Разрешить пользователю домена запускать пакетные файлы только из определенной сетевой папки

Question

В Windows 10 есть 2 разные технологии, которые ограничивают пользователей от запуска пакетных файлов, исполняемых файлов или приложений. Во-первых, есть старыеПолитики ограничения программного обеспеченияво-вторых, естьБлокировщик приложений

Начиная с Windows 10 1803 политики ограничения программного обеспеченияустаревшийи больше не рекомендуется, поэтому я ограничусь Applocker.

Вы можете реализовать политики Applocker через GPO и использовать их для ограничения или разрешения скриптов/exe-файлов/приложений/dll-файлов.

Вам необходимо создать новый объект групповой политики, в котором вам нужно будет перейти в «Конфигурация компьютера» > «Политики» > «Параметры Windows» > «Параметры безопасности» > «Политики управления приложениями» -> «Applocker».

Исполнение

Сначала вам нужно «Настроить применение правил», там вам нужно установить галочку напротив «Правила сценариев» и выбрать между «Применять правила» и «Только аудит».

Enforce Rules используется для того, чтобы заставить компьютер соблюдать правила, в то время как "Audit only" просто генерирует событие Windows, которое укажет, будут ли текущие правила блокировать или позволят что-либо запустить. Рекомендуется использовать "Audit only" до тех пор, пока не станет ясно, нарушит ли включение правил что-либо важное.

Правила

Вот вам разные категории

Исполняемые правила
Правила установщика Windows
Правила сценария
Правила упакованных приложений

В вашем случае вам нужно отредактировать Script Rules. Эти правила будут применяться, например, для ps1файлов bat(подробнее см. здесь)

При первом редактировании набора правил Windows должна запросить, хотите ли вы добавитьправила по умолчаниюОбычно эти правила не должны ничего нарушать и могут быть добавлены без особого беспокойства.

Политики Applocker по умолчанию не будут закрыватьсяЭто означает, что если у вас не определены политики для обработки обычных случаев использования, они будут заблокированы!

Затем вы можете создать новое правило, щелкнув правой кнопкой мыши на «Правила скрипта», а затем нажав «Создать новое правило...».

Диалог создания правила более или менее понятен. Вам нужно «Правило пути», которое позволит скриптам запускаться из заданного пути.

Имейте в виду, что \\serverи \\server.fqdn.com- это разные пути

Включение Applocker

Для того чтобы Applocker вообще заработал, необходимо соблюсти несколько условий.

Вам нужна Windows 10 Education или Enterprise, если вы хотите управлять им через GPO 1.1. Если нет, вы все равно можете администрировать Applocker через PowerShell.
Вам необходимо включить и автоматически запустить «Службу идентификации приложений»

Answer 1

В Windows 10 есть 2 разные технологии, которые ограничивают пользователей от запуска пакетных файлов, исполняемых файлов или приложений. Во-первых, есть старыеПолитики ограничения программного обеспеченияво-вторых, естьБлокировщик приложений

Начиная с Windows 10 1803 политики ограничения программного обеспеченияустаревшийи больше не рекомендуется, поэтому я ограничусь Applocker.

Вы можете реализовать политики Applocker через GPO и использовать их для ограничения или разрешения скриптов/exe-файлов/приложений/dll-файлов.

Вам необходимо создать новый объект групповой политики, в котором вам нужно будет перейти в «Конфигурация компьютера» > «Политики» > «Параметры Windows» > «Параметры безопасности» > «Политики управления приложениями» -> «Applocker».

Исполнение

Сначала вам нужно «Настроить применение правил», там вам нужно установить галочку напротив «Правила сценариев» и выбрать между «Применять правила» и «Только аудит».

Enforce Rules используется для того, чтобы заставить компьютер соблюдать правила, в то время как "Audit only" просто генерирует событие Windows, которое укажет, будут ли текущие правила блокировать или позволят что-либо запустить. Рекомендуется использовать "Audit only" до тех пор, пока не станет ясно, нарушит ли включение правил что-либо важное.

Правила

Вот вам разные категории

Исполняемые правила
Правила установщика Windows
Правила сценария
Правила упакованных приложений

В вашем случае вам нужно отредактировать Script Rules. Эти правила будут применяться, например, для ps1файлов bat(подробнее см. здесь)

При первом редактировании набора правил Windows должна запросить, хотите ли вы добавитьправила по умолчаниюОбычно эти правила не должны ничего нарушать и могут быть добавлены без особого беспокойства.

Политики Applocker по умолчанию не будут закрыватьсяЭто означает, что если у вас не определены политики для обработки обычных случаев использования, они будут заблокированы!

Затем вы можете создать новое правило, щелкнув правой кнопкой мыши на «Правила скрипта», а затем нажав «Создать новое правило...».

Диалог создания правила более или менее понятен. Вам нужно «Правило пути», которое позволит скриптам запускаться из заданного пути.

Имейте в виду, что \\serverи \\server.fqdn.com- это разные пути

Включение Applocker

Для того чтобы Applocker вообще заработал, необходимо соблюсти несколько условий.

Вам нужна Windows 10 Education или Enterprise, если вы хотите управлять им через GPO 1.1. Если нет, вы все равно можете администрировать Applocker через PowerShell.
Вам необходимо включить и автоматически запустить «Службу идентификации приложений»

Разрешить пользователю домена запускать пакетные файлы только из определенной сетевой папки

решение1

Исполнение

Правила

Включение Applocker

Связанный контент