Включение правил Applocker в Windows 10 Enterprise или как заблокировать самоустанавливающиеся программы, решение проблемы. Просьба Профи не отписывать" через чур умные" комментарии так как это мой первый опыт написания темы (И без таких не бывает) . Кому надо, тот что-то подчерпнет полезное из данного поста. Тема конечно не навье ,но основана на проблеме которая присутствовала у меня. И так, поехали. 1) Убедится что не установлен лишний софт.( Амиго, Майл, Спутник ,и.т.д.) 2) Убедится что установлен весь вам нужный софт. 3) Включить службу "удостоверение приложений" в автоматический режим. Без нее Applocker работать не будет. 3.1) Для включения службы существует три варианта- 1: через реестр Виндовс, 2: через окно "Администрирование" " Службы", в свойствах, 3: либо через командную строку. Лучше на мой взгляд включать через реестр т.к в случае неработоспособности службы, как было у меня, ее можно отключить через "безопасный режим" . Т.е. после перезагрузки Виндовс не работает ничего кроме курсора и диспетчера задач через ctrl+alt+del а все остальное черный экран. 3.2) Рассмотрим варианты 1 и 2 3.3)Включение службы через реестр: Нажимаем комбинации клавиш Win+R и пишем в окне "выполнить" regedit и нажимаем Enter. 3.4) Далее переходим по указанному пути [HKLM\System\CurrentControlSet\services\AppIDSvc] Параметру Start (REG_DWORD) задаем значение 2 (по умолчанию было 3).
Далее [HKLM\System\CurrentControlSet\services\AppID] Параметру Start (REG_DWORD) задаем значение 2 (по умолчанию было 3).
Таким образом мы активировали службу "Удостоверение приложений" в автоматический режим. (Будет запускаться вместе с Виндовс) Далее "Перезагрузка". Если Виндовс не запустилась удачно. Советую загрузиться через безопасный режим и через командную строку администратора ввести команду sfc/scannow. Далее Перезагрузка. Если и это ничего не дало, поставьте в реестре значения которые вы поменяли "ПО УМОЛЧАНИЮ". см выше. И пробовать загрузится в обычном режиме. Значит скорей всего службе мешает одна из установленных программ. Какая именно я без понятия. Мне лично мешал софт для работы с реестром RED ORGANAISER/ так как были сделаны твики системы. (Непонятно почему). Далее если система в порядке пробуем повторить операцию "см выше". Ибо если не помогло лучше сделать откат Виндовс к заводским настройкам( мне помогло). И сделать так как описано выше без установки лишних программ. 3.5) Включение службы через окно "Администрирование"
3.6) Переходим: Панель управления\ Администрирование\Службы\ Удостоверение приложений\Свойства\Тип запуска\Автоматически. Обязательно смотрим что служба выполняется и стоит приоритет "Автоматически". Если служба включена и нормально загружается OS то переходим далее. 4) Для того чтобы Applocker функционировал необходимо создать каталог правил которые будут определять какие приложения блокировать а какие разрешить. Можно создавать правила в ручную или скачать уже созданный каталог с созданными правилами которые будут блокировать установку " Всеми любимыми -Амиго, Baidu, Спутники и.т.д". Если вы скачиваете файл с правилами, обычно это формат файла XML, весит обычно не более 50 кб. В зависимости сколько правил в документе содержится. Скачали? Идем далее. 5) Переходим: Панель управления\Администрирование\Локальная политика безопасности\Политики управления приложениями\ Applocker. Правой кнопкой мыши\Импортировать политику. Выбираем место расположения уже скачанного файла с правилами, выбираем его и соглашаемся с импортированием. 6) После того как правила импортировались. Открываем вкладку в Applocker и видим еще 4 вкладки: Исполняемые правила; Правила установщика Windows; Правила сценариев; Правила упакованных приложений; На каждой вкладке жмем правую кнопку мыши: "Создать правила по умолчанию", для того чтоб правильно работали системные файлы и вы сами потом могли иметь доступ к системе. 7) Жмем правой кнопкой по Applocker\Свойства. Ставим на 4х пунктах галочки с пометками о принудительном применении правил. Применить и ОК. Без них Applocker также работать не будет. Отступлюсь- когда я себе делал правила и не создал во всех вкладках правила по умолчанию то у меня перестал работать пуск, панель уведомлений, иконка регулировки звука и все Metro-приложения. Получая от системы большую дулю в виде "Приложение заблокировано сисадмином" 8) Советую для пущей верности создать новое правило в "Исполняемые правила" Для этого переходим во вкладку: Исполняемые правила, правой кнопкой \Создать новое правило\Далее\Разрешить\Выбираем пользователя которому будет разрешен доступ т.е. ваша учетная запись\Путь\Обзор папок\ И из списка выбираем раздел с установленной ОС. \Далее\Создать. Теперь по правилу вы имеете право на доступ к системному диску. Далее создайте там, такое же правило только на остальные разделы диска которые у вас есть. 9) Перезагружаемся. Пробуем установить сомнительный софт в котором куча мусора. Система должна оповестить что "Приложение заблокировано системным администратором. Радуемся! Applocker работает и блокирует навязчивый нам с вами товарищами троянософт! Примечание. Если вы устанавливаете сомнительный софт например в котором идет "Какой нибудь [нерекомендуемый клиент]", а у вас он в правилах на запрет отсутствует то в этом случае Applocker не будет это приложение блокировать. Учтите этот незыблемый факт!!! И потом не говорите что я об этом форс-мажоре не предупреждал и у вас установилась " куча добра от Яндекс и Мэйл" Поэтому прежде чем что то ставить убедитесь в том что у вас есть правило запрета на все эти "прелести"!!! 10) Сомневаетесь в скачанных правилах-давайте попробуем создать правила самостоятельно вручную... Предисловие.. Каждая вкладка в Applocker отвечает за каждый тип файлов. Например: Исполняемые правила отвечают за файлы типа EXE. Правила установщика Windows Отвечают за bat расширения и .т.д. Для создания правила нам нужен файл установщик с расширением EXE это будет так называемый "злодей" и мы не хотим чтоб он устанавливался на ПК без нашего ведома. Для этого.. Переходим в Applocker вкладка "Исполняемые правила" Правой кнопкой \Создать новое правило\Далее\Запретить\Выбираем кому запретить или оставляем пункт "Все"\Издатель\Далее\Обзор\Выбираем нашего "злодея"\Выбрать\Бегунком слева регулируем свойства блокировки.\Далее\Далее\Создать. Все правило создано и добавлено в Исполняемые правила Applocker. Примечание... Бегунком слева можно регулировать версию приложения которая будет блокироваться т.е при поднятии бегунка вверх убирается версия файла а это значит что при блокировке версия значения иметь не будет, будь то 0.0.1 либо 2.0.2 все ровно будет блокировать:). 11) Теперь выходим из локальной политики безопасности и пробуем запустить того "злодея" на которого мы внесли правило. Если система оповещает о том что "приложение заблокировано системным администратором" Успех! И так можно создавать любые правила на любые приложения и создать самим "черный список"... Вроде все! Теперь вы обезопасили свой ПК от навязчивого софта а вас от нервного стресса. Пост был создан с учетом тех проблем которые у меня присутствовали во время всего этого действа. Делюсь опытом. Так как ответов на свои вопросы я не услышал. ЛОМАТЬ, НЕ СТРОИТЬ! УДАЧИ! |