Kolekcje reguł
Przystawka AppLocker programu Microsoft Management Console (MMC) jest podzielona na cztery obszary, nazywane kolekcjami reguł. Cztery kolekcje reguł to pliki wykonywalne, skrypty, pliki Instalatora Windows i biblioteki DLL. Te kolekcje ułatwiają administratorowi zróżnicowanie reguł dla aplikacji różnego typu. W poniższej tabeli wymieniono formaty plików zawarte w poszczególnych kolekcjach reguł.
 | Uwaga |
Kolekcja reguł dla bibliotek DLL nie jest domyślnie włączona. Aby dowiedzieć się, jak włączać kolekcję reguł dla bibliotek DLL, zobacz temat Wymuszanie reguł zasad ograniczeń oprogramowania. |
| Kolekcja reguł | Skojarzone formaty plików |
|---|---|
Plik wykonywalny |
.exe .com |
Skrypty |
.ps1 .bat .cmd .vbs .js |
Instalator Windows |
.msi .msp |
Biblioteka DLL |
.dll .ocx |
 | Ważne |
Jeśli są używane reguły dotyczące bibliotek DLL, należy utworzyć regułę zezwalania dla każdej biblioteki DLL, z której korzystają wszystkie dozwolone aplikacje. |
 | Przestroga |
Jeśli są używane reguły dotyczące bibliotek DLL, zasady ograniczeń oprogramowania muszą sprawdzić każdą bibliotekę DLL ładowaną przez aplikację. Dlatego w przypadku używania reguł dotyczących bibliotek DLL może wystąpić zmniejszenie wydajności. |
Warunki reguły
Warunki reguły to kryteria, na których jest oparta reguła funkcji AppLocker. Warunki główne są wymagane w celu utworzenia reguły funkcji AppLocker. Trzy warunki główne reguły to wydawca, ścieżka i skrót pliku.
Wydawca
Ten warunek identyfikuje aplikację na podstawie jej podpisu cyfrowego i atrybutów rozszerzonych. Podpis cyfrowy zawiera informacje dotyczące firmy, która utworzyła aplikację (wydawcy). Atrybuty rozszerzone są uzyskiwane z zasobu binarnego i zawierają nazwę produktu, którego część stanowi aplikacja, a także numer wersji aplikacji. Wydawcą może być firma tworząca oprogramowanie, np. Microsoft lub dział informatyczny organizacji.
| Uwaga |
Warunku wydawcy należy używać, jeśli jest to możliwe. Warunki wydawcy można tworzyć w celu umożliwienia działania aplikacji nawet w wypadku zmiany lokalizacji aplikacji lub jej aktualizacji. |
Po wybraniu pliku odniesienia dla warunku wydawcy kreator tworzy regułę określającą wydawcę, produkt, nazwę pliku i numer wersji. Bardziej ogólną regułę można utworzyć, przesuwając suwak w dół lub używając symbolu wieloznacznego (*) w polach produktu, nazwy pliku lub numeru wersji.
| Uwaga |
Aby wprowadzić wartości niestandardowe podczas tworzenia reguły w kreatorze tworzenia reguł, należy zaznaczyć pole wyboru Użyj wartości niestandardowych. Jeśli to pole wyboru jest zaznaczone, nie można zwiększać ani zmniejszać uszczegółowienia reguły za pomocą suwaka. |
Wersja pliku określa, czy użytkownik może uruchomić określoną wersję, wersje wcześniejsze lub wersje późniejsze. Można wybrać numer wersji, po czym skonfigurować następujące opcje:
- Dokładnie. Reguła dotyczy tylko tej wersji aplikacji.
- I powyżej. Reguła dotyczy tej wersji aplikacji i wszystkich nowszych wersji.
- I poniżej. Reguła dotyczy tej wersji aplikacji i wszystkich starszych wersji.
Poniższa tabela zawiera opis sposobu stosowania warunku wydawcy.
| Opcja | Warunek wydawcy zezwala lub odmawia... | |
|---|---|---|
Wszystkie podpisane pliki | Wszystkie pliki podpisane przez wydawcę. | |
Tylko wydawca | Wszystkie pliki podpisane przez nazwanego wydawcę. | |
Wydawca i nazwa produktu | Wszystkie pliki dla określonego produktu podpisane przez nazwanego wydawcę. | |
Wydawca, nazwa produktu i nazwa pliku | Dowolna wersja nazwanego pliku dla nazwanego produktu podpisana przez wydawcę. | |
Wydawca, nazwa produktu, nazwa pliku i wersja pliku | Dokładnie | Określona wersja nazwanego pliku dla nazwanego produktu podpisana przez wydawcę. |
Wydawca, nazwa produktu, nazwa pliku i wersja pliku | I powyżej | Określona wersja nazwanego pliku i wszystkie nowe wydania dla produktu podpisane przez wydawcę. |
Wydawca, nazwa produktu, nazwa pliku i wersja pliku | I poniżej | Określona wersja nazwanego pliku i wszystkie starsze wersje dla produktu podpisane przez wydawcę. |
Niestandardowe | Można edytować pola Wydawca, Nazwa produktu, Nazwa pliku i Wersja, aby utworzyć regułę niestandardową. | |
Ścieżka
Ten warunek identyfikuje aplikację przez jej lokalizację w systemie plików komputera lub w sieci.
Zasady ograniczeń oprogramowania używają zmiennych ścieżek dla katalogów w systemie Windows.
| Uwaga |
Dwie spośród tych zmiennych ścieżek używają takiego samego formatu jak zmienne środowiskowe systemu Windows, nie są jednak zmiennymi środowiskowymi. Zasady ograniczeń oprogramowania mogą interpretować wyłącznie zmienne ścieżek zasad ograniczeń oprogramowania. |
W poniższej tabeli przedstawiono te zmienne ścieżek.
| Katalog lub dysk systemowy Windows | Zmienna ścieżki zasad ograniczeń oprogramowania | Zmienna środowiskowa systemu Windows |
|---|---|---|
Windows | %WINDIR% | %SystemRoot% |
System32 | %SYSTEM32% | %SystemDirectory% |
Katalog instalacyjny systemu Windows | %OSDRIVE% | %SystemDrive% |
Program Files | %PROGRAMFILES% | %ProgramFiles% i %ProgramFiles(x86)% |
Nośniki wymienne (np. dysk CD lub DVD) | %REMOVABLE% | |
Wymienne urządzenie magazynujące (np. dysk flash USB) | %HOT% |
| Ważne |
Ponieważ warunek ścieżki można skonfigurować tak, aby uwzględniał dużą liczbę folderów i plików, warunki ścieżki należy ostrożnie planować. Na przykład jeśli reguła zezwalania z warunkiem ścieżki uwzględnia lokalizację folderu, w którym zezwolenie na zapis danych mają użytkownicy inni niż administratorzy, użytkownik może kopiować do lokalizacji niezatwierdzone pliki i je uruchamiać. Z tego powodu najlepszym rozwiązaniem jest nietworzenie warunków ścieżki dla lokalizacji, w których może zapisywać użytkownik standardowy, takich jak profil użytkownika. |
Skrót pliku
Gdy zostanie wybrany warunek skrótu pliku, system oblicza skrót kryptograficzny zidentyfikowanego pliku.
Domyślne reguły zasad ograniczeń oprogramowania
AppLocker umożliwiają tworzenie domyślnych reguł dla poszczególnych typów reguł.
Typy reguł domyślnych dla plików wykonywalnych:
- Zezwalaj członkom grupy lokalnej Administratorzy na uruchamianie wszystkich aplikacji.
- Zezwalaj członkom grupy Wszyscy na uruchamianie aplikacji znajdujących się w folderze Windows.
- Zezwalaj członkom grupy Wszyscy na uruchamianie aplikacji znajdujących się w folderze Program Files.
Typy reguł domyślnych Instalatora Windows:
- Zezwalaj członkom lokalnej grupy Administratorzy na uruchamianie wszystkich plików Instalatora Windows.
- Zezwalaj członkom grupy Wszyscy na uruchamianie podpisanych cyfrowo plików Instalatora Windows.
- Zezwalaj członkom grupy Wszyscy na uruchamianie wszystkich plików Instalatora Windows znajdujących się w folderze Windows\Installer.
Typy reguł domyślnych dla skryptów:
- Zezwalaj członkom grupy lokalnej Administratorzy na uruchamianie wszystkich skryptów.
- Zezwalaj członkom grupy Wszyscy na uruchamianie skryptów znajdujących się w folderze Program Files.
- Zezwalaj członkom grupy Wszyscy na uruchamianie skryptów znajdujących się w folderze Windows.
Typy reguł domyślnych dla bibliotek DLL:
- Zezwalaj członkom grupy lokalnej Administratorzy na uruchamianie wszystkich bibliotek DLL.
- Zezwalaj członkom grupy Wszyscy na uruchamianie bibliotek DLL znajdujących się w folderze Program Files.
- Zezwalaj członkom grupy Wszyscy na uruchamianie bibliotek DLL znajdujących się w folderze Windows.
Aby uzyskać więcej informacji, zobacz temat Tworzenie domyślnych reguł zasad ograniczeń oprogramowania.
Zachowanie reguły zasad ograniczeń oprogramowania
Jeśli nie istnieją żadne reguły funkcji AppLocker dla określonej kolekcji reguł, zezwala się na uruchamianie wszystkich plików tego formatu. Jeśli jednak dla określonej kolekcji reguł zostanie utworzona reguła funkcji AppLocker, uruchamiane będą mogły być wyłącznie pliki, dla których w regule istnieje wyraźne zezwolenie. Jeśli na przykład zostanie utworzona reguła dla plików wykonywalnych zezwalająca na uruchamianie plików .exe w lokalizacji %SystemDrive%\FilePath, tylko pliki wykonywalne znajdujące się w tej ścieżce uzyskają zezwolenie na uruchomienie.
Regułę można skonfigurować tak, aby wykonywała akcję zezwolenia lub odmowy:
- Zezwalaj. Można określić, które pliki mogą być uruchamiane w danym środowisku i dla których użytkowników lub grup użytkowników. Można również skonfigurować wyjątki w celu identyfikacji plików wykluczonych z tej reguły.
- Odmów. Można określić, które pliki nie mogą być uruchamiane w danym środowisku i dla których użytkowników lub grup użytkowników. Można również skonfigurować wyjątki w celu identyfikacji plików wykluczonych z tej reguły.
| Ważne |
Można zastosować kombinację akcji zezwolenia i odmowy. Zalecane jest jednak używanie akcji zezwolenia z wyjątkami, ponieważ akcje odmowy zastępują we wszystkich przypadkach akcje zezwolenia. Akcje odmowy można również obchodzić. |
Wyjątki od reguł
Reguły funkcji AppLocker można zastosować dla poszczególnych użytkowników lub grup użytkowników. W przypadku zastosowania reguły do grupy użytkowników reguła dotyczy wszystkich użytkowników w grupie. Jeśli wymagane jest zezwolenie podzbiorowi grupy użytkowników na używanie aplikacji, można utworzyć specjalną regułę dla tego podzbioru. Na przykład reguła „Zezwalaj wszystkim na uruchamianie systemu Windows z wyjątkiem Edytora rejestru” umożliwia wszystkim członkom organizacji uruchamianie systemu Windows, ale nie zezwala nikomu na uruchamianie Edytora rejestru. W efekcie ta reguła uniemożliwi użytkownikom, takim jak personel pomocy technicznej, uruchamianie programu niezbędnego do wykonywania ich zadań pomocy. Aby rozwiązać ten problem, utwórz drugą regułę dotyczącą grupy użytkowników Pomoc techniczna: „Zezwalaj członkom grupy Pomoc techniczna na uruchamianie Edytora rejestru”. W przypadku utworzenia reguły odmowy, która nie zezwala żadnemu użytkownikowi na uruchomienie Edytora rejestru, reguła ta zastąpi drugą regułę umożliwiającą grupie użytkowników Pomoc techniczna uruchamianie Edytora rejestru.
Kreatorzy zasad ograniczeń oprogramowania
Reguły niestandardowe można utworzyć na dwa sposoby:
- Kreator tworzenia reguł umożliwia jednorazowo utworzenie jednej reguły. Aby uzyskać więcej informacji, zobacz temat Tworzenie reguły zasad ograniczeń oprogramowania.
- Kreator automatycznego tworzenia reguł umożliwia wybranie folderu oraz użytkownika lub grupy, której dotyczy reguła, a następnie jednoczesne utworzenie wielu reguł dla tego folderu. Kreator tworzy automatycznie tylko reguły zezwalania. Aby uzyskać więcej informacji, zobacz temat Automatyczne generowanie reguł zasad ograniczeń oprogramowania.
Uwagi dodatkowe
- Domyślnie reguły funkcji AppLocker nie zezwalają użytkownikom na otwieranie ani uruchamianie plików, których nie dotyczy szczegółowe zezwolenie. Administratorzy powinni utrzymywać aktualną listę dozwolonych aplikacji.
- Istnieją dwa typy warunków funkcji AppLocker, które nie zachowują trwałości po aktualizacji:
- Warunek skrótu pliku. Warunków skrótu pliku można używać dla dowolnej aplikacji, ponieważ wartość skrótu kryptograficznego aplikacji jest generowana w czasie tworzenia reguły. Wartość skrótu jest jednak specyficzna dla określonej wersji aplikacji. Jeśli w organizacji jest używanych wiele wersji aplikacji, należy utworzyć warunek skrótu pliku dla każdej używanej wersji i wszystkich wydawanych nowych wersji.
- Warunek wydawcy z ustawioną określoną wersją produktu. W przypadku utworzenia warunku wydawcy, który używa opcji warunku pliku Dokładnie, reguła nie może zachować trwałości po zainstalowaniu nowej wersji aplikacji. Należy utworzyć nowy warunek wydawcy lub edytować wersję reguły w celu zmniejszenia jej uszczegółowienia.
- Warunek skrótu pliku. Warunków skrótu pliku można używać dla dowolnej aplikacji, ponieważ wartość skrótu kryptograficznego aplikacji jest generowana w czasie tworzenia reguły. Wartość skrótu jest jednak specyficzna dla określonej wersji aplikacji. Jeśli w organizacji jest używanych wiele wersji aplikacji, należy utworzyć warunek skrótu pliku dla każdej używanej wersji i wszystkich wydawanych nowych wersji.
- Jeśli aplikacja nie jest podpisana cyfrowo, nie można zastosować warunku wydawcy.
- Reguł funkcji AppLocker nie można stosować do zarządzania komputerami, na których działa system operacyjny Windows w wersji starszej niż Windows 7. Zamiast nich należy użyć zasad ograniczeń oprogramowania.
- Jeśli reguły funkcji AppLocker są zdefiniowane w obiekcie zasad grupy (GPO), stosowane są tylko te reguły. Aby zapewnić współdziałanie reguł zasad ograniczeń oprogramowania z regułami funkcji AppLocker, zdefiniuj reguły zasad ograniczeń oprogramowania i reguły funkcji AppLocker w różnych obiektach zasad grupy.
- Jeśli dla reguły funkcji AppLocker ustawiono opcję Tylko inspekcja, reguła nie jest wymuszana. Gdy użytkownik uruchomi aplikację uwzględnioną w regule, aplikacja zostanie otwarta i uruchomiona normalnie, a informacja o aplikacji zostanie dodana do dziennika zdarzeń funkcji AppLocker.
- W komunikacie wyświetlanym po zablokowaniu aplikacji można uwzględnić niestandardowo skonfigurowany adres URL.
- Należy oczekiwać początkowego zwiększenia liczby wezwań pomocy technicznej spowodowanych zablokowaniem aplikacji. Zrozumienie przez użytkowników, że nie mogą uruchamiać aplikacji, do których nie mają zezwolenia, powinno zmniejszyć liczbę wezwań pomocy technicznej.
Dodatkowe informacje