AppLocker: Nástroj na omezení spouštění programů ve Windows 7

Ať již na domácím či firemním počítači může být vhodné zakázat jednotlivým uživatelům spouštění určitých aplikací. Nepotřebujete k tomu žádný zvláštní software. Vše lze velmi snadno nastavit přímo ve Windows 7 díky technologii AppLocker.

Microsoft při vývoji Windows 7 myslel i na bezpečnost a na požadavky svých zákazníků a s novou verzí operačního systému přináší technologii AppLocker. Vychází z nástroje Software Restriction Policy používaného v předchozích dvou generacích Windows. Poslání Software Restriction Policy jakožto i jeho pokračovatele je poskytnout možnost omezení spouštění aplikací na základě definovaných pravidel. Výhodou je, že obě tyto technologie můžete používat na jednom počítači, ale stejně tak na stovkách počítačů v podnikovém prostředí pomocí Zásad skupiny.

Technologie AppLocker je dostupná v edicích Ultimate a Enterprise systému Windows 7 a všech edicích Windows Serveru 2008 R2. Implementace do systému je provedena pomocí Zásad skupiny, což přináší dokonalou flexibilitu. Omezení lze provádět na jednotlivé spustitelné soubory, aplikace konkrétního výrobce, ale velmi zajímavé obzvláště pro podnikové prostředí je řízení spouštění dle verze aplikace. Není tedy problém povolit pouze spouštění Adobe Readeru verze 9 a vyšší.  Nabízí se rovněž zakázání všech spustitelných souborů, které dodává určitý výrobce. Možnosti jsou opravdu zajímavé, stačí pouze najít vhodné uplatnění a nastavit pravidla.

Ukažme si příklad, jak je možné vybranému uživateli počítače zakázat spouštění všech aplikací umístěných ve složce C:\Program Files\Microsoft Games\ a všech jejích podložkách. Jak název odpovídá, složka obsahuje všechny hry dodávané s Windows 7. Ač se postup může zdát na první pohled dlouhý, nenechte se odradit a vyzkoušejte si, jak AppLocker funguje. Nastavení je opravdu snadné.

Vytvoření pravidla

  1. Zadáním řetězce “gpedit.msc”do vyhledávacího pole nabídky Start spusťte Editor místních zásad skupiny.
  2. V sekci Konfigurace počítače přejděte do větve Nastavení systému Windows | Nastavení zabezpečení | Zásady řízení aplikací | AppLocker | Pravidla pro spustitelné soubory.
    pravidla-pro-spustitelne-soubory
  3. V pravém podokně klepněte pravým tlačítkem myši a z kontextové nabídky zvolte Vytvořit nové pravidlo.
  4. Úvodní krok průvodce vytvořením pravidla přejděte pomocí tlačítka Další.
  5. Ve druhém kroku zvolte akci pravidla Odepřít. Klepněte postupně na tlačítka Vybrat | Upřesnit | Najít a v dolní části okna poklepejte na uživatele, na kterého se bude vytvářené pravidlo vztahovat. Po dokončení této operace potvrďte zadání tlačítkem OK. Pomocí tlačítka Další přejděte do další části průvodce.
    vyber-uzivatele
  6. Jako typ primární podmínky zvolte Cesta a pokračujte dále.
  7. Za pomoci tlačítka Procházet specifikujte složku, která přímo nebo prostřednictvím svých podsložek obsahuje spustitelné soubory, na které bude vázáno nové pravidlo. Nyní se přesuňte k dalšímu kroku průvodce.
    vyhledat-slozku
  8. Přejete-li si definovat výjimku, proveďte její vytvoření. V opačném případě pokračujte dále.
  9. Na závěr zkontrolujte zadané informace a pro lepší orientaci do pole Popis napište stručný komentář identifikující pravidlo.
    popis
  10. Tlačítkem Vytvořit dejte pokyn k vytvoření pravidla.
  11. Nyní se zobrazí důležitý dialog, který nabízí vytvoření výchozích pravidel. Zvolte možnost Ano.
  12. Aplikování pravidel technologie Applocker má na starosti systémová služba Identita aplikace. Napsáním „cmd“ do vyhledávacího pole nabídky Start a stiskem klávesové zkratky CTRL+SHIFT+ENTER otevřete Příkazový řádek v režimu správce.
  13. Zadejte příkaz „net start AppIDSvc“, čímž nastartujete službu Identita aplikace a vytvořené pravidlo začne fungovat.
  14. Spuštěním libovolné hry z nabídky Start zkontrolujte, zda pravidlo opravdu funguje správně. Tedy že hry nelze spustit a zobrazí se toto upozornění.
    upozorneni
  15.  V případě, že se dostanete do jakýchkoliv potíží, restartujte počítač, pravidla nebudou aplikována. Pokud vše funguje správně, a přejete si pravidla aplikovat trvale, změňte typ startování služby Identita aplikace na automatické. Učiňte tak například z Příkazového řádku v režimu správce pomocí příkazu „sc config AppIDSvc start= auto“. Pozor mezi znakem „=“ a hodnotou „auto“ musí být mezera!
    start-auto

Návrat do původního stavu

Smazáním pravidla a zadáním příkazu „sc config AppIDSvc start= demand“ do Příkazového řádku v režimu správce vrátíte nastavení systému do původního stavu, kdy je možné spouštět všechny aplikace bez omezení. Pozor mezi znakem „=“ a hodnotou „auto“ musí být mezera!

Tip

Je-li vaším úmyslem omezit používání počítače vašim dětem, vyzkoušejte, zda vaše požadavky nesplňuje nástroj Rodičovská kontrola. Na rozdíl od AppLockeru je přítomen ve všech edicích Windows 7.

Tento článek byl napsán pro časopis Computer.

Published by

Jiri Brejcha

Jiri is passionate about mobility ranging from Wi-Fi to folding bikes;-) He is a Wi-Fi Technical Solutions Architect at Cisco UK, proud member of the Cisco Live Network Operations Center deployment team, and WLAN Pi development team. If he is not working, he is most likely riding his Brompton bike. All opinions are my own, not Cisco's.

3 thoughts on “AppLocker: Nástroj na omezení spouštění programů ve Windows 7”

  1. Nevíte někdo proč mi to funguje pouze když si dám výžádat pravidlo, a to mi pak nejdou spustit žádné aplikace, výchozí pravidlá mám !
    Rád bych uživateli druhého účtu zamezil přístup na flash disk včetně možnosti mazání složek a pak zamezil spouštění nenaistalovaného softwaru ze 3 strany děkuji za odpověď

  2. Kyle:

    Těžko říci takto na dálku.

    AppLocker umí zakázat spouštění aplikací, pro zakázání flash disků budete muset použít jiné řešení.

  3. Kyle:

    Zakázání flash disku se dle mého dělá pomocí LGPO.

    šablony pro správu – systém – přístup k vyměnitelnému uložišti

    h.

Leave a Reply to Jiří Brejcha Cancel reply

Your email address will not be published. Required fields are marked *