Настройка Applocker для терминального сервера Windows 2008R2

На днях потребовалось заблокировать пользователям возможность запускать программы в терминале , а таких программ очень много:

TeamViewer
Chrome
MailAgent
QIP
итд

Интересно ?

Добавляем все наши сервера RDS в отдельную OU

Создаем GPO для OU(RDS)

Конфигурация компьютера\Политики\Конфигурация Windows\Параметры безопасности\Политики управления приложениями и перейдите к узлу «AppLocker».

Снимок экрана 2013-09-25 в 22.06.00

Когда вы настраиваете объекты групповой политики с расширением клиентской стороны AppLocker, обязательно обратите внимание на то, что на клиентских компьютерах, на которые должны распространяться правила, обязательно должна быть запущена служба «Удостоверения приложения». Например, вы можете настроить эту службу при помощи узла «Службы» параметров безопасности групповой политики или же воспользоваться функциональными возможностями одноименного элемента предпочтения групповой политики.

Для того чтобы создать новое правило, следует для редактируемого вами объекта групповой политики, в области сведений каждого вложенного узла AppLocker, называемых коллекциями правил, вызвать контекстное меню и выбрать команду «Создать правила по умолчанию». Как только данная опция будет выбрана, сразу для целевого узла будут созданы три правила, а именно:

Снимок экрана 2013-09-25 в 22.11.13

1) Разрешает группе «Все» запускать приложения, расположенные в папке «Windows».

2) Разрешает группе «Все» запускать приложения, расположенные в папке «Program Files» и «Program Files (x86)»

3) Разрешает локальным администраторам запускать любые приложения.

На этом все на серверах проверяем службу и обновляем GPO gpupdate /force

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *