Блокировка установки/запуска приложений с помощью AppLocker
Рассмотрим ситуацию: У Вас есть «терминальный» сервер, на котором сидят люди с тонких клиентов. Мы для них все настроили, в том числе и браузер, и хотим, чтобы они все пользовались 1 браузером. Но они начинают ставить себе Хром, Яндекс, и упаси Боже — Амиго… А они ставятся не в \Program Files, а в профиль пользователю…
В данной статье рассмотрим, как же можно стандартными средствами Windows запретить пользователю устанавливать приложения, которые ставятся в папку с профилем пользователя, такие как Yandex браузер, Амиго, спутник Mail и т.п.
Для начала идем в «Панель управления» во вкладку «Администрирование»
Открываем «Службы» и находим службу «Удостоверение приложения»
Открываем свойства данной службы
По «умолчанию» она остановлена и стоит «Запуск — вручную»
Нам необходимо установить «Запуск — автоматически» и нажать кнопку «Запустить»
СЛУЖБА «УДОСТОВЕРЕНИЕ ПРИЛОЖЕНИЯ» НЕ ЗАПУСКАЕТСЯ
Для работы Applocker должна быть запущена служба «Удостоверение приложений» (Application Identity) — режим запуска: автоматически, состояние: запущена. Если сделать этого не получается (Отказано в доступе), необходимо в реестре поменять значение параметра Start на 2
- Откройте редактор реестра (Windows + R > regedit)
- Перейдите к HKLM\SYSTEM\CurrentControlSet\Services\AppIDSvc
- Поменяйте значение Start на 2.
После этого правила Applocker будут отрабатывать корректно
Теперь снова возвращаемся в «Администрирование» и открываем «Локальная политика безопасности»
- В открывшемся окне идем в «Политики управления приложениями -> AppLocker -> Исполняемые правила»
- Запускаем на компьютере gpedit.msc и переходим в раздел “Политика компьютера” — “ Конфигурация Windows” — “Параметры безопасности” — “Политики управления приложениями” — “AppLocker”. Нажимаем на Настроить применение правил.
У Вас «по умолчанию» там будет пусто
Не забываем во всех разделах AppLocker создать правила по умолчанию!
Справа в свободном месте нажимаем правой кнопкой мыши и выбираем «Создать правило…»
Нас приветствует «Мастер создания новых правил», Нажимаем «Далее»
Выбираем, что мы хотим сделать, разрешить или запретить. Выбираем «Запретить«.
Далее можем оставить по умолчанию «Все», или выбрать конкретную группу или пользователя.
После нажимаем «Далее»
В данном окне есть несколько типов правил, я пользуюсь правилом «Издатель» и нажимаем «Далее»
Тут выбираем файл, установщик которого мы хотим запретить
Для примера я выбрал установщик Яндекс.Браузера
Слева видим ползунок, которым можно ограничивать, выполнять все условия или поднимая выше — уменьшать кол-во проверок. Поиграйтесь ползунком — поймете что он ограничивает.
После того, как выбрали подходящий Вам вариант — нажимаем «Далее»
Тут можно добавить исключение. Я им не пользовался.
Ну к примеру вы запретили установку любого ПО от производителя «Яндекс», но хотите чтобы было разрешено «Яндекс.Панель», тогда необходимо добавить его в исключение кнопкой «Добавить…», как все сделали — нажимаем «Далее»
Теперь нам осталось только дать имя нашему правилу и его описание (не обязательно). После чего нажимаем кнопку «Создать»
Все! Наше правило готово. Чтобы оно немедленно вступило в силу — предлагаю обновить правила политики для ПК и Пользователя.
Для этого открываем командную строку (пуск -> выполнить -> cmd или PowerShell) и пишем gpupdate /force
Дожидаемся обновления политик и можем тестировать.
Так как я применял политику только на группу «Пользователи домена», на меня она не распространяется, но если запустить установку Яндекс.Браузера от имени обычного пользователя, то мы увидим вот такую ошибку:
Значит мы все настроили верно. Вот и все.