Уведомление

На смену Duet AI приходит Gemini для Google Workspace. Подробнее…

Как заблокировать приложения на устройствах Windows 10 и 11 с помощью специальных настроек

Эта функция доступна в версиях Frontline Starter и Frontline Standard, Business Plus, Enterprise Standard и Enterprise Plus, Education Standard, Education Plus и лицензия Endpoint Education, Enterprise Essentials и Enterprise Essentials Plus, Cloud Identity Premium. Сравнение версий

Если вы управляете корпоративными устройствами с ОС Windows с помощью системы управления устройствами Windows, вы можете ограничить на этих устройствах работу приложений, добавив специальные настройки в консоли администратора Google. Для этого вам нужно указать приложения в XML-файле и загрузить его в качестве значения для специальной настройки. Вы можете блокировать отдельные приложения или все файлы приложений определенного типа, например файлы EXE или MSI.

Шаг 1. Укажите разрешенные и заблокированные приложения в XML-файле

XML-файл можно создать с помощью командной строки в PowerShell или графического интерфейса пользователя в редакторе групповых политик Windows. Ниже описано, как создать одну политику, но вы можете включить в XML-файл несколько связанных политик для приложений с одним и тем же типом файлов. Посмотрите примеры.

Важно! Чтобы блокировать разные типы файлов приложений (EXE, MSI, Script, StoreApps и DLL), необходимо создать отдельные пользовательские настройки.

Вариант 1. Командная строка (PowerShell)
  1. Создайте случайный идентификатор GUID с помощью онлайн-генератора. Совет. В поисковой системе введите запрос online GUID generator.
  2. Если вы хотите заблокировать определенное приложение, получите сведения об этом приложении. Если вы хотите заблокировать все приложения с определенным типом файлов, можно пропустить этот шаг.
    1. На устройстве с ОС Windows скачайте исполняемый файл приложения (с расширением EXE), которое вы хотите заблокировать или разрешить.
    2. Откройте PowerShell.
    3. Выполните команду Get-AppLockerFileInformation -path PathToExe | format-list, где PathToExe – это путь к исполняемому файлу.
    4. В ответе найдите значения в строке Publisher и сохраните их. Эти значения имеют следующий формат и соответствуют значениям, которые вы будете использовать в XML-файле:

      Название_издателя\Название_продукта\Название_исполняемого_файла,Версия_исполняемого_файла

      Название издателя представляет собой длинную строку вида O=MICROSOFT CORPORATION, L=REDWOOD, S=WASHINGTON, C=US, и ее нужно включить целиком.

  3. Скопируйте в текстовый редактор следующий код XML:

    <RuleCollection Type="Type" EnforcementMode="Enabled">
      <FilePublisherRule Id=GUID Name=PolicyName Description=PolicyDescription UserOrGroupSid=UserOrGroupSid Action=[Allow|Deny]>
         <Conditions>
           <FilePublisherCondition PublisherName=PublisherName BinaryName=BinaryName ProductName=ProductName>
             <BinaryVersionRange HighSection=latestVersion LowSection=earliestVersion />
           </FilePublisherCondition>
         </Conditions>
       </FilePublisherRule>
    </RuleCollection>

  4. Замените теги в XML-файле реальными значениями. Примеры того, как сгруппировать несколько политик в один файл и выполнить другие действия, приведены ниже.
    Тег Значение
    Type

    Тип файла приложения (должен соответствовать OMA-URI):

    • Для EXE-файлов введите "Exe"
    • Для MSI-файлов введите "Msi"
    • Для файлов Script введите "Script"
    • Для DLL-файлов введите "Dll"
    • Для приложений из Microsoft Store введите "Appx"
    GUID Глобальный уникальный идентификатор, который вы сгенерировали на шаге 1.
    PolicyName Название для политики. Можно ввести любую строку.
    PolicyDescription Описание политики.
    UserOrGroupSid Пользователи или группы, к которым применяется политика:
    • Чтобы применить политику ко всем пользователям устройства, введите S-1-1-0.
    • Чтобы применить политику к конкретному пользователю, введите его идентификатор SID. Чтобы получить этот идентификатор, выполните в командной строке команду

      wmic имя_пользователя get name,sid,

      где имя_пользователя – это имя нужного пользователя на устройстве. Если вы не знаете имени пользователя, получите список всех пользователей на устройстве с помощью команды

      wmic useraccount get name,sid.

    • Вы можете ввести только одно имя пользователя. Чтобы применить политику к большему количеству пользователей, объедините их в группу или скопируйте политику и измените в ней имя.

    • Чтобы применить политику к группе, введите идентификатор SID группы. Чтобы получить этот идентификатор для группы, выполните в командной строке команду

      wmic название_группы get name,sid,

      где название_группы – это название группы на устройстве. Если вы не знаете названия группы, вы можете получить список всех групп на этом устройстве, запустив команду

      wmic group get name,sid.
    Allow|Deny Выберите действие для политики: разрешить или заблокировать указанные приложения.
    PublisherName Название издателя приложения (указанное на шаге 2). Вы можете использовать подстановочный знак *, но совпадения по регулярным выражениям, а также подстановочные знаки префиксов и суффиксов не поддерживаются.
    BinaryName

    Название исполняемого файла (указанное на шаге 2). Вы можете использовать подстановочный знак *, но совпадения по регулярным выражениям, а также подстановочные знаки префиксов и суффиксов не поддерживаются.

    Например, чтобы блокировать все EXE-файлы, введите * и при добавлении специальной настройки выберите OMA-URI, который заканчивается на /EXE/Policy.
    ProductName Название продукта (указанное на шаге 2). Вы можете использовать подстановочный знак *, но совпадения по регулярным выражениям, а также подстановочные знаки префиксов и суффиксов не поддерживаются.
    latestVersion Номер последней версии приложения, к которой применяется эта политика. Чтобы блокировать все версии этого приложения, введите *.
    earliestVersion Номер самой ранней версии приложения, к которой применяется эта политика. Чтобы блокировать все версии этого приложения, введите *.

  5. Сохраните файл.

Вариант 2. Графический интерфейс пользователя (редактор групповых политик Windows)
  1. Выполните инструкции из раздела Generating the XML (Создание XML-файла) этой статьи Microsoft. Остановитесь, когда дойдете до раздела Creating the Policy (Создание политики).

    Примечание. Эти инструкции описывают процесс создания политики для приложения, установленного на устройстве. Чтобы создать политику для приложения, не установленного на устройстве, на шаге 6 выберите Use an installed packaged app as a reference (Использовать пакет установленного приложения в качестве примера).

  2. После экспорта XML-файла удалите созданную вами политику в редакторе групповых политик. В противном случае эта политика будет применена на устройстве.

Шаг 2. Добавьте специальную настройку

  1. Войдите в консоль администратора Google.

    Войдите в аккаунт администратора (он не заканчивается на @gmail.com).

  2. В консоли администратора нажмите на значок меню а затем Устройстваа затемМобильные устройства и конечные точкиа затемНастройкиа затемWindows.
  3. Нажмите Специальные настройки.
  4. Нажмите Добавить специальную настройку.
  5. Задайте специальную настройку:
    1. В поле OMA-URI введите ApplicationLaunchRestriction и выберите один из вариантов, который соответствует типу файла приложения в этой политике.
      • Для EXE-файлов выберите ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Enter Grouping>/EXE/Policy.
      • Для приложений из Microsoft Store выберите ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Enter Grouping>/AppStore/Policy
      • Для MSI-файлов выберите ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Enter Grouping>/MSI/Policy
      • Для скриптов PowerShell выберите ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Enter Grouping>/Script/Policy
      • Для DLL-файлов выберите ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Enter Grouping>/DLL/Policy

      Дополнительная информация приведена в документации Microsoft по AppLocker CSP.

    2. В поле OMA-URI замените <Enter Grouping> случайной строкой с буквенно-цифровыми символами. Она должна быть уникальной для каждой специальной настройки. Например, если вы добавляете одну специальную настройку для блокировки файлов EXE, а другую для блокировки файлов MSI, используйте для них разные значения.
    3. При выборе OMA-URI в поле Имя подставляется значение "Политика". Введите уникальное имя, которое поможет вам найти его в списке специальных настроек.
    4. Для параметра Тип данных выберите значение Строка (XML), нажмите Загрузить файл XML и выберите созданный вами в первом разделе XML-файл конфигурации.
    5. Введите описание специальной настройки, которое поясняет ее действие и целевые объекты (необязательно).
  6. Нажмите Далее и выберите организационное подразделение, к которому нужно применить специальную настройку, или нажмите Добавить, чтобы перейти к следующей настройке. Дополнительные правила не будут применены к организационному подразделению, пока вы не нажмете Далее и не выберете его.
  7. Выберите организационное подразделение, к которому будет применена политика.
  8. Нажмите Применить.

Если пользователь в организационном подразделении попытается установить или открыть заблокированное приложение на устройстве с ОС Windows, он увидит сообщение об ошибке, поясняющее, что это приложение заблокировано системным администратором.

Примеры XML-файлов

Как разрешить только подписанные приложения (заблокировать все неподписанные приложения)

Эта политика позволяет пользователям устанавливать только подписанные приложения и запрещает устанавливать неподписанные приложения, тип файлов которых указан в OMA-URI.

Чтобы заблокировать все неподписанные приложения с любым типом файлов, добавьте пользовательский параметр для каждого типа файлов и в качестве значения для него укажите приведенный ниже XML-код.

Примечание. В RuleCollection параметр Type должен соответствовать типу файла приложения. Поддерживаются следующие значения: "Exe" для файлов формата EXE, "Msi" для MSI-файлов, "Script" для файлов скриптов, "Dll" для DLL-файлов и "Appx" для приложений из Microsoft Store. В FilePublisherRule замените GUID случайным значением, которое вы получили с помощью онлайн-генератора GUID.

<RuleCollection Type="Type" EnforcementMode="Enabled">
  <FilePublisherRule Id=GUID Name="Allow all signed apps" Description="Allows all users to run signed apps" UserOrGroupSid="S-1-1-0" Action="Allow">
     <Conditions>
       <FilePublisherCondition PublisherName="*" ProductName="*" BinaryName="*">   
         <BinaryVersionRange LowSection="*" HighSection="*" />
       </FilePublisherCondition>
     </Conditions>
   </FilePublisherRule>      
</RuleCollection>
Как заблокировать определенные приложения

Для блокировки приложений нужно включить раздел <FilePublisherRule>, который разрешает приложения, и <FilePublisherRule> заблокирует все приложения, какие вам нужно.

Стандартный формат:

<RuleCollection Type="Type" EnforcementMode="Enabled">
  <FilePublisherRule...>
    ...разрешенные приложения...
  </FilePublisherRule>
  <FilePublisherRule...>
    ...условия для блокировки первого приложения...
  </FilePublisherRule>
  <FilePublisherRule...>
    ...условия для блокировки второго приложения...
  </FilePublisherRule>
</RuleCollection>

 

Примечание. В RuleCollection параметр Type должен соответствовать типу файла приложения. Поддерживаются следующие значения: "Exe" для файлов формата EXE, "Msi" для MSI-файлов, "Script" для файлов скриптов, "Dll" для DLL-файлов и "Appx" для приложений из Microsoft Store. В FilePublisherRule замените GUID случайным значением, которое вы получили с помощью онлайн-генератора GUID.

Например, такая политика не позволяет пользователям запускать "App A" и "App B", которые являются EXE-файлами:

<RuleCollection Type="Exe" EnforcementMode="Enabled">
  <FilePublisherRule Id=GUID Name="Allow all signed apps" Description="Allows all users to run signed apps" UserOrGroupSid="S-1-1-0" Action="Allow">
    <Conditions>
      <FilePublisherCondition PublisherName="*" ProductName="*" BinaryName="*">
  <BinaryVersionRange LowSection="*" HighSection="*" />
      </FilePublisherCondition>
    </Conditions>
  </FilePublisherRule>
  <FilePublisherRule Id=GUID Name="Block app A" Description="Blocks app A for all users" UserOrGroupSid="S-1-1-0" Action="Deny">
    <Conditions>
      <FilePublisherCondition PublisherName="O=Software Company, L=London, C=GB" ProductName="APPLICATION A" BinaryName="APPA.EXE">
        <BinaryVersionRange LowSection="*" HighSection="*" /> 
      </FilePublisherCondition>
    </Conditions>
  </FilePublisherRule>
  <FilePublisherRule Id=GUID Name="Block app B" Description="Blocks app B for all users" UserOrGroupSid="S-1-1-0" Action="Deny">
    <Conditions>
      <FilePublisherCondition PublisherName="O=Solarmora Inc, L=Mountain View, S=California, C=US" ProductName="APPLICATION B" BinaryName="APPB.EXE">
        <BinaryVersionRange LowSection="*" HighSection="*" /> 
      </FilePublisherCondition> 
    </Conditions>
 </FilePublisherRule>
</RuleCollection>
Как заблокировать приложения из пакета операционной системы Windows
Приведенный ниже код основан на примере из документации Microsoft. Он блокирует приложение "Почта Windows" для пользователей. Перед началом использования замените GUID случайным значением, полученным из онлайн-генератора GUID.
Примечание. Этот файл приложения является приложением Microsoft Store, поэтому OMA-URI должен иметь значение ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Enter Grouping>/AppStore/Policy.
<RuleCollection Type="Appx" EnforcementMode="Enabled">
  <FilePublisherRule Id=GUID Name="Allow all signed apps" Description="Allows all users to run signed apps" UserOrGroupSid="S-1-1-0" Action="Allow">
    <Conditions>
      <FilePublisherCondition PublisherName="*" ProductName="*" BinaryName="*">
        <BinaryVersionRange LowSection="*" HighSection="*" />
      </FilePublisherCondition>
    </Conditions>
  </FilePublisherRule>
  <FilePublisherRule Id=GUID Name="Block Windows Mail" Description="Blocks all users from using Windows Mail" UserOrGroupSid="S-1-1-0" Action="Deny"> 
    <Conditions> 
      <FilePublisherCondition PublisherName="O=Microsoft Corporation, L=Redmond, S=Washington, C=US" ProductName="microsoft.windowscommunicationsapps" BinaryName="*"> 
        <BinaryVersionRange LowSection="*" HighSection="*" /> 
      </FilePublisherCondition> 
    </Conditions> 
  </FilePublisherRule>      
</RuleCollection>


Google, Google Workspace, а также другие связанные знаки и логотипы являются товарными знаками компании Google LLC. Все другие названия компаний и продуктов являются товарными знаками соответствующих компаний.

Эта информация оказалась полезной?

Как можно улучшить эту статью?

Требуется помощь?

Попробуйте следующее:

Опубликовать на справочном форуме Получите ответы от участников сообщества
Связаться с нами Расскажите о своей проблеме нашим сотрудникам
true
Начните пользоваться 14-дневной бесплатной пробной версией уже сегодня

Корпоративная почта, хранение файлов онлайн, общие календари, видеоконференции и многое другое. Начните пользоваться бесплатной пробной версией G Suite уже сегодня.

Поиск
Очистить поле поиска
Закрыть поиск
Главное меню
12958479022413058874
true
Поиск по Справочному центру
true
true
true
true
true
73010
false
false