Перейти до основного контенту
Гіди та керівництва

Налаштування AppLocker у Windows Server 2016 за допомогою GPO

6 хв читання
602 переглядів

AppLocker-це інструмент безпеки в операційній системі Windows Server 2016, який дозволяє обмежити виконання програм і файлів на комп'ютерах і серверах в межах організації. З його допомогою можна більш гнучко управляти доступом до додатків і даних, що підвищує рівень безпеки і запобігає небажані інциденти.

Налаштування AppLocker з використанням групової політики (GPO) – це один з найбільш зручних і надійних способів контролю виконання програм і файлів. GPO дозволяє централізовано керувати правилами безпеки на декількох комп'ютерах і серверах в доменній мережі.

Для початку Налаштування AppLocker за допомогою GPO потрібно виконати кілька кроків. По-перше, потрібно створити і налаштувати GPO в домені. Потім слід створити правила для AppLocker, які визначають, які програми та файли користувачі зможуть виконувати на своїх комп'ютерах. Після цього необхідно застосувати GPO до необхідних організаційних підрозділів (OU), щоб правила AppLocker почали діяти.

Важливо: перед початком Налаштування AppLocker рекомендується провести попереднє тестування на невеликій групі комп'ютерів або серверів з метою перевірки правил і запобігання можливих збоїв.

AppLocker-це потужний інструмент безпеки, який здатний істотно посилити захист операційної системи Windows Server 2016. Завдяки налаштуванню AppLocker з використанням GPO, ви зможете ефективно контролювати доступ до додатків і даних у вашій організації, що підвищить загальний рівень безпеки і захистить ваші системи від загроз і порушень.

Що таке AppLocker?

AppLocker забезпечує додатковий рівень захисту, дозволяючи обмежити виконання певних додатків в мережевому середовищі. Воно дозволяє визначити правила використання додатків на основі різних атрибутів, таких як ім'я файлу, шлях до файлу, цифровий підпис, видавець і версія програми.

Використання AppLocker дозволяє знизити ризик шкідливих програм і неавторизованих додатків, які можуть бути використані зловмисниками для отримання несанкціонованого доступу до системи або мережі.

За допомогою AppLocker адміністратори можуть створювати різні політики для різних груп користувачів або комп'ютерів, тим самим контролюючи доступ до конкретних програм і програм.

Під час налаштування AppLocker за допомогою групових політик адміністратори мають гнучкі варіанти управління доступом до програм, встановлюючи дозволи на основі різних факторів, таких як ідентифікатори користувача, імена груп та час.

Переваги Налаштування AppLocker у Windows Server 2016 за допомогою GPO

Налаштування AppLocker в Windows Server 2016 за допомогою GPO (Group Policy Objects) надає кілька переваг, які роблять цей процес більш ефективним і зручним:

  1. Централізована настройка: GPO дозволяє адміністраторам налаштовувати правила AppLocker для всієї мережі з єдиного центрального місця. Це полегшує управління налаштуваннями безпеки та забезпечує рівномірний підхід до контролю доступу до додатків.
  2. Гнучкість налаштувань: GPO дозволяє адміністраторам створювати різні набори правил AppLocker для різних груп користувачів або комп'ютерів у мережі. Це дозволяє застосовувати більш суворі правила для критичних систем і менш обмежувальні правила для інших систем.
  3. Спрощене оновлення правил: GPO дозволяє адміністраторам легко змінювати та оновлювати правила AppLocker для всієї мережі. Це дозволяє швидко реагувати на нові загрози і забезпечувати актуальний захист додатків.
  4. Легкість масштабування: За допомогою GPO адміністратори можуть керувати правилами AppLocker для великої кількості комп'ютерів та користувачів. Це дозволяє масштабувати налаштування безпеки відповідно до потреб мережі.
  5. Логування та звітність: GPO дозволяє вести логування активності AppLocker і генерувати звіти про блокування і дозволи додатків. Це дозволяє адміністраторам відстежувати та аналізувати потенційно небезпечні ситуації.

Naстройка AppLocker за допомогою GPO є потужним і ефективним інструментом в забезпеченні безпеки додатків в Windows Server 2016. Вона пропонує централізоване управління, гнучкість налаштувань, просте оновлення правил, легкість масштабування і можливість ведення логування та звітності. В результаті, вона допомагає утримувати несприятливі ситуації під контролем і забезпечує надійний захист від потенційно шкідливих додатків.

Настройка

Для початку Налаштування AppLocker в Windows Server 2016 за допомогою GPO, необхідно виконати наступні кроки:

  1. Відкрийте Group Policy Management Console (консоль управління політиками груп) на сервері.
  2. Виберіть домен, де ви хочете налаштувати AppLocker.
  3. Клацніть правою кнопкою миші на папці " Group Policy Objects "(об'єкти групової політики) і виберіть" New " (новий).
  4. Введіть назву політики та натисніть "OK".
  5. Клацніть правою кнопкою миші на щойно створеної політиці і виберіть "Edit" (змінити).
  6. Перейдіть до" Computer Configuration "(конфігурація комп'ютера) - > " Policies "(політики) - > " Windows Settings "(Налаштування Windows) - > " Security Settings "(Налаштування безпеки) - > "application Control Policies" (політики управління додатками).
  7. Клацніть правою кнопкою миші на " AppLocker "і виберіть" Properties " (властивості).
  8. Увімкніть "Configure rule enforcement" (налаштувати застосування правил).
  9. Виберіть режим застосування правил: "enforce rules "(застосовувати правила) або" Audit only " (тільки аудит).
  10. Натисніть " OK " для збереження налаштувань.

Тепер AppLocker буде налаштований відповідно до вибраних правил у цій груповій політиці. Після застосування політики, додатки будуть виконуватися відповідно до правил, визначених в AppLocker.

Крок 1: Підготовка групової політики

Перед налаштуванням AppLocker на сервері Windows Server 2016 за допомогою GPO, необхідно виконати наступні кроки:

1. Запустіть "Груповий політичний об'єкт", щоб створити та налаштувати нову групову політику.

2. У лівій панелі виберіть "конфігурація Комп'ютера"та" параметри Windows".

3. Виберіть "політика безпеки"та" Правила AppLocker".

4. У правій панелі клацніть правою кнопкою миші та виберіть "налаштувати правила AppLocker".

5. Створіть нове правило групової політики, яке визначатиме, які програми будуть дозволені, заборонені або обмежені.

6. Встановіть необхідні параметри для кожного правила, вказавши шляхи до файлів, хеші або параметри віртуального продукту.

7. Перевірте налаштування AppLocker, запустивши програми та переконавшись, що правила застосовуються правильно.

Після завершення цих кроків ви будете готові використовувати AppLocker для управління програмами та файлами на сервері Windows Server 2016 за допомогою групової політики.

Крок 2: Створення правил AppLocker

Після того, як ви налаштували AppLocker у Windows Server 2016, потрібно створити правила, які обмежують доступ до певних програм та файлів на комп'ютері.

Щоб створити правила AppLocker, виконайте такі дії:

  1. Відкрийте консоль групових політик (Group Policy Management).
  2. Виберіть групову політику, яку ви хочете змінити.
  3. Клацніть правою кнопкою миші на вибраній груповій політиці і виберіть пункт "Редагувати".
  4. У вікні редактора групових політик перейдіть в розділ "Комп'ютерні конфігурації" – "параметри Windows" – "обмеження програмного доступу" – "AppLocker".
  5. У цьому розділі ви можете створити правила AppLocker для обмеження доступу до програм та файлів.
  6. Щоб створити нове правило, виберіть пункт " Створити нове правило. ".
  7. Виберіть тип правила (додаток, скрипт, пристрій або друк) і вкажіть відповідні умови для дозволу або заборони доступу.
  8. Після створення правила збережіть зміни та закрийте редактор групових політик.

Після створення правил AppLocker вони застосовуватимуться до комп'ютерів, на яких встановлена налаштована групова політика. Таким чином, ви зможете контролювати доступ до програм і файлів у вашій мережі.

Крок 3: Призначення правил групам користувачів

Для призначення правил групам користувачів скористайтеся груповими політиками (GPO) в Active Directory. У GPO можна вказати, які правила повинні застосовуватися до певних груп користувачів.

Щоб призначити правила групі користувачів, виконайте наступні кроки:

  1. Відкрийте GPO об'єкт, який застосовуватиметься до груп користувачів, для яких ви хочете налаштувати AppLocker.
  2. Перейдіть до розділу" конфігурація Комп'ютера " > "параметри Windows" > "політика безпеки" > "Правила AppLocker".
  3. Клацніть правою кнопкою миші на порожньому місці у вікні праворуч і виберіть "Створити правило".
  4. У діалоговому вікні "Створити правило" вкажіть шлях до правила, яке ви хочете призначити групі користувачів. Можна вказувати шлях до файлу, хеш файлу або шлях до папки.
  5. Виберіть групу користувачів, до якої потрібно застосувати правило, і натисніть "Додати".
  6. Повторіть кроки 4-5 для всіх правил, які ви хочете призначити групі користувачів.
  7. Збережіть зміни та закрийте діалогове вікно.

Після налаштування GPO з правилами AppLocker вони застосовуватимуться до зазначених груп користувачів під час наступного входу в систему.

Важливо!
Переконайтеся, що GPO, що містять правила AppLocker, застосовуються лише до цільових груп користувачів. Інакше правила можуть бути застосовані до небажаних користувачів, що може привести до блокування доступу до необхідних їм файлів і додатків.

Конфігурація

Щоб налаштувати AppLocker у Windows Server 2016 за допомогою GPO, потрібно виконати наступні кроки:

  1. Відкривши Групові політики на центральному контролері домену (Active Directory).
  2. Створити нову ГПО або відредагувати вже існуючу.
  3. Перейти в розділ Конфігурація комп'ютера ->Параметри Windows ->Параметри безпеки ->AppLocker.
  4. Увімкнути параметр Усунути всі попередні параметри для політики AppLocker.
  5. Налаштувати правила AppLocker, вказавши дозволені і заборонені додатки. Наприклад, можна створити правило дозволяє запустити тільки певні додатки, або заборонити запуск певних додатків.
  6. Застосувати ГПО на потрібні комп'ютери або групи комп'ютерів.
  7. Оновити групові політики на комп'ютерах за допомогою команди gpupdate /force.

Таким чином, після виконання зазначених кроків, настройка AppLocker буде застосовуватися до всіх вказаних комп'ютерів в домені.