Конфигурация шлюза приложений групповой политики

В этом учебном пособии будет показано, как настроить приложение для приложений групповой политики на сервере Windows 2012.

В этом руководстве будет показано, как заблокировать установку или выполнение всех приложений.

В этом руководстве вы узнаете, как разрешить запуск определенного приложения.

Это поможет вашей компьютерной среде в соответствии с международными сертификатами информационной безопасности, такими как ISO 27001.

Контроллер домена работает под управлением Windows 2012 R2.

На компьютерах домена работают Windows 7 и Windows 10.

Хранитель приложений будет работать в Windows Enterprise или Ultimate.

Закладок приложений не будет работать на профессиональном выпуске Windows.

Список оборудования:

В следующем разделе представлен список оборудования, используемого для создания этого учебника Windows.

Все перечисленные выше аппаратные средства можно найти на веб-сайте Amazon.

Связанный с Windows учебник:

На этой странице мы предлагаем быстрый доступ к списку руководств, связанных с Windows.

Учебное пособие - создание объекта групповой политики Application Locker

На контроллере домена, работающем под управлением Windows 2012 R2 с Active Directory, были выполнены следующие задачи.

Нажмите на меню «Пуск», найдите и откройте инструмент «Управление групповыми политиками».

На экране «Управление групповыми политиками» найдите папку «Объекты групповой политики».

Щелкните правой кнопкой мыши папку «Объекты групповой политики» и выберите «Создать».

Введите имя для новой политики.

В нашем примере новый объект групповой политики был назван: ПОЛИТИКА ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ.

На экране «Управление групповыми политиками» разверните папку «Объекты групповой политики».

Щелкните правой кнопкой мыши свой новый объект групповой политики и выберите параметр «Редактировать».

На экране редактора групповой политики вам будут представлены конфигурации пользователя и конфигурации компьютера.

Мы изменим только конфигурацию компьютера.

Нам не нужно изменять какую-либо конфигурацию пользователя.

Во-первых, нам нужно настроить службу Windows с именем Application Identity для автоматического запуска.

На экране редактора групповой политики разверните папку Конфигурация компьютера и найдите следующий элемент.

• Конфигурация компьютера> Параметры Windows> Параметры безопасности> Системные службы

Справа будет представлен список доступных сервисов для Windows.

Дважды щелкните элемент конфигурации с именем Application Identity.

На экране элемента конфигурации вам нужно выбрать параметр «Автоматически».

Для того чтобы шкафчик приложений работал на компьютерах домена, необходимо запустить службу идентификации приложения.

Учебное пособие - настройка объекта групповой политики Application Locker

На экране редактора групповой политики разверните папку Конфигурация компьютера и найдите следующий элемент.

• Конфигурация компьютера> Параметры Windows> Параметры безопасности> Политики управления приложениями> AppLocker

Справа будут представлены элементы конфигурации, доступные для политики Application locker.

Нажмите элемент конфигурации с именем Configure Rule.

Появится окно свойств Applocker.

Включите правила Executable и выберите параметр Enforce rules.

Включите правила установщика Windows и выберите параметр Enforce rules.

Включите правила Packaged App и выберите параметр Enforce rules.

Нажмите кнопку OK.

Затем нам нужно создать правила программного обеспечения по умолчанию.

Щелкните правой кнопкой мыши на политике правил исполняемых файлов и выберите параметр «Создать правила по умолчанию».

Чтобы завершить создание групповой политики, вам необходимо закрыть окно редактора групповой политики.

Только когда вы закроете окно групповой политики, система сохранит вашу конфигурацию.

В исполняемых стандартах по умолчанию указано следующее:

Каждый EXE-файл внутри папки Windows разрешен.

Каждому файлу EXE внутри папки файлов программы разрешено выполнять.

Участникам группы «Администраторы» разрешено выполнять любой EXE-файл.

Чтобы разрешить другое приложение, щелкните правой кнопкой мыши по правилам Исполняемые файлы и выберите параметр Создать новый вариант.

Щелкните правой кнопкой мыши по правилам установщика Windows и выберите параметр «Создать параметры по умолчанию».

Чтобы разрешить другое приложение, щелкните правой кнопкой мыши по правилам установщика Windows и выберите параметр Создать новый вариант.

Щелкните правой кнопкой мыши по правилам приложения «Пакет» и выберите параметр «Создать параметры по умолчанию».

Чтобы завершить создание групповой политики, вам необходимо закрыть окно редактора групповой политики.

Только когда вы закроете окно групповой политики, система сохранит вашу конфигурацию.

Учебное пособие - Применение объекта групповой политики Application Locker

Вы завершили создание объекта групповой политики Application locker.

Но вам все равно нужно включить использование новой групповой политики.

На экране управления политиками группы необходимо щелкнуть правой кнопкой мыши желаемый организационный блок и выбрать опцию для связывания существующего объекта групповой политики.

В нашем примере мы собираемся связать групповую политику с именем SOFTWARE POLICY с корнем нашего домена с именем TECH.LOCAL.

После применения объекта групповой политики вам нужно подождать 10 или 20 минут.

В течение этого времени объект групповой политики будет реплицироваться на другие контроллеры домена, которые у вас могут быть.

После ожидания 20 минут вы должны перезагрузить компьютер пользователя.

Во время загрузки компьютер получит и применит копию новой групповой политики.

Чтобы проверить конфигурацию, вам нужно зайти на компьютер домена, загрузить любое программное обеспечение и попытаться запустить его.

Ваш компьютер должен автоматически блокировать любое приложение, которое специально не разрешено для запуска объекта групповой политики.