Настройки конфигурации управления исполняемыми файлами

Узел "Настройки конфигурации управления исполняемыми файлами" содержит пять вкладок: "Доверенные владельцы", "Параметры", "Проверка", "Прекращение приложения" и "Ограничения доступа".

В этом разделе:

Доверенные владельцы

Параметры

Проверка

Прекращение работы приложения

Время доступа

Доверенные владельцы

Перейдите на вкладку Настройки конфигурации > Управление исполняемыми файлами > Доверенные владельцы.

Включить проверку доверенного владения - выберите для включения функции проверки доверенного владения. Установлено по умолчанию.

Изменить владение файлом, когда он перезаписан или переименован - выберите для изменения владения любого доверенного файла, который был перезаписан недоверенным пользователем, которого нет в списке доверенных владельцев.

После переименования запрещенного файла ненадежным пользователем во время попытки обойти правило проверки запрещенных элементов владение будет передано ненадежному пользователю. После изменения владения проверка функцией доверенного владения запретит запуск файла.

Внимание! Не удаляйте всех доверенных владельцев. Это приведет к тому, что все приложения в системе перестанут быть доверенными, и обычные пользователи потеряют возможность запуска файлов.

Когда установлен параметр Изменить владение файла после его перезаписи или переименования, Управление приложениями избирательно изменяет владение файла NTFS для исполняемых файлов после их перезаписи или переименования.

Попытки перезаписать файл пользователем, который не является доверенным владельцем, могут быть разрешены доверенным владением или правилом разрешенных элементов, но могут представлять собой угрозу безопасности в случае изменения содержимого файла. Управление приложениями изменяет владение перезаписанного файла для выполнившего действие пользователя, отменяя доверие файла и обеспечивая безопасность системы.

Аналогично, попытки переименовать запрещенный файл и назначить ему имя разрешенного элемента также могут представлять угрозу безопасности. Управление приложениями также меняет владение этими файлами для пользователя, который выполняет действие переименования, и гарантирует отсутствие доверия файлов.

Действия перезаписи и переименования подвергаются аудиту.

Добавление доверенного владельца

1.На вкладке Настройки конфигурации > Управление исполняемыми файлами > Доверенные владельцы нажмите правой кнопкой мыши в рабочей области и выберите Добавить.

2.Отобразится диалог "Добавить доверенных владельцев".

3.Введите или выберите имя пользователя для добавления.

4.Нажмите Добавить. Теперь пользователь добавлен в список вместе с уникальным SID.

Тест доверенного владения

Краткий тест для демонстрации работы функций доверенного владения:

  1. Укажите одно или несколько приложений, используя тестовую учетную запись пользователя.
  2. Скопируйте одно или несколько приложений на "домашний" диск пользователя или в другое подходящее место, например, файл calc.exe из папки System32 или скопируйте файл с компакт-диска.
  3. Попытайтесь запустить скопированный файл. Приложение будет запрещено, так как файлы принадлежат тестовому пользователю, который не входит в список доверенных владельцев.

Вы можете подтвердить права на файл, открыв диалог "Свойства" с помощью проводника Windows.

Параметры

В следующей таблице перечислены все возможные параметры и их описания:

Параметр Описание
Сделать локальные диски разрешенными по умолчанию Установите этот параметр для помещения конфигураций Управление приложениями в список запрещений. Все находящееся на локальном диске разрешено, если не указано в списке запрещенных элементов или не пройдет проверку доверенного владения. Отмените выбор этого параметра для помещения конфигурации в список разрешений. Все находящееся на локальном диске блокируется, если не указано в списке разрешенных элементов.

Использование конфигурации со списком разрешений является наиболее безопасным. Однако этот тип конфигурации занимает много времени и может повлиять на стабильность работы клиентов, поскольку все неуказанные приложения будут блокироваться.

Разрешить использование cmd.exe для пакетных файлов Ожидается, что администраторы могут явно запрещать использование cmd.exe в своих конфигурациях Управление приложениями. Когда программа cmd.exe запрещена, и параметр Разрешить использование cmd.exe для пакетных файлов не установлен, файлы командных файлов будут оцениваться и блокироваться, если они не пройдут проверку политики Управление приложениями. Если этот параметр не установлен, и приложение cmd.exe запрещено явно, все командные файлы будут блокироваться без выполнения оценки. Если этот параметр установлен, а приложение cmd запрещено явно, команда cmd.exe по-прежнему не может запускаться сама по себе, однако командные файлы будут оцениваться с помощью правил Управление приложениями. Если файл cmd.exe не запрещен явно, все командные файлы будут выполняться независимо от того, установлен этот параметр или нет.
Игнорировать ограничения во время входа Во время входа на компьютере может быть запущен ряд важных приложений. Их блокировка может привести к неверной работе или полному прекращению работы компьютера. Следовательно, этот параметр установлен по умолчанию.
Извлекать самораспаковывающиеся файлы ZIP Самораспаковывающийся файл - это исполняемый файл, содержащий файл ZIP и небольшую программу для его распаковки. Эти файлы иногда используются в качестве альтернативы установке приложений с помощью файлов MSI. Некоторые администраторы предпочитают установку приложений только с помощью файлов MSI.

Поддерживаются только самораспаковывающиеся файлы EXE со спецификацией ZIP. Для получения дополнительной информации см. раздел Спецификации ZIP

Параметр Извлекать самораспаковывающиеся файлы ZIP позволяет использовать запрещенный исполняемый файл, который представляет собой самораспаковывающийся ZIP-архив, извлекаемый ZIP-распаковщиком. Если этот параметр не установлен (по умолчанию), файл является объектом обработки обычными правилами, хотя и является исполняемым файлом. После извлечения данных любой, входящий в архив исполняемый файл, все еще является объектом проверок доверенного владения и не будет выполняться, если пользователь не является его доверенным владельцем. Это полезно для сценариев, когда самораспаковывающийся файл ZIP может содержать данные без возможности самораспаковки, такие как необходимые пользователю документы. По умолчанию этот параметр не установлен, и самораспаковывающийся файл ZIP рассматривается как стандартный исполняемый файл, который может быть запрещен для выполнения (и, соответственно, извлечение его содержимого) во время обычной обработки правила.
Игнорировать ограничения во время активной установки По умолчанию все приложения, которые выполняются во время активной настройки, подчиняются установленным правилам Управление приложениями. Установите этот параметр, чтобы эти приложения не проверялись правилами на этапе активной настройки..
Запретить файлы на съемных носителях Отмените установку этого параметра для удаления ограничений на съемном носителе. Сменный носитель - это носитель, определяемый вызовом GetDriveType. В связи с природой съемного носителя буква диска может быть изменена в зависимости от настройки конечной системы. Например: на одном компьютере съемный носитель может быть идентифицирован как диск E:, а на другом - F:
Запретить файлы сетевых ресурсов Конфигурация по умолчанию для общих сетевых ресурсов - это список разрешений, означающий, что все находящееся на общем сетевом ресурсе будет запрещено, пока не будет указано в списке Разрешенные элементы. Отмените выбор этого параметра, чтобы создать конфигурацию списка запрещений, и все на общем сетевом ресурсе было разрешено, если только не будет указано в списке Запрещенные элементы.

Проверка

В следующей таблице перечислены все параметры проверки вместе с описаниями.

Параметр Описание
Проверять системные процессы Установите этот параметр для проверки любых файлов, выполняемых пользователем системы. Имейте в виду, что не рекомендуется устанавливать этот параметр, так как он увеличивает объем проверки, выполняющейся на конечной системе, и может блокировать работу важных приложений. Установка этого параметра означает, что все исполняемые файлы запускаются в системе только на условиях правила проверки.
Проверять сценарии WSH (Windows Script Host) Установка этого параметра указывает, что данные командных строк сценариев, запущенных с помощью wscript или cscript, должны проверяться с использованием правил.

В сценариях могут скрываться вирусы и вредоносный код. Рекомендуется выполнять проверку сценариев WSH.

Проверять пакеты MSI (установщик Windows) Файлы MSI представляют стандартный способ установки приложений Windows. Рекомендуется запретить пользователям свободно устанавливать приложения MSI. Установка этого параметра означает, что все файлы MSI будут проверяться правилом. Отмена установки этого параметра означает, что только сам установщик Windows, msiexec.exe, проверяется во время обработки правил Управление приложениями, а не файл *.MSI, который он пытается запустить.
Проверять файлы реестра Выберите этот параметр для включения правила проверки для файлов regedit.exe и regini.exe. Отмена установки этого параметра означает, что файлы regedit.exe и regini.exe более не блокируются по умолчанию. Кроме того, сценарий .reg и файлы regedit.exe, и regini.exe, для которых выполняется попытка запуска, более не проверяются правилами Управление приложениями.

Не рекомендуется давать пользователям доступ к реестру или файлам реестра.

Проверять сценарии PowerShell После включения эта настройка запрещает использование файлов powershell.exe и powershell_ise.exe. Однако, если в командной строке будет обнаружен сценарий PowerShell (файл PS1), тогда будет выполнена полная проверка правил для идентификации их самоповышения, разрешений и запрещений.
Проверять архивы Java После включения эта настройка запрещает использование файлов java.exe и javaw.exe. Однако, если в командной строке будет обнаружен архив Java (файл JAR), тогда будет выполнена полная проверка правил для идентификации их разрешений и запрещений.

Прекращение работы приложения

Функция прекращения работы приложений позволяет вам управлять переключателями и действиями для прекращении работы приложений на управляемых конечных системах. Вы можете аккуратно выполнять прекращение работы приложений, позволяя пользователю сохранить свою работу перед закрытием, или просто выполнить принудительное завершение работы.

Функция прекращения работы приложений выключена по умолчанию. Для включения функции выберите Включить функцию прекращения работы приложений на вкладке "Настройки конфигурации > Управление исполняемыми файлами > Прекращение работы приложения".

Переключатели, используемые для прекращения работы приложений, содержат следующее:

Применена новая конфигурация

IP-адрес компьютера изменен

Подключаемое устройство изменено

После активации переключателя процессы оцениваются в соответствии с правилами для определения необходимости завершения работы приложения. Правила уровней "Самоавторизация" и "Только аудит" не оцениваются, поскольку правила самоавторизации дают пользователю возможность принимать решения в отношении управления приложениями, а правила "Только аудит" не используют управление Управление приложениями.

Конфигурация переключателей для прекращения работы приложения

Параметр Описание
Применена конфигурация Выберите для прекращения работы приложения в соответствии с примененной конфигурацией.
IP-адрес компьютера изменен Выберите для прекращения работы приложения, когда IP-адрес компьютера изменен, например, при перемещении из безопасной в небезопасную среду. См. пример.
Подключаемое устройство изменено

Выберите для прекращения работы приложения, когда подключение устройства изменилось, например, после изменения настольного ПК на ноутбук в одном сеансе.

Пример: IP-адрес компьютера изменен

Используйте функцию прекращения работы приложения для останова его работы после изменения его IP-адреса. Например, если IP-адрес находится вне диапазона IP-адресов компании.

Конфигурация действий, которые нужно выполнить при завершении работы приложения

Параметр Описание
Показывать начальное предупредительное сообщение

Отображает начальное предупреждающее сообщение, информирующее пользователя о том, что запрещенное приложение будет закрыто, и необходимо сохранить работу. Время для закрытия может быть указано с помощью параметра Ожидать сек. для... . Используйте вместе в параметрами "Закрыть приложение" и "Прекратить работу приложения". Если вы не используете эту функцию вместе с данными параметрами, будет отображено сообщение, а запрещенное приложение закрыто не будет.

Закрыть приложение Закрывает приложение после начального предупреждения, давая пользователю время сохранить свою работу.
Прекратить работу приложения Прекращает работу запрещенного приложения, не предупреждая пользователя.
Ожидать секунд между каждым действием Определяет период времени (в секундах) между действиями, а также время между закрытием и прекращением работы. Максимальный период: 120 сек.

Время доступа

Если приложение превысило разрешенное время доступа, вы можете указать, какое действие необходимо предпринять; например, вы можете указать, разрешено ли пользователю сохранить свою работу перед закрытием приложения, или просто закрыть приложение после отображения предупреждения:

Показывать начальное предупреждение - выберите для отображения начального предупреждения пользователя, когда приложение превысит лимит отведенного времени. Как правило, это дает пользователю время сохранить свою работу и закрыть приложение. Используйте вместе в параметрами "Закрыть приложение" и "Прекратить работу приложения". Если вы не используете эту функцию вместе с данными параметрами, будет отображено только сообщение, а приложение закрыто не будет.

Закрыть приложение - выберите для отправки сообщения о закрытии приложения. Когда большинство приложений получают сообщение о закрытии, они автоматически дают пользователю возможность сохранить свою работу. Выберите вместе с параметром "Показать начальное предупредительное сообщение".

Прекратить работу приложения - прекращение работы приложения без возможности для пользователя сохранения работы. Обычно это используется после отправки приложением сообщения о прекращении работы, но само прекращение завершилось ошибкой. Укажите, нужно ли выбирать параметр "Показывать начальное предупреждение", или приложение будет закрыто.

Ожидать секунд между каждым действием - укажите число секунд ожидания между каждым выбранным вариантов прекращения. Например, если пользователь выберет все три варианта прекращения и затем укажет, 20 секунд, предупредительное сообщение будет отображаться через 20 секунд с последующим закрытием диалога сообщения и еще через 20 секунд самого приложения. Значение по умолчанию — 60 сек.

Время доступа может быть указано для Разрешенные элементы - файлов, папок и хешей файлов.

Родственные темы

Об управлении исполняемыми файлами

Настройки конфигурации приложения Application Control

Коллекции правил

Наборы правил

Разрешенные элементы