Spis treści:
Jako administrator ważne jest, aby mieć narzędzia do kontrolowania aplikacji i plików, które użytkownicy mogą uruchamiać. Prawda jest taka, że w codziennym środowisku pracy istnieje wiele aplikacji i typów plików, których pracownicy nie potrzebują, ale stanowią znaczne ryzyko. Jednym z przykładów są skrypty. W rezultacie dzisiaj pokażemy, jak używać funkcji AppLocker do blokowania uruchamiania plików skryptów w systemie Windows 10 lub Windows 11.
AppLocker to wbudowane narzędzie dla systemu Windows 11 lub Windows 10 w przedsiębiorstwie i Education, które umożliwiają specjalistom IT definiowanie aplikacji i typów plików, które użytkownicy mogą, a których nie mogą uruchamiać. Zapewnia prosty interfejs umożliwiający blokowanie działania aplikacji w oparciu o szereg reguł.
Jak używać funkcji AppLocker do blokowania skryptu
Aby blokować skryptu za pomocą funkcji Windows AppLocker, należy zdefiniować nową regułę, aby odmówić tego użytkownikowi lub grupie. Możesz na przykład blokować skrypty dla wszystkich zwykłych użytkowników, ale zezwalać na nie administratorom.
Jak skonfigurować funkcję AppLocker tak, aby zezwalała na uruchamianie plików skryptów lub blokowała je
Zanim zaczniemy dodawać reguły, musimy się upewnić, że usługa identyfikacji aplikacji jest włączona i ustawiona na rozpocząć się automatycznie. Bez tej usługi AppLocker nie będzie w stanie wymusić zdefiniowanych przez Ciebie reguł skryptu i dlatego będzie w zasadzie bezużyteczny. Oto, jak możesz ją włączyć, a następnie zablokować skrypty za pomocą funkcji AppLocker w systemie Windows 11 lub Windows 10.
Otwórz wiersz poleceń jako administrator
Naciśnij „Start”, wpisz „Wiersz poleceń” i wybierz „Uruchom jako administrator” po prawej stronie. Ten krok jest niezbędny do wykonywania poleceń wymagających uprawnień administracyjnych.
Aktywuj usługę tożsamości aplikacji
W otwartym wierszu poleceń włącz usługę tożsamości aplikacji, wpisując polecenie: sc config”AppIDSvc”start=auto & net start „AppIDSvc”. Zapewnia to automatyczne uruchomienie usługi i aktualnie działa, co jest niezbędne do działania funkcji AppLocker.
Uzyskaj dostęp do aplikacji Zasady zabezpieczeń lokalnych
Naciśnij Start i wpisz „secpol.msc”. Kliknij górny wynik, aby uruchomić edytor zasad zabezpieczeń lokalnych.
Przejdź do ustawień egzekwowania reguł AppLocker
W aplikacji Zasady zabezpieczeń lokalnych rozwiń folder Zasady kontroli aplikacji i kliknij „AppLocker”, a następnie wybierz „Konfiguruj egzekwowanie reguł”. Ta czynność powoduje otwarcie ustawień, w których możesz określić, które reguły ma egzekwować funkcja AppLocker.
Włącz reguły skryptów funkcji AppLocker
W oknie Właściwości funkcji AppLocker zaznacz opcję pole obok „Reguły skryptu > Skonfigurowane” i kliknij „OK”. Ten krok umożliwia utworzenie i egzekwowanie reguł specjalnie dla plików skryptów.
Utwórz domyślne reguły skryptu AppLocker
Wróciwszy do głównego interfejsu AppLocker, rozwiń „AppLocker” na pasku bocznym kliknij prawym przyciskiem „Reguły skryptu” i wybierz „Utwórz reguły domyślne”. Ta czynność generuje zestaw domyślnych reguł, które zazwyczaj pozwalają na uruchamianie skryptów z bezpiecznego lokalizacje, takie jak foldery Windows i Program Files.
Sprawdź reguły domyślne
Upewnij się, że reguły domyślne są teraz wymienione w głównym panelu. Powinieneś zobaczyć trzy reguły zezwalające, które pozwalają na uruchamianie skryptów z folderu Windows, folderu Program Files i dla użytkowników administracyjnych. Reguły te stanowią dobry punkt wyjścia do zabezpieczenia wykonania skryptu.
Rozpocznij tworzenie nowej reguły skryptu
Aby dostosować zarządzanie skryptami AppLocker do swoich potrzeb, kliknij ponownie prawym przyciskiem myszy „Reguły skryptu” i wybierz „Utwórz nową regułę…”. Ten krok rozpoczyna proces definiowania niestandardowej reguły blokowania lub zezwalania na skrypty.
Kontynuuj korzystanie z kreatora tworzenia reguły
Na ekranie „Zanim zaczniesz” kreatora nowej reguły , kliknij „Dalej”, aby przejść dalej. Ten ekran zawiera przegląd procesu tworzenia reguły.
Określ zakres reguły
Wybierz, czy chcesz zastosować nową regułę do wszystkich użytkowników, czy do określonego użytkownika lub grupy, klikając „Wybierz…” . Jeśli kierujesz reklamy na określoną grupę demograficzną w swojej organizacji, ten krok pozwala zawęzić zakres stosowania reguły.
Zaawansowany wybór użytkownika lub grupy
Kliknij „Zaawansowane…” w oknie „Wybierz użytkownika lub grupę“, aby uzyskać bardziej zaawansowaną kontrolę kogo dotyczy dana zasada. Ta opcja jest przydatna dla administratorów zarządzających regułami dla dużych organizacji.
Znajdź i wybierz użytkownika lub grupę
Naciśnij „Znajdź teraz”, aby wygenerować listę użytkowników i grup. Z tej listy wybierz użytkownika lub grupę, do której chcesz zastosować regułę, i naciśnij „OK”.
Wybierz użytkownika lub grupę
Po wybraniu odpowiedniego użytkownika lub grupy kliknij „OK”, aby potwierdzić.
Wróć do kreatora
Kliknij „OK“, aby zastosować swój wybór i wrócić do kreatora tworzenia reguły.
Wybierz Działanie reguły
Pod nagłówkiem „Działanie:” wybierz „Zezwól” lub „Odmów” w zależności od tego, czy chcesz zezwolić, czy zablokować wykonanie skryptu dla wybranego użytkownika lub grupy. Następnie naciśnij „Dalej”.
Wybierz warunek reguły
Wybierz „Ścieżka” jako warunek reguły i kliknij „Dalej”. Ten warunek pozwala określić konkretny skrypt lub folder do zablokowania lub zezwolenia.
Określ skrypt lub folder
Aby zablokować określony skrypt , kliknij „Przeglądaj pliki…” i przejdź do skryptu, który chcesz ograniczyć. Alternatywnie, aby zablokować wszystkie skrypty w folderze, kliknij „Przeglądaj foldery…” i wybierz żądany folder.
Wybierz typ skryptu
W przypadku opcji „Przeglądaj pliki…” wybierz plik.ps1,.bat,.cmd,.vbs lub.js z menu lista typów plików.
Lub: Wybierz folder skryptów
Dla „ Przeglądaj foldery…“, wybierz żądany folder, aby zastosować regułę do wszystkich skryptów w tym folderze.
Przejdź przez kreator reguł
Kliknij „Dalej” w kreatorze, aby kontynuować. Ta czynność przybliża Cię do sfinalizowania nowej reguły.
Dodaj wyjątki od reguł (opcjonalnie)
Jeśli to konieczne, dodaj wyjątek do reguły lub po prostu kliknij Dalej” na ekranie wyjątków. Wyjątki umożliwiają dalsze udoskonalenie reguły poprzez określenie scenariuszy, w których reguła nie ma zastosowania.
Nazwij i opisz swoją regułę
Wprowadź identyfikującą nazwę i opis nowej reguły, a następnie naciśnij „Utwórz”. Informacje te pomogą Tobie i innym osobom szybko zrozumieć cel reguły.
Przejrzyj i przetestuj nowe zasady
Na koniec przejrzyj i przetestuj nowe reguły w folderze reguł „Skrypt”. W razie potrzeby możesz utworzyć dodatkowe reguły, aby upewnić się, że wymagania bezpieczeństwa Twojej organizacji są spełnione. Po spełnieniu wymagań zamknij okno Zabezpieczenia lokalne Okno zasad.
FAQ — często zadawane pytania dotyczące funkcji AppLocker
Jak zaktualizować istniejące reguły funkcji AppLocker, jeśli zmieniły się moje wymagania dotyczące bezpieczeństwa?
Aby zaktualizować istniejącą regułę AppLocker, otwórz aplikację Zasady zabezpieczeń lokalnych, wyszukując „secpol.msc” w menu Start. W sekcji „Zasady kontroli aplikacji” > „AppLocker” znajdź regułę, którą chcesz zmodyfikować. Kliknij regułę prawym przyciskiem myszy i wybierz „Właściwości” z menu kontekstowego. Tutaj możesz edytować szczegóły, takie jak warunki reguły lub jej działanie (zezwól lub odmów). Ważne jest, aby sprawdzić i przetestować aktualizację reguły zapewniające, że nie zablokują one przypadkowo krytycznych aplikacji lub skryptów.
Czy istnieje sposób rejestrowania prób uruchomienia skryptów blokowanych lub dopuszczanych przez funkcję AppLocker?
Tak, funkcja AppLocker może rejestrować oba zablokowane i dozwolone próby wykonania skryptu. Aby włączyć rejestrowanie, w aplikacji Zasady zabezpieczeń lokalnych przejdź do „Zasady kontroli aplikacji” > „AppLocker“, a następnie wybierz „Skonfiguruj egzekwowanie reguł“. W tym miejscu zaznacz pola „Skonfigurowane” zarówno pod „Tylko kontrola“, jak i „Egzekwuj reguły“, zgodnie ze swoimi potrzebami. Zablokowane i dozwolone próby zostaną zarejestrowane w Podglądzie zdarzeń w obszarze Dzienniki aplikacji i usług > Microsoft > Windows > AppLocker.
Czy AppLocker może zarządzać skryptami wykonywanymi z dysków sieciowych?
Tak, aplikacja AppLocker ma możliwość zarządzania wykonywaniem skryptów z dysków sieciowych. Będziesz musiał utworzyć reguły oparte na ścieżkach, które określą ścieżki sieciowe, z których skrypty będą dozwolone lub zabronione. Tworząc te reguły, użyj ścieżek UNC (np. \\Server\SharedFolder\Script.ps1), aby dokładnie wskazać skrypty na dyskach sieciowych. Upewnij się, że te ścieżki są dostępne i poprawnie wpisane, aby uniknąć niezamierzonego blokowania skryptów.
Jak mogę się upewnić, że funkcja AppLocker nie blokuje krytycznych skryptów systemowych niezbędnych do działania systemu Windows?
Konfigurując funkcję AppLocker, automatycznie sugeruje utworzenie domyślnych reguł, które zapobiegają blokowaniu krytycznych skryptów i aplikacji systemowych. Należy zaakceptować te domyślne reguły podczas instalacji. Ponadto regularnie przeglądaj niestandardowe reguły i wyjątki, aby mieć pewność, że ważne skrypty systemowe, takie jak te w katalogu Windows, nie zostaną przypadkowo zablokowane. Monitorowanie dzienników funkcji AppLocker może również pomóc w określeniu, czy krytyczne skrypty są blokowane, co pozwala odpowiednio dostosować reguły.
Jakimi typami skryptów aplikacja AppLocker może kontrolować poza PowerShell i plikami wsadowymi?
AppLocker może zarządzać różne typy skryptów, w tym PowerShell (.ps1), pliki wsadowe (.bat,.cmd), skrypty Visual Basic (.vbs) i JavaScript (.js). Umożliwia to kompleksową kontrolę nad wykonywaniem skryptów w całym środowisku Windows. Tworząc reguły, możesz określić typ skryptu, aby zapewnić ukierunkowane zarządzanie zasadami wykonywania skryptów.
Czy reguły skryptów aplikacji AppLocker rozróżniają różne wersje lub konfiguracje PowerShell?
Nie, funkcja AppLocker tego nie robi zapewniają funkcjonalność umożliwiającą bezpośrednie rozróżnienie różnych wersji lub konfiguracji programu PowerShell. Reguły funkcji AppLocker skupiają się na samych plikach skryptów i stosują je na podstawie ścieżki pliku, skrótu pliku lub wydawcy, a nie specyfiki wersji programu PowerShell. Aby kontrolować specyficzną wersję, możesz zdecydować się na użycie własnych zasad wykonywania programu PowerShell lub wdrożyć dodatkowe środki bezpieczeństwa, takie jak Kontrola aplikacji w programie Windows Defender.
Jak zautomatyzować wdrażanie reguł funkcji AppLocker na wielu komputerach w domenie?
Wdrażaniem reguł funkcji AppLocker na wielu komputerach w domenie można efektywnie zarządzać przy użyciu obiektów zasad grupy (GPO). Najpierw utwórz lub zmodyfikuj reguły AppLocker na komputerze referencyjnym. Następnie w konsoli zarządzania zasadami grupy (GPMC) zlokalizuj obiekt GPO powiązany z jednostkami organizacyjnymi (OU), do których chcesz zastosować te reguły. W sekcji „Konfiguracja komputera > Zasady > Ustawienia systemu Windows > Ustawienia zabezpieczeń > Zasady kontroli aplikacji > Blokada aplikacji” kliknij prawym przyciskiem myszy i wybierz „Importuj zasady“, aby zaimportować reguły z pliku referencyjnego Na koniec zastosuj obiekt GPO, upewniając się, że rozprzestrzenia się on na komputery domeny docelowej.
Jeśli funkcja AppLocker zezwala na skrypt, ale jest blokowany przez oprogramowanie antywirusowe, czy zostanie wykonany?
Nie, jeśli skrypt zostanie zablokowany przez oprogramowanie antywirusowe, nie zostanie on wykonany niezależnie od konfiguracji AppLockera.Oprogramowanie antywirusowe działa na innej warstwie bezpieczeństwa i ma własne kryteria blokowania plików wykonywalnych i skryptów, często oparte na sygnaturach, zachowaniach lub reputacji, które mogą zastąpić uprawnienia funkcji AppLocker. Aby zapewnić spójne egzekwowanie zabezpieczeń, konieczne jest dostosowanie zasad funkcji AppLocker i programu antywirusowego.
Czy funkcja AppLocker może blokować skrypty lub zezwalać na nie w oparciu o ich zawartość, a nie lokalizację lub użytkownika?
Zasady AppLocker Podstawowym sposobem identyfikowania skryptów do blokowania lub zezwalania jest ścieżka, wydawca lub skrót pliku, a nie analiza zawartości skryptów. Do zarządzania skryptami w oparciu o treść mogą być wymagane inne rozwiązania zabezpieczające, takie jak systemy Endpoint Detection and Response (EDR) lub bardziej zaawansowane rozwiązania antywirusowe z możliwością analizy skryptów. Takie rozwiązania mogą dynamicznie sprawdzać zawartość skryptu pod kątem złośliwego zachowania lub zgodności z zasadami bezpieczeństwa.
Czy istnieją narzędzia wiersza poleceń lub polecenia cmdlet PowerShell do zarządzania regułami funkcji AppLocker?
Tak, zarządzanie funkcją AppLocker można również wykonać za pomocą poleceń cmdlet programu PowerShell, umożliwiając tworzenie skryptów i automatyzację wielu zadań związanych z funkcją AppLocker. Polecenia cmdlet zawierają funkcje umożliwiające tworzenie nowych reguł funkcji AppLocker, usuwanie istniejących i pobieranie informacji o zastosowanych zasadach funkcji AppLocker. Na przykład „Get-AppLockerPolicy“, „Set-AppLockerPolicy” i „New-AppLockerPolicy” to tylko niektóre z dostępnych poleceń cmdlet. To zapewnia skuteczny sposób programowego zarządzania zasadami, szczególnie w przypadku operacji masowych lub w wielu systemach.
Jak mogę uniemożliwić użytkownikom omijanie reguł funkcji AppLocker poprzez zmianę nazw plików skryptów?
Włączenie funkcji opartych na skrótach reguły w połączeniu z regułami opartymi na ścieżkach mogą wzmocnić Twoją politykę przed próbami obejścia zmiany nazwy. Reguły oparte na skrótach sprawdzają integralność samego pliku skryptu niezależnie od jego nazwy i lokalizacji, uniemożliwiając wykonanie, jeśli pasuje on do znanego zablokowanego skrótu. Stale monitoruj i aktualizuj Twoje zestawy reguł uwzględniają skróty nieautoryzowanych skryptów. Dodatkowo ograniczenie uprawnień użytkownika do zmiany nazwy, wykonywania lub zapisu w niektórych katalogach może jeszcze bardziej zmniejszyć to ryzyko.
Czy funkcja AppLocker może kontrolować wykonywanie skryptów uruchamianych z nośników wymiennych, np. Dyski USB?
Tak, AppLocker może skutecznie kontrolować i ograniczać wykonywanie skryptów z nośników wymiennych, takich jak dyski USB. Tworząc reguły oparte na ścieżkach, które konkretnie dotyczą lokalizacji na nośnikach wymiennych lub całkowicie uniemożliwiając wykonanie skryptów z dysków wymiennych, administratorzy mogą ograniczyć ryzyko związane z przenośnymi urządzeniami pamięci masowej. Regularnie monitoruj i dostosowuj te reguły w oparciu o zasady bezpieczeństwa organizacji i zmieniający się krajobraz zagrożeń.
Jaki wpływ na wydajność ma włączenie funkcji AppLocker w systemie?
Wpływ funkcji AppLocker na wydajność jest ogólnie minimalny, ponieważ został zaprojektowany tak, aby bezproblemowo integrować się z systemami operacyjnymi Windows bez znaczącego wpływu na zasoby systemowe. Jednak złożoność i liczba reguł, a także ilość i typy wykonywanych aplikacji i skryptów mogą mieć wpływ na wydajność. Administratorzy powinni zrównoważyć potrzeby bezpieczeństwa z kwestiami wydajności, ewentualnie wykorzystując środowiska testowe do porównania wpływu zasad AppLocker na wydajność systemu przed szerszym wdrożeniem.
Czy reguły AppLocker można eksportować i importować między różnymi systemami lub domenami?
Tak, AppLocker zapewnia funkcję eksportowania i importowania zasad, ułatwiając łatwe przesyłanie i wdrażanie reguł w różnych systemach lub domenach. Jest to szczególnie przydatne w przypadku replikowania polityk bezpieczeństwa w dużych organizacjach lub szybkiego stosowania przetestowanego zestawu reguł w nowych systemach. Reguły można eksportować do plików XML i importować z nich za pomocą edytora zasad zabezpieczeń lokalnych lub poleceń cmdlet programu PowerShell, co zapewnia elastyczność w utrzymywaniu i wdrażaniu zasad funkcji AppLocker.
Jak mogę naprawić niepoprawną regułę funkcji AppLocker, która uniemożliwia dostęp do ważne aplikacje lub skrypty?
W scenariuszach, w których nieprawidłowa reguła AppLocker blokuje dostęp do niezbędnych aplikacji lub skryptów, uruchomienie systemu, którego dotyczy problem, w trybie awaryjnym może umożliwić ominięcie standardowego wymuszania funkcji AppLocker, umożliwiając administratorom modyfikację lub usunięcie problematyczny przepis. Uzyskaj dostęp do aplikacji Zasady zabezpieczeń lokalnych lub użyj poleceń cmdlet programu PowerShell w trybie awaryjnym, aby dostosować konfigurację funkcji AppLocker. W przypadku środowisk zarządzanych za pomocą Zasad grupy problem może również rozwiązać aktualizacja zasad z kontrolera domeny w celu usunięcia lub dostosowania problematycznej reguły oraz wymuszenie aktualizacji zasad w systemie, którego dotyczy problem.
Powiązane: Jak to zrobić Włącz skrypty programu PowerShell za pomocą zasad wykonywania programu PowerShell
PowerShell to potężne narzędzie, którego wiele osób, w tym ja, nie wykorzystuje w pełni swojego potencjału. Dlatego większość z nas polega na skryptach PowerShell stworzonych przez innych, ale może to wiązać się z pewnymi przeszkodami. Często zobaczysz błędy takie jak „PowerShell: uruchamianie skryptów jest wyłączone w tym systemie“. Aby włączyć skrypty PowerShell w systemie Windows, musisz najpierw ustawić zasady wykonywania. W naszym drugim przewodniku pokażemy Ci jak włączyć skrypty PowerShell w systemie Windows, ustawiając zasady wykonywania za pomocą wiersza poleceń.
Powiązane: Jak włączyć lub wyłączyć sklep Microsoft Store
Sklep z aplikacjami Microsoftu borykał się z problemami w ostatnich latach, ale nadal jest przydatnym narzędziem, za pomocą którego można instalować aplikacje i gry lub pobierać muzykę i programy telewizyjne. Jednak z różnych powodów możesz chcieć wyłączyć Microsoft Store, uniemożliwiając dzieciom pobieranie niezatwierdzonych aplikacji lub usuwając wzdęcia z Twojego systemu. W naszym drugim przewodniku pokażemy, jak odblokować lub wyłączyć Microsoft Store dla wszystkich użytkowników na Twoim komputerze, zgodnie z Twoimi preferencjami.
Powiązane: Jak włączyć lub wyłączyć ustawienia i Panel sterowania
Firma Microsoft powoli kopiuje opcje ze starszego Panelu sterowania w systemie Windows do nowej aplikacji Ustawienia. Obecnie można tam znaleźć prawie wszystko, czego potrzebujesz, chociaż istnieje kilka wybranych elementów, które można dostosować jedynie za pomocą starego interfejsu. W rezultacie administratorzy, którzy próbują ograniczyć możliwość powodowania problemów przez swoich użytkowników w systemie operacyjnym, muszą wyłączyć oba. W związku z tym firma Microsoft łączy przełączniki obu funkcji, umożliwiając użytkownikom wyłączenie lub włączenie ustawień i panelu sterowania w systemie Windows za jednym zamachem.
Powiązane: Jak wyłączyć system Windows Wyszukiwanie
Wyszukiwarka systemu Windows to potężne narzędzie zaprojektowane w celu zwiększenia produktywności użytkowników poprzez zapewnienie szybkiego i łatwego dostępu do plików, aplikacji i ustawień. Indeksując zawartość komputera, usługa Windows Search umożliwia szybkie wyszukiwanie informacji, co czyni ją cenną funkcją dla wielu użytkowników. Jednak ta wygoda ma swoją cenę. Ciągły proces indeksowania może zużywać znaczne zasoby systemowe, co prowadzi do zmniejszenia wydajności, szczególnie na słabszym sprzęcie. W naszym innym przewodniku pokazujemy, jak wyłączyć wyszukiwarkę systemu Windows, aby zoptymalizować zużycie energii i wykorzystanie zasobów.
