Настройка киоска через AD и AppLocker

🎯 Конечная цель

Администраторы садятся за компьютер, входят под своим логином и видят только разрешённые программы: Mango Talker, Chrome, Office, утилиты принтера. Всё остальное заблокировано, панель управления скрыта, диск C: недоступен. и т.п.

Подготовка Active Directory

Организационные единицы и группы

Создать OU для пользователей — OU=CenterAdmins_Users (или просто OU=CenterAdmins)

Создать OU для компьютеров — OU=CenterAdmins_Computers

Переместить учётные записи — пользователи (девушки) перемещены в CenterAdmins_Users

Переместить компьютеры — компьютеры администраторов перемещены в CenterAdmins_Computers

(Опционально) Группа для компьютеров — создана группа SG_CenterAdmins_Computers, добавлены компьютеры

ℹ️ Почему важно: Компьютеры в контейнере Computers по умолчанию не подчиняются групповым политикам. Перемещение в OU — обязательно.

AppLocker — Белый список программ

Разрешаем только нужные .exe и .msi

Создать GPO — CenterAdmins_AppLocker_Strict, привязать к CenterAdmins_Computers

Правило: Program Files (64-bit) — %PROGRAMFILES%\* (Executable Rules, Разрешить, Все)

Правило: Program Files (x86) — C:\Program Files (x86)\* или %ProgramFiles(x86)%\*

Правило: Windows (временное) — %WINDIR%\* (для теста, потом заменить на точечные)

Правило: Google Chrome — по издателю (Publisher) для chrome.exe

Правило: Mango Talker — по пути (например C:\Program Files\MangoTalk\*)

Правило: Утилиты принтера — по пути к драйверам/утилитам (если лежат отдельно)

Правило: Windows Installer (MSI) — %PROGRAMFILES%\* для обновлений

Служба "Удостоверение приложений"

Без неё AppLocker не работает

Найти службу —

Конфигурация компьютера → Параметры безопасности → Системные службы

Добавить службу (если нет) — ПКМ → Добавить службу → Application Identity (или Удостоверение приложения)

Настроить автозапуск — режим Автоматически, галочка "Определить параметры политики"

Блокировка настроек (User Config)

Скрываем панель управления, диски, запрещаем изменение тем

Запретить доступ к панели управления —

Панель управления → Запретить доступ к панели управления и настройкам ПК

(Включить)

Скрыть диск C: —

Компоненты Windows → Проводник → Скрыть диск "C:" в окне "Мой компьютер"

Запретить доступ к дискам —

Компоненты Windows → Проводник → Запретить доступ к дискам через "Мой компьютер"

Убрать "Выполнить" (Win+R) — Меню "Пуск" и панель задач → Удалить меню "Выполнить"

Заблокировать смену обоев/тем —

Рабочий стол → Active Directory → Запретить изменение цветов и внешнего вида

Включение блокировки

Переключаем AppLocker в боевой режим

Открыть свойства AppLocker — ПКМ на папке AppLocker → Свойства → вкладка "Принудительное применение"

Выбрать "Применять правила" для всех типов (Исполняемые, Установщики, Скрипты)

⚠️ Важно: Сначала можно выставить "Только регистрировать" (Audit only) и посидеть в логах день-два, чтобы убедиться, что ничего нужного не блокируется.

Применение и проверка

Обновляем политику и тестируем

Обновить политику на клиенте — gpupdate /force (от имени администратора)

Перезагрузить компьютер — чтобы службы точно запустились

Проверить запуск разрешённых программ — Chrome, Mango Talker, Office, принтер

Проверить блокировку — запустить любой .exe с рабочего стола или из Загрузок (должна быть ошибка)

Проверить панель управления — должна быть недоступна

Проверить диск C: — должен быть скрыт или недоступен

Анализ логов AppLocker

Если что-то не работает — смотрим Event Viewer

Открыть Event Viewer — eventvwr.msc

Перейти к логам AppLocker — Журналы приложений и служб → Microsoft → Windows → AppLocker → EXE and DLL

Искать события 8004 — они показывают, что БЫЛО БЫ заблокировано (в режиме аудита) или заблокировано (в боевом)

Добавить недостающие правила — если нужная программа блокируется, создать для неё разрешающее правило

# Просмотр применённых политик (на клиенте)
gpresult /r

# Просмотр логов AppLocker через PowerShell
Get-WinEvent -LogName Microsoft-Windows-AppLocker/EXE and DLL -MaxEvents 50 | Where-Object { $_.Id -eq 8004 } | Format-Table TimeCreated, Message -AutoSize -Wrap
                

📊 Сводка созданных объектов

Тип	Имя	Назначение	Статус
OU	`CenterAdmins_Computers`	Подразделение для ПК администраторов	✅ Создана
OU	`CenterAdmins_Users`	Подразделение для пользователей	✅ Создана
GPO	`CenterAdmins_AppLocker_Strict`	Политика с AppLocker и блокировками	⚙️ Настроена
Группа	`SG_CenterAdmins_Computers`	Группа компьютеров для фильтрации	⚙️ Опционально
Служба	`Удостоверение приложений`	Application Identity (автозапуск)	✅ Включена

⚠️ Типичные ошибки

Забыли переместить компьютер в OU — GPO не применяется
Не включили службу Application Identity — AppLocker не блокирует, хотя правила есть
Authenticated Users в Security Filtering — политика применяется ко всем, игнорируя группу
Не добавили правило на Windows Installer — обновления программ не ставятся
Слишком широкое правило %WINDIR% — разрешает regedit, cmd, powershell

✅ Все шаги выполнены

Теперь администраторы работают в защищённой среде: запускают только нужные программы, не могут ничего сломать в системе, диск C: скрыт, панель управления заблокирована.

🔥 Вы великолепны!

🛠 Полезные команды

# Принудительное обновление политик (на клиенте)
gpupdate /force

# Перезагрузка
shutdown /r /t 0

# Просмотр применённых политик
gpresult /r

# Просмотр логов AppLocker (заблокированное)
Get-WinEvent -LogName Microsoft-Windows-AppLocker/EXE and DLL -MaxEvents 50 | Where-Object { $_.Id -eq 8004 }

# Проверка статуса службы Application Identity (на клиенте)
Get-Service AppIDSvc
            

Категории

Настройка киоска через AD и AppLocker

🎯 Конечная цель

📊 Сводка созданных объектов

⚠️ Типичные ошибки

✅ Все шаги выполнены

🛠 Полезные команды

Категории:

Категории

Комментарии

Оставить комментарий

Категории

Настройка киоска через AD и AppLocker

🎯 Конечная цель

📊 Сводка созданных объектов

⚠️ Типичные ошибки

✅ Все шаги выполнены

🛠 Полезные команды

Категории:

Категории

Комментарии

Оставить комментарий

Обратная связь