Администрирование политик ограниченного использования программ Administer Software Restriction Policies
Область применения. Windows Server 2016, Windows Server 2012 R2, Windows Server 2012 Applies To: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
Этот раздел предназначен для ИТ-специалистов и содержит процедуры для администрирования политик управления приложениями с помощью политик ограниченного использования программ (SRP), начиная с Windows Server 2008 и Windows Vista. This topic for the IT professional contains procedures how to administer application control policies using Software Restriction Policies (SRP) beginning with Windows Server 2008 and Windows Vista.
Введение Introduction
Политики ограниченного использования программ — это основанная на групповых политиках функция, которая выявляет программы, работающие на компьютерах в домене, и управляет возможностью выполнения этих программ. Software Restriction Policies (SRP) is Group Policy-based feature that identifies software programs running on computers in a domain, and controls the ability of those programs to run. Эти политики позволяют создать конфигурацию со строгими ограничениями для компьютеров, где разрешается запуск только определенных приложений. You use software restriction policies to create a highly restricted configuration for computers, in which you allow only specifically identified applications to run. Политики интегрируются с доменными службами Active Directory и групповой политикой, но также могут настраиваться на изолированных компьютерах. These are integrated with Microsoft Active Directory Domain Services and Group Policy but can also be configured on stand-alone computers. Подробные сведения о политиках ограниченного использования программ см. в разделе Политики ограниченного использования программ. For more information about SRP, see the Software Restriction Policies.
Начиная с Windows Server 2008 R2 и Windows 7, вместо политики SRP или вместе с ней в рамках стратегии управления приложениями можно использовать Windows AppLocker. Beginning with Windows Server 2008 R2 and Windows 7 , Windows AppLocker can be used instead of or in concert with SRP for a portion of your application control strategy.
Содержание раздела This topic contains:
Сведения о способах выполнения определенных задач с помощью политик ограниченного использования программ см. в следующих разделах: For information about how to accomplish specific tasks using SRP, see the following:
Открытие окна «Политики ограниченного использования программ» To open Software Restriction Policies
Для локального компьютера For your local computer
Откройте окно «Локальные параметры безопасности». Open Local Security Settings.
В дереве консоли щелкните Политики ограниченного использования программ. In the console tree, click Software Restriction Policies.
Которому? Where?
- Параметры безопасности/Политики ограниченного использования программ Security Settings/Software Restriction Policies
Для выполнения данной процедуры необходимо входить в группу «Администраторы» на локальном компьютере или получить соответствующие полномочия путем делегирования. To perform this procedure, you must be a member of the Administrators group on the local computer, or you must have been delegated the appropriate authority.
Для домена, сайта или подразделения: вы находитесь на рядовом сервере или на рабочей станции, присоединенной к домену. For a domain, site, or organizational unit, and you are on a member server or on a workstation that is joined to a domain
Откройте консоль управления (MMC). Open Microsoft Management Console (MMC).
В меню Файл выберите команду Добавить или удалить оснастку и затем нажмите кнопку Добавить. On the File menu, click Add/Remove Snap-in, and then click Add.
Щелкните элемент Редактор объектов групповой политики и нажмите кнопку Добавить. Click Local Group Policy Object Editor, and then click Add.
В окне Выбор объекта групповой политики нажмите кнопку Обзор. In Select Group Policy Object, click Browse.
В окне поиск групповая политика объектавыберите объект Групповая политика (GPO) в соответствующем домене, сайте или подразделении или создайте новый, а затем нажмите кнопку Готово. In Browse for a Group Policy Object, select a Group Policy Object (GPO) in the appropriate domain, site, or organizational unit-or create a new one, and then click Finish.
Щелкните Закрыть, а затем нажмите кнопку ОК. Click Close, and then click OK.
В дереве консоли щелкните Политики ограниченного использования программ. In the console tree, click Software Restriction Policies.
Которому? Where?
Объект групповой политики [имя_компьютера] Policy/Computer Configuration или Group Policy Object [ComputerName] Policy/Computer Configuration or
User Configuration/Windows Settings/Security Settings/Software Restriction Policies User Configuration/Windows Settings/Security Settings/Software Restriction Policies
Для выполнения этой процедуры необходимо быть членом группы «Администраторы домена». To perform this procedure, you must be a member of the Domain Admins group.
Для домена или подразделения: вы находитесь на контроллере домена или на рабочей станции, где установлены средства удаленного администрирования сервера. For a domain or organizational unit, and you are on a domain controller or on a workstation that has the Remote Server Administration Tools installed
Откройте консоль управления групповыми политиками. Open Group Policy Management Console.
В дереве консоли правой кнопкой мыши щелкните объект групповой политики, для которого требуется открыть политики ограниченного использования программ. In the console tree, right-click the Group Policy Object (GPO) that you want to open software restriction policies for.
Нажмите кнопку Изменить, чтобы открыть объект групповой политики для правки. Click Edit to open the GPO that you want to edit. Также можно нажать кнопку Создать, чтобы создать новый объект групповой политики, а затем нажать кнопку Изменить. You can also click New to create a new GPO, and then click Edit.
В дереве консоли щелкните Политики ограниченного использования программ. In the console tree, click Software Restriction Policies.
Которому? Where?
Объект групповой политики [имя_компьютера] Policy/Computer Configuration или Group Policy Object [ComputerName] Policy/Computer Configuration or
User Configuration/Windows Settings/Security Settings/Software Restriction Policies User Configuration/Windows Settings/Security Settings/Software Restriction Policies
Для выполнения этой процедуры необходимо быть членом группы «Администраторы домена». To perform this procedure, you must be a member of the Domain Admins group.
Для сайта: вы находитесь на контроллере домена или на рабочей станции, где установлены средства удаленного администрирования сервера. For a site, and you are on a domain controller or on a workstation that has the Remote Server Administration Tools installed
Откройте консоль управления групповыми политиками. Open Group Policy Management Console.
В дереве консоли щелкните правой кнопкой мыши сайт, для которого требуется задать групповую политику. In the console tree, right-click the site that you want to set Group Policy for.
Которому? Where?
- Active Directory — сайты и службы [имя_контроллера_домена.имя_домена]/Sites/Site Active Directory Sites and Services [Domain_Controller_Name.Domain_Name]/Sites/Site
Щелкните объект в списке Ссылки объекта групповой политики, чтобы выбрать существующий объект групповой политики (GPO), а затем нажмите кнопку Изменить. Click an entry in Group Policy Object Links to select an existing Group Policy Object (GPO), and then click Edit. Также можно нажать кнопку Создать, чтобы создать новый объект групповой политики, а затем нажать кнопку Изменить. You can also click New to create a new GPO, and then click Edit.
В дереве консоли щелкните Политики ограниченного использования программ. In the console tree, click Software Restriction Policies.
Where Where
Объект групповой политики [имя_компьютера] Policy/Computer Configuration или Group Policy Object [ComputerName] Policy/Computer Configuration or
User Configuration/Windows Settings/Security Settings/Software Restriction Policies User Configuration/Windows Settings/Security Settings/Software Restriction Policies
- Для выполнения данной процедуры необходимо входить в группу «Администраторы» на локальном компьютере или получить соответствующие полномочия путем делегирования. To perform this procedure, you must be a member of the Administrators group on the local computer, or you must have been delegated the appropriate authority. Если компьютер присоединен к домену, эту процедуру могут выполнять члены группы «Администраторы домена». If the computer is joined to a domain, members of the Domain Admins group might be able to perform this procedure.
- Чтобы задать параметры политики, которые будут применяться к компьютерам независимо от пользователей, входящих в систему, щелкните Конфигурация компьютера. To set policy settings that will be applied to computers, regardless of which users log on to them, click Computer Configuration.
- Чтобы задать параметры политики, которые будут применяться к пользователям независимо от компьютера, с которого они входят в систему, щелкните Конфигурация пользователя. To set policy settings that will be applied to users, regardless of which computer they log on to, click User Configuration.
Создание новых политик ограниченного использования программ To create new software restriction policies
Откройте окно «Политики ограниченного использования программ». Open Software Restriction Policies.
В меню Действие щелкните ссылку Создать политику ограниченного использования программ. On the Action menu, click New Software Restriction Policies.
Для выполнения этой процедуры требуются различные административные учетные данные в зависимости от среды. Different administrative credentials are required to perform this procedure, depending on your environment:
- Если новые политики ограниченного использования программ создаются для локального компьютера: минимальным требованием для выполнения этой процедуры является членство в локальной группе Администраторы или аналогичной. If you create new software restriction policies for your local computer: Membership in the local Administrators group, or equivalent, is the minimum required to complete this procedure.
- Если новые политики ограниченного использования программ создаются для компьютера, присоединенного к домену, то эту процедуру могут выполнить члены группы «Администраторы домена». If you create new software restriction policies for a computer that is joined to a domain, members of the Domain Admins group can perform this procedure.
Если политики ограниченного использования программ уже созданы для объекта групповой политики, то в меню Действие не отображается команда Создать политику ограниченного использования программ. If software restriction policies have already been created for a Group Policy Object (GPO), the New Software Restriction Policies command does not appear on the Action menu. Чтобы удалить политики ограниченного использования программ, применяемые к объекту групповой политики, щелкните правой кнопкой мыши узел Политики ограниченного использования программ в дереве консоли и выберите команду Удалить политики ограниченного использования программ. To delete the software restriction policies that are applied to a GPO, in the console tree, right-click Software Restriction Policies, and then click Delete Software Restriction Policies. При удалении политик ограниченного использования программ для объекта групповой политики также удаляются все правила политик ограниченного использования программ для этого объекта групповой политики. When you delete software restriction policies for a GPO, you also delete all software restriction policies rules for that GPO. После удаления политик ограниченного использования программ можно создать новые политики ограниченного использования программ для этого объекта групповой политики. After you delete software restriction policies, you can create new software restriction policies for that GPO.
Добавление или удаление назначенного типа файлов To add or delete a designated file type
Откройте окно «Политики ограниченного использования программ». Open Software Restriction Policies.
В области сведений дважды щелкните элемент Назначенные типы файлов. In the details pane, double-click Designated File Types.
Выполните одно из следующих действий. Do one of the following:
Чтобы добавить тип файла, введите расширение имени файла в поле Расширение имени файла, а затем нажмите кнопку Добавить. To add a file type, in File name extension, type the file name extension, and then click Add.
Чтобы удалить тип файла, щелкните этот тип в окне Назначенные типы файлов и нажмите кнопку Удалить. To delete a file type, in Designated file types, click the file type, and then click Remove.
Для выполнения этой процедуры требуются различные административные учетные данные в зависимости от среды, в которой добавляется или удаляется назначенный тип файлов. Different administrative credentials are required to perform this procedure, depending on the environment in which you add or delete a designated file type:
- Если назначенный тип файлов добавляется или удаляется для локального компьютера: минимальным требованием для выполнения этой процедуры является членство в локальной группе Администраторы или аналогичной. If you add or delete a designated file type for your local computer: Membership in the local Administrators group, or equivalent, is the minimum required to complete this procedure.
- Если новые политики ограниченного использования программ создаются для компьютера, присоединенного к домену, то эту процедуру могут выполнить члены группы «Администраторы домена». If you create new software restriction policies for a computer that is joined to a domain, members of the Domain Admins group can perform this procedure.
Может понадобиться создать новый параметр политики ограниченного использования программ для объекта групповой политики, если это еще не сделано. It may be necessary to create a new software restriction policy setting for the Group Policy Object (GPO) if you have not already done so.
Список назначенных типов файлов для объекта групповой политики является общим для всех правил в разделах «Конфигурация компьютера» и «Конфигурация пользователя». The list of designated file types is shared by all rules for both Computer Configuration and User Configuration for a GPO.
Запрет применения политик ограниченного использования программ к локальным администраторам To prevent software restriction policies from applying to local administrators
Откройте окно «Политики ограниченного использования программ». Open Software Restriction Policies.
В области сведений дважды щелкните элемент Применение. In the details pane, double-click Enforcement.
В разделе Применять политики ограниченного использования программ к следующим пользователям выберите вариант всех пользователей, кроме локальных администраторов. Under Apply software restriction policies to the following users, click All users except local administrators.
- Чтобы выполнить эту процедуру, вы должны быть членом локальной группы Администраторы или аналогичной. Membership in the local Administrators group, or equivalent, is the minimum required to complete this procedure.
- Может понадобиться создать новый параметр политики ограниченного использования программ для объекта групповой политики, если это еще не сделано. It may be necessary to create a new software restriction policy setting for the Group Policy Object (GPO) if you have not already done so.
- Если на компьютерах организации пользователи часто входят в локальную группу «Администраторы», то этот параметр можно не включать. If it is common for users to be members of the local Administrators group on their computers in your organization, you may not want to enable this option.
- Если параметр политики ограниченного использования программ определяется для локального компьютера, то эта процедура предотвращает применение политик ограниченного использования программ к локальным администраторам. If you are defining a software restriction policy setting for your local computer, use this procedure to prevent local administrators from having software restriction policies applied to them. Если параметр политики ограниченного использования программ определяется для сети, отфильтруйте параметры политики пользователей в зависимости от членства в группах безопасности с помощью групповой политики. If you are defining a software restriction policy setting for your network, filter user policy settings based on membership in security groups through Group Policy.
Изменение уровня безопасности по умолчанию для политик ограниченного использования программ To change the default security level of software restriction policies
Откройте окно «Политики ограниченного использования программ». Open Software Restriction Policies.
В области сведений дважды щелкните элемент Уровни безопасности. In the details pane, double-click Security Levels.
Щелкните правой кнопкой мыши уровень безопасности, который следует установить по умолчанию, и выберите команду По умолчанию. Right-click the security level that you want to set as the default, and then click Set as default.
В некоторых каталогах задание уровня безопасности Запрещено в качестве уровня по умолчанию может отрицательно сказаться на работе операционной системы. In certain directories, setting the default security level to Disallowed can adversely affect your operating system.
- Для выполнения этой процедуры требуются различные административные учетные данные в зависимости от среды, в которой изменяется уровень безопасности по умолчанию для политик ограниченного использования программ. Different administrative credentials are required to perform this procedure, depending on the environment for which you change the default security level of software restriction policies.
- Может понадобиться создать новый параметр политики ограниченного использования программ для данного объекта групповой политики, если это еще не сделано. It may be necessary to create a new software restriction policy setting for this Group Policy Object (GPO) if you have not already done so.
- В области сведений текущий уровень безопасности по умолчанию обозначается черным кружком с отметкой. In the details pane, the current default security level is indicated by a black circle with a check mark in it. Если щелкнуть правой кнопкой мыши текущий уровень безопасности по умолчанию, то в меню не появится команда По умолчанию. If you right-click the current default security level, the Set as default command does not appear in the menu.
- Чтобы задать исключения для уровня безопасности по умолчанию, создаются правила политики ограниченного использования программ. Software restriction policies rules are created to specify exceptions to the default security level. Если уровень безопасности по умолчанию имеет значение Не ограничено, то в правилах можно указывать программное обеспечение, запуск которого не разрешается. When the default security level is set to Unrestricted, rules can specify software that is not allowed to run. Если уровень безопасности по умолчанию имеет значение Запрещено, то в правилах можно указывать программное обеспечение, запуск которого разрешается. When the default security level is set to Disallowed, rules can specify software that is allowed to run.
- Во время установки в политиках ограниченного использования программ для всех файлов в системе задается уровень безопасности по умолчанию Не ограничено. At installation, the default security level of software restriction policies on all files on your system is set to Unrestricted.
Применение политик ограниченного использования программ к библиотекам DLL To apply software restriction policies to DLLs
Откройте окно «Политики ограниченного использования программ». Open Software Restriction Policies.
В области сведений дважды щелкните элемент Применение. In the details pane, double-click Enforcement.
В разделе Применять политики ограниченного использования программ к следующим объектам выберите вариант ко всем файлам программ. Under Apply software restriction policies to the following, click All software files.
- Для выполнения данной процедуры необходимо входить в группу «Администраторы» на локальном компьютере или получить соответствующие полномочия путем делегирования. To perform this procedure, you must be a member of the Administrators group on the local computer, or you must have been delegated the appropriate authority. Если компьютер присоединен к домену, эту процедуру могут выполнять члены группы «Администраторы домена». If the computer is joined to a domain, members of the Domain Admins group might be able to perform this procedure.
- По умолчанию политики ограниченного использования программ не проверяют библиотеки динамической компоновки (DLL). By default, software restriction policies do not check dynamic-link libraries (DLLs). Проверка библиотек DLL может понизить производительность системы, поскольку политики ограниченного использования программ должны вычисляться при каждой загрузке библиотеки DLL. Checking DLLs can decrease system performance, because software restriction policies must be evaluated every time a DLL is loaded. Однако проверку библиотек DLL можно выполнять, если есть опасность заражения вирусом, затрагивающим библиотеки DLL. However, you may decide to check DLLs if you are concerned about receiving a virus that targets DLLs. Если уровень безопасности по умолчанию имеет значение Запрещено и включена проверка библиотек DLL, то необходимо создать правила политик ограниченного использования программ, которые разрешают выполнение каждой библиотеки DLL. If the default security level is set to Disallowed, and you enable DLL checking, you must create software restriction policies rules that allow each DLL to run.