Kolekce pravidel
Modul snap-in konzoly MMC (Microsoft Management Console) nástroje AppLocker je rozdělen na čtyři oblasti nazývané kolekce pravidel. Tyto čtyři kolekce pravidel jsou spustitelné soubory, skripty, soubory instalační služby systému Windows a soubory DLL. Tyto kolekce poskytují správci možnost snadného rozlišování pravidel pro různé typy aplikací. V následující tabulce jsou uvedeny formáty souborů obsažených v jednotlivých kolekcích pravidel.
Poznámka | |
Kolekce pravidel souborů DLL není ve výchozím nastavení povolena. Informace o povolení kolekce pravidel souborů DLL naleznete v tématu Vynucení pravidel nástroje AppLocker. |
Kolekce pravidel | Přidružené formáty souborů |
---|---|
Spustitelné soubory |
EXE COM |
Skripty |
PS1 BAT CMD VBS JS |
Instalační služba systému Windows |
MSI MSP |
Soubory DLL |
DLL OCX |
Důležité informace | |
Používáte-li pravidla souborů DLL, musí být pro každý soubor DLL, který je používán všemi povolenými aplikacemi, vytvořeno pravidlo povolení souboru DLL. |
Upozornění | |
Jsou-li použita pravidla souborů DLL, musí nástroj AppLocker kontrolovat každý soubor DLL, který aplikace načítá. Uživatelé proto mohou při použití pravidel souborů DLL zaznamenat snížení výkonu. |
Podmínky pro pravidla
Podmínky pro pravidla jsou kritéria, na kterých je pravidlo nástroje AppLocker založeno. K vytvoření pravidla nástroje AppLocker jsou nutné primární podmínky. Tři primární podmínky pro pravidla jsou vydavatel, cesta a hodnota hash souboru.
Vydavatel
Tato podmínka identifikuje aplikaci na základě digitálního podpisu a rozšířených atributů. Digitální podpis obsahuje informace o společnosti, která aplikaci vytvořila (vydavatel). Rozšířené atributy získané z binárního zdroje obsahují název produktu, jehož částí aplikace je, a číslo verze aplikace. Vydavatelem může být společnost vyvíjející software, například Microsoft, nebo oddělení informačních technologií vaší organizace.
Poznámka | |
Používejte podmínku vydavatele, pokud je to možné. Podmínky vydavatele mohou být vytvořeny tak, aby aplikace mohla pokračovat v činnosti, i když se její umístění změní nebo i když bude aktualizována. |
Vyberete-li pro podmínku vydavatele referenční soubor, průvodce vytvoří pravidlo, které specifikuje vydavatele, produkt, název souboru a číslo verze. Pravidlo může být obecnější, jestliže posunete posuvník dolů, nebo v poli produktu, názvu souboru či čísla verze použijete zástupný znak (*).
Poznámka | |
Chcete-li v průvodci vytvářením pravidel zadat vlastní hodnoty, musíte zaškrtnout políčko Použít vlastní hodnoty. Je-li políčko zaškrtnuto, nelze používat posuvník pro nastavení specifičnosti pravidla. |
Verze souboru určuje, zda uživatel může spustit určitou verzi, dřívější verze nebo pozdější verze. Můžete zvolit číslo verze a potom nakonfigurovat následující možnosti:
- Přesně. Pravidlo připouští pouze tuto verzi aplikace.
- A vyšší. Pravidlo připouští tuto verzi a všechny pozdější verze.
- A nižší. Pravidlo připouští tuto verzi a všechny dřívější verze.
Následující tabulka popisuje, jak se podmínka vydavatele používá.
Možnost | Podmínka vydavatele povoluje nebo zakazuje... | |
---|---|---|
Všechny podepsané soubory | Všechny soubory podepsané vydavatelem | |
Pouze vydavatel | Všechny soubory, které jsou podepsány uvedeným vydavatelem | |
Vydavatel a název produktu | Všechny soubory pro zadaný produkt, které jsou podepsány uvedeným vydavatelem | |
Vydavatel, název produktu a název souboru | Libovolná verze uvedeného souboru pro uvedený produkt, která je podepsána vydavatelem | |
Vydavatel, název produktu, název souboru a verze souboru | Přesně | Zadaná verze uvedeného souboru pro uvedený produkt, která je podepsána vydavatelem |
Vydavatel, název produktu, název souboru a verze souboru | A vyšší | Zadaná verze uvedeného souboru a libovolná nová vydání pro produkt, která jsou podepsána vydavatelem |
Vydavatel, název produktu, název souboru a verze souboru | A nižší | Zadaná verze uvedeného souboru a libovolné dřívější verze pro produkt, které jsou podepsány vydavatelem |
Vlastní | Pole Vydavatel, Název produktu, Název souboru a Verze můžete upravit a vytvořit tak vlastní pravidlo. |
Cesta
Tato podmínka identifikuje aplikaci podle jejího umístění v systému souborů počítače nebo v síti.
Nástroj AppLocker používá pro adresáře v systému Windows proměnné cest.
Poznámka | |
I když dvě z těchto proměnných cest používají stejný formát jako proměnné prostředí systému Windows, nejsou to proměnné prostředí. Nástroj AppLocker může interpretovat pouze proměnné cest nástroje AppLocker. |
Podrobnosti o těchto proměnných cest jsou uvedeny v následující tabulce.
Adresář nebo jednotka systému Windows | Proměnná cest nástroje AppLocker | Proměnná prostředí systému Windows |
---|---|---|
Windows | %WINDIR% | %SystemRoot% |
System32 | %SYSTEM32% | %SystemDirectory% |
Instalační adresář systému Windows | %OSDRIVE% | %SystemDrive% |
Programové soubory | %PROGRAMFILES% | %ProgramFiles% a %ProgramFiles(x86)% |
Vyměnitelné médium (např. CD nebo DVD) | %REMOVABLE% | |
Vyměnitelné paměťové zařízení (např. jednotka USB flash) | %HOT% |
Důležité informace | |
Protože podmínku cesty lze nakonfigurovat tak, že zahrnuje velký počet složek a souborů, měly by se podmínky cest pečlivě plánovat. Když například povolující pravidlo s podmínkou cesty zahrnuje umístění složky, do které mohou zapisovat data i jiní uživatelé než správci, uživatel může do umístění zkopírovat neschválené soubory a spustit je. Z toho důvodu je nejvhodnější nevytvářet pro běžné uživatele podmínky cest pro umístění s možností zápisu, jako je například profil uživatele. |
Hodnota hash souboru
Jestliže se zvolí podmínka s hodnotou hash souboru, systém vypočítá kryptografickou hodnotu hash identifikovaného souboru.
Výchozí pravidla nástroje AppLocker
Nástroj AppLocker umožňuje vytvářet výchozí pravidla pro všechny typy pravidel.
Typy výchozích pravidel pro spustitelné soubory:
- Umožňuje členům místní skupiny Administrators spouštět všechny aplikace.
- Umožňuje členům skupiny Everyone spouštět aplikace umístěné ve složce Windows.
- Umožňuje členům skupiny Everyone spouštět aplikace umístěné ve složce Program Files.
Typy výchozích pravidel pro Instalační službu systému Windows:
- Umožňuje členům místní skupiny Administrators spouštět všechny soubory Instalační služby systému Windows.
- Umožňuje členům skupiny Everyone spouštět digitálně podepsané soubory Instalační služby systému Windows.
- Umožňuje členům skupiny Everyone spouštět všechny soubory instalační služby systému Windows umístěné ve složce Windows\Installer.
Typy výchozích pravidel pro skripty:
- Umožňuje členům místní skupiny Administrators spouštět všechny skripty.
- Umožňuje členům skupiny Everyone spouštět skripty umístěné ve složce Program Files.
- Umožňuje členům skupiny Everyone spouštět skripty umístěné ve složce Windows.
Typy výchozích pravidel souborů DLL:
- Umožňuje členům místní skupiny Administrators spouštět všechny soubory DLL.
- Umožňuje členům skupiny Everyone spouštět soubory DLL umístěné ve složce Program Files.
- Umožňuje členům skupiny Everyone spouštět soubory DLL umístěné ve složce Windows.
Další informace naleznete v tématu Vytvoření výchozích pravidlel nástroje AppLocker.
Chování pravidla nástroje AppLocker
Pokud pro danou kolekci pravidel neexistují žádná pravidla nástroje AppLocker, je dovoleno spouštět všechny soubory s příslušným formátem. Je-li však pro určitou kolekci pravidel vytvořeno pravidlo nástroje AppLocker, je dovoleno spouštět pouze soubory výslovně v pravidlu povolené. Vytvoříte-li například pravidlo pro spustitelné soubory, které umožňuje spouštět soubory EXE v umístění %SystemDrive%\FilePath, je dovoleno spouštět pouze soubory umístěné na této cestě.
Pravidlo může být nakonfigurováno tak, že určitou akci buď povoluje nebo zakazuje:
- Povolit. Můžete určit, které soubory je dovoleno ve vašem prostředí spouštět a kteří uživatelé nebo skupiny uživatelů je smějí spouštět. Je také možné konfigurovat výjimky určující, které soubory jsou z pravidla vyjmuty.
- Zakázat. Můžete určit, které soubory není dovoleno ve vašem prostředí spouštět a pro které uživatele nebo skupiny uživatelů toto omezení platí. Je také možné konfigurovat výjimky určující, které soubory jsou z pravidla vyjmuty.
Důležité informace | |
Je možné použít i kombinaci povolení a zákazů akcí. Doporučujeme však používat povolení akcí s výjimkami, protože zákazy akcí ve všech případech přepisují povolení akcí. Zákazy akcí také mohou být obcházeny. |
Výjimky z pravidel
Pravidla nástroje AppLocker lze používat pro jednotlivé uživatele i pro skupiny uživatelů. Použijete-li pravidlo pro skupinu uživatelů, budou tímto pravidlem ovlivněni všichni uživatelé ve skupině. Potřebujete-li povolit používání aplikace určité podmnožině skupiny uživatelů, můžete pro tuto podmnožinu vytvořit zvláštní pravidlo. Například pravidlo „Povolit všem spustit systém Windows kromě Editoru registru“ povolí komukoli v organizaci spustit systém Windows, ale nikomu nepovolí spustit Editor registru. Důsledkem tohoto pravidla by bylo, že například pracovníci technické podpory by nemohli spustit program, který je nezbytný pro jejich úkoly. Problém můžete vyřešit tak, že vytvoříte druhé pravidlo, které platí pro skupinu pracovníků technické podpory: „Povolit pracovníkům technické podpory spustit Editor registru“. Vytvoříte-li zakazující pravidlo, které žádnému uživateli nepovolí spustit Editor registru, toto zakazující pravidlo přepíše druhé pravidlo, které pracovníkům technické podpory povoluje Editor registru spustit.
Průvodci nástroje AppLocker
Vlastní pravidla můžete vytvářet dvěma způsoby:
- Průvodce vytvářením pravidel umožňuje vytvořit vždy jedno pravidlo. Další informace naleznete v tématu Vytvoření pravidla nástroje AppLocker.
- Průvodce automatickým generováním pravidel umožňuje vybrat složku, dále vybrat uživatele nebo skupinu uživatelů, pro které bude pravidlo platit, a potom pro tuto složku vytvářet více pravidel současně. Tento průvodce automaticky generuje pouze povolující pravidla. Další informace naleznete v tématu Automatické generování pravidel nástroje AppLocker.
Další požadavky
- Pravidla nástroje AppLocker ve výchozím nastavení nedovolují uživatelům otevřít nebo spustit žádné soubory, které nejsou výslovně povoleny. Správci by měli udržovat aktuální seznam povolených aplikací.
- Existují dva typy podmínek nástroje AppLocker, které nepřetrvávají po aktualizaci:
- Podmínka s hodnotou hash souboru. Podmínky s hodnotou hash souboru mohou být použity s libovolnou aplikací, protože kryptografická hodnota hash aplikace je generována v době vytváření pravidla. Hodnota hash je však specifická pro tuto konkrétní verzi aplikace. Pokud se v organizaci používá několik verzí aplikace, je nutné vytvořit podmínky hash pro každou používanou verzi a pro libovolné nově vydané verze.
- Podmínka vydavatele s nastavením konkrétní verze produktu. Vytvoříte-li podmínku vydavatele používající podmínku souboru s možností Přesně, pravidlo nemůže přetrvat, jestliže se nainstaluje nová verze aplikace. Musí být vytvořena nová podmínka vydavatele nebo je nutné verzi pravidla upravit tak, aby byla méně konkrétní.
- Podmínka s hodnotou hash souboru. Podmínky s hodnotou hash souboru mohou být použity s libovolnou aplikací, protože kryptografická hodnota hash aplikace je generována v době vytváření pravidla. Hodnota hash je však specifická pro tuto konkrétní verzi aplikace. Pokud se v organizaci používá několik verzí aplikace, je nutné vytvořit podmínky hash pro každou používanou verzi a pro libovolné nově vydané verze.
- Pokud aplikace není digitálně podepsána, nelze použít podmínku vydavatele.
- Pravidla nástroje AppLocker není možné používat ke správě počítačů s operačním systémem Windows starším než Windows 7. Místo nich je třeba použít zásady omezení softwaru.
- Jsou-li pravidla nástroje AppLocker definována v objektu zásad skupiny (GPO), uplatní se pouze tato pravidla. V zájmu zajištění spolupráce mezi pravidly zásad omezení softwaru a pravidly nástroje AppLocker definujte pravidla zásad omezení softwaru a pravidla nástroje AppLocker v různých objektech zásad skupiny (GPO).
- Pokud je pravidlo nástroje AppLocker nastaveno na hodnotu Pouze audit, pravidlo není vynucováno. Spustí-li uživatel aplikaci obsaženou v pravidle, aplikace se otevře a normálně spustí a informace o této aplikaci se přidají do protokolu událostí nástroje AppLocker.
- Do zprávy, která se zobrazí při zablokování aplikace, lze zahrnout vlastní adresu URL.
- Zpočátku očekávejte nárůst hovorů s pracovníky technické podpory v důsledku zablokovaných aplikací. Jakmile uživatelé pochopí, že nemohou spouštět nepovolené aplikace, počet hovorů s pracovníky technické podpory se sníží.
Další informace