», а затем «Application Control Policies».

Шаг 3: Щелкните правой кнопкой мыши по «AppLocker» и выберите «Properties».

Шаг 4: В окне «Properties» перейдите на вкладку «Executable Rules», чтобы создать правила доступа к исполняемым файлам.

Шаг 5: Щелкните правой кнопкой мыши в области «Executable Rules» и выберите «Create New Rule».

Шаг 6: В появившемся окне «Create Executable Rule» выберите тип правила, например, «Publisher» или «Hash». Затем укажите параметры правила, такие как издатель или хеш-сумму.

Шаг 7: Нажмите «Next» и выберите, к каким группам пользователей будет применяться это правило. Вы можете выбрать «Everyone» или определенные группы пользователей.

Шаг 8: Нажмите «Next» и укажите, каким приложениям следует применять это правило: всем или только определенным.

Шаг 9: Нажмите «Next» и укажите, как обработать файлы, не соответствующие этому правилу: запретить или разрешить.

Шаг 10: Нажмите «Next» и укажите имя и место сохранения правила. Затем нажмите «Create» для создания политики безопасности.

После создания политики безопасности она будет применяться к указанным приложениям и скриптам на вашем компьютере, обеспечивая дополнительный уровень защиты от нежелательных или вредоносных программ.

Создавайте политики безопасности с помощью AppLocker, чтобы защититься от угроз и обеспечить безопасное использование компьютера.

Разрешение или запрещение запуска приложений

AppLocker в Windows 10 Home позволяет пользователю контролировать, какие приложения можно запускать, а какие следует запретить. Это очень полезная функция, которая помогает защитить компьютер от потенциально вредоносных программ и ограничить доступ к ненужным или нежелательным приложениям.

Для разрешения или запрещения запуска приложений с помощью AppLocker в Windows 10 Home необходимо выполнить следующие шаги:

  1. Откройте панель управления и выберите «Система и безопасность».
  2. В разделе «Административные инструменты» выберите «AppLocker».
  3. В окне AppLocker выберите «Разрешить или запретить запуск файлов» и затем щелкните на «Создать новое правило».
  4. Выберите тип правила, которое вы хотите создать (например, «Разрешить все программы, кроме указанных» или «Запретить все программы, кроме указанных»).
  5. Выберите тип файлов, к которым применяется правило (например, исполняемые файлы, скрипты, установочные файлы и т. д.).
  6. Укажите путь к файлам, к которым будет применяться правило.
  7. Нажмите «Далее», чтобы перейти к настройке условий применения правила.
  8. Выберите условия, которые должны быть выполнены, чтобы правило сработало (например, пользователи, группы или компьютеры).
  9. Нажмите «Далее», чтобы перейти к настройке исключений правила (если необходимо).
  10. Просмотрите настройки правила в окне «Сводка» и нажмите «Готово», чтобы создать правило.

После создания правила AppLocker будет контролировать запуск указанных приложений в соответствии с установленными условиями. Вы также можете редактировать или удалять правила в любое время в окне AppLocker.

Управление разрешением или запрещением запуска приложений с помощью AppLocker позволяет повысить безопасность и эффективность работы вашего компьютера под управлением Windows 10 Home.

Управление доступом к файлам и папкам

AppLocker позволяет гибко настраивать доступ пользователей к файлам и папкам на компьютере с операционной системой Windows 10 Home. Эта функция особенно полезна, если вы хотите ограничить доступ к конфиденциальным данным или защитить системные файлы.

Если вам нужно установить ограничения на доступ к определенным файлам или папкам, вы можете воспользоваться следующими инструкциями:

  1. Запустите AppLocker, нажав комбинацию клавиш Win + R и введя команду «secpol.msc».
  2. Перейдите в раздел «Политики приложений» и выберите «Правила файла».
  3. Щелкните правой кнопкой мыши в области правил файла и выберите «Создать новое правило».
  4. Выберите тип правила, которое вы хотите создать. Например, вы можете ограничить доступ по пути, расширению файла или имени файла.
  5. Укажите параметры правила, такие как путь к файлу или папке, которую вы хотите ограничить.
  6. Выберите действие, которое должно применяться к файлу или папке. Вы можете разрешить доступ, запретить его или установить ограничение на выполнение файла.
  7. Подтвердите создание правила, нажав кнопку «Готово».

После создания правила, AppLocker будет автоматически применять его при попытке доступа к файлу или папке в соответствии с заданными параметрами. Это обеспечивает надежную защиту ваших данных и позволяет более точно контролировать доступ пользователей к файлам и папкам.

Важно: При настройке правил AppLocker следует быть осторожным, чтобы не заблокировать доступ к важным системным файлам или программам. Рекомендуется ознакомиться с документацией Microsoft или проконсультироваться с IT-специалистом перед внесением изменений в настройки доступа.

Аудит изменений в настройках системы

AppLocker в Windows 10 Home позволяет контролировать доступ пользователей к определенным приложениям и файлам. Однако иногда может возникнуть необходимость отслеживать изменения, вносимые в настройки системы. Для этого можно использовать аудит изменений.

Аудит изменений позволяет записывать события, связанные с изменением параметров настройки системы. Это может быть полезно для обнаружения попыток несанкционированного доступа или внесения изменений в систему.

Чтобы включить аудит изменений в настройках системы, необходимо выполнить следующие шаги:

  1. Откройте «Панель управления» через «Пуск».
  2. Выберите «Система и безопасность», а затем «Администрирование».
  3. В разделе «Локальная политика» выберите «Аудит либо безопасность» и «Локальная политика безопасности».
  4. Дважды щелкните «Аудит изменения объекта».
  5. Выберите «Успешное» или «Неуспешное» выполнение для нужных категорий событий.
  6. Нажмите «ОК», чтобы сохранить изменения.

После включения аудита изменений система будет записывать события в журнале аудита системы с соответствующими подробностями о внесенных изменениях.

Для просмотра журнала аудита изменений выполните следующие действия:

  1. Откройте «Меню Пуск» и введите «Просмотр событий».
  2. Выберите «Просмотр событий» в результате поиска.
  3. В левой панели выберите «Журналы Windows», затем «Безопасность».
  4. Выберите «Фильтр текущего журнала» из действий в правой панели.
  5. Выберите «Аудит изменения объекта» в списке «Выбор событий».
  6. Нажмите «ОК», чтобы применить фильтр.

Теперь вы сможете видеть записи о внесенных изменениях, включая информацию о пользователях, дате и времени изменений.

Аудит изменений в настройках системы в Windows 10 Home полезен для обеспечения безопасности и контроля изменений, которые могут повлиять на работу системы.

Использование правил исключений

AppLocker позволяет создавать правила блокировки и разрешения для различных типов файлов и приложений. Однако есть ситуации, когда требуется сделать исключение и разрешить доступ к определенному файлу или приложению, не нарушая общих правил безопасности. Для этого можно использовать правила исключений.

Чтобы создать исключение, необходимо выполнить следующие шаги:

  1. Откройте «Панель управления» и найдите раздел «Безопасность и обслуживание».
  2. Выберите «AppLocker» и перейдите в раздел «Внешнее правило».
  3. Нажмите на кнопку «Создать исключение» и выберите тип исключения (файл или приложение).
  4. Укажите путь к файлу или приложению, для которого нужно создать исключение, и сохраните изменения.

Исключение будет применяться к выбранному файлу или приложению, позволяя ему работать несмотря на настроенные правила блокировки.

Правила исключений могут быть полезны в различных ситуациях. Например, если у вас есть важный файл, который должен быть доступен для всех пользователей, независимо от правил безопасности. В этом случае можно создать исключение для этого файла и разрешить доступ к нему без ограничений.

Однако следует использовать правила исключений с осторожностью, так как они могут создавать возможности для злоумышленников обойти систему защиты. Рекомендуется создавать исключения только для проверенных и доверенных файлов и приложений, а также регулярно анализировать и обновлять правила безопасности в AppLocker.

Использование правил исключений в AppLocker может значительно упростить работу со встроенными правилами безопасности и позволить гибко настраивать доступ к файлам и приложениям в операционной системе Windows 10 Home.

Резервное копирование и восстановление настроек

Если вы настроили AppLocker на Windows 10 Home и хотите сделать резервную копию своих настроек или восстановить предыдущую конфигурацию, то у вас есть несколько вариантов.

Самым простым способом является использование встроенной в Windows утилиты «резервное копирование и восстановление». Для этого:

  1. Откройте панель управления и перейдите в раздел «Система и безопасность».
  2. Выберите «Резервное копирование и восстановление».
  3. В выпадающем меню выберите «Создать образ системы».
  4. Выберите место для сохранения образа системы, например, внешний жесткий диск или сетевую папку.
  5. Нажмите кнопку «Сохранить» и следуйте инструкциям на экране для завершения процесса резервного копирования.

Если вам необходимо восстановить резервную копию настроек AppLocker, выполните следующие действия:

  1. Откройте «Резервное копирование и восстановление» как описано выше.
  2. Выберите «Восстановление системы» и следуйте инструкциям на экране для восстановления резервной копии.

Обратите внимание, что восстановление системы может привести к потере некоторых изменений, произведенных после создания резервной копии.

Другим вариантом резервного копирования и восстановления настроек AppLocker является использование сторонних программных средств, предоставляемых разработчиками. Они обычно предлагают более гибкие настройки и возможность сделать резервную копию только конкретных настроек, а не всей системы в целом.

  • Как отключить ctf загрузчик в windows 10
  • Как откатить файлы в папке на windows 10
  • Как откатить систему windows old
  • Как отключить antimalware service executable в windows server 2016
  • Как отключить cortana в windows 10 полностью