Настройка службы удостоверений приложения
Некоторые возможности управления приложениями в Защитнике Windows доступны только в определенных версиях для Windows. Узнайте больше о доступности функции управления приложениями в Защитнике Windows.
В этом разделе для ИТ-специалистов показано, как настроить автоматический или ручной запуск службы удостоверений приложений.
Служба удостоверений приложения определяет и проверяет удостоверение приложения. Остановка этой службы предотвратит применение политик AppLocker.
Важно: При использовании групповая политика необходимо настроить автоматический запуск по крайней мере в одном объекте групповая политика , который применяет правила AppLocker. Это связано с тем, что AppLocker использует эту службу для проверки атрибутов файла.
Чтобы автоматически запустить службу удостоверений приложений с помощью групповая политика
- На начальном экране введите gpmc.msc, чтобы открыть консоль управления групповая политика (GPMC).
- Найдите объект групповой политики для изменения, щелкните его правой кнопкой мыши и выберите команду Изменить.
- В дереве консоли в разделе Конфигурация компьютера\Параметры Windows\Параметры безопасности щелкните Системные службы.
- В области сведений дважды щелкните Удостоверение приложения.
- В разделе Свойства удостоверения приложения настройте службу для автоматического запуска.
Минимальный доступ, необходимый для выполнения этой процедуры, является членством в локальной группе администраторов или эквивалентом.
Запуск службы удостоверений приложений вручную
- Щелкните правой кнопкой мыши панель задач и выберите диспетчер задач.
- Перейдите на вкладку Службы , щелкните правой кнопкой мыши AppIDSvc и выберите команду Запустить службу.
- Убедитесь, что для службы удостоверений приложений указано состояние Выполняется.
Начиная с Windows 10 служба удостоверений приложений теперь является защищенным процессом. Из-за этого вы больше не можете вручную задать для типа запуска службы значениеАвтоматически с помощью оснастки «Службы». Вместо этого попробуйте любой из этих методов:
-
Откройте командную строку с повышенными привилегиями или сеанс PowerShell и введите:
sc.exe config appidsvc start= auto
» Как включить службу Удостоверение приложения в Windows 10
Не могу включить службу Удостоверение приложения в Windows 10, выставляю тип запуска в положение автоматически, затем жму запустить, далее нажимаю применить и сразу же выплывает окошко с надписью отказано в доступе. Винда чистая, вирусов нет, сижу под админом.
Автор: maks61
Дата сообщения: 02.10.2015 14:02
Такая же ситуация, не получается службу «Удостоверение приложения» перевести в Авто (Win 10 x64).
Может кто знает решение данной задачи?
Нашел решение так:
Win + R — Regedit
[HKLM\System\CurrentControlSet\services\AppIDSvc]
Параметру Start (REG_DWORD) задаем значение 2 (по умолчанию было 3).
[HKLM\System\CurrentControlSet\services\AppID]
Параметру Start (REG_DWORD) задаем значение 2 (по умолчанию было 3).
Перезагрузка, и видим, что служба «Удостоверение приложения» — Авто — Выполняется.
Проверить можно так:
Идем Просмотр событий — Журналы приложений и служб — AppLocker — EXE и DLL.
Там должны быть Коды событий (у меня 8001 и 8002, что значит — успех).
Если у вас другие Коды событий, проверить можно тут внизу страницы.
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель — сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.
Windows admin blog
Полезные команды cmd, powershell, администрирование, фичи и решения проблем на win/winserver
Включение Applocker — служба «Удостоверение приложения» не запускается
Для работы Applocker должна быть запущена служба «Удостоверение приложений» (Application Identity) — режим запуска: автоматически, состояние: запущена. Если сделать этого не получается (Отказано в доступе), необходимо в реестре поменять значение параметра Start на 2
REG_DWORD 0x2 (2)
После этого правила Applocker будут отрабатывать корректно
Ограничение запуска приложений
В нашем наборе скриптов есть вспомогательный скрипт для настройки AppLocker’а.
Настройки AppLocker’а находятся в локальной групповой политике
«Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Политики управления приложениями\AppLocker»
(Computer Configuration\Windows Settings\Security Settings\Application Control Policies\AppLocker)
В разделе «AppLocker» можно указать политику применения правил:
Не настроено
Принудительное применение правил
В подразделах находятся разделы с настройками правил AppLocker’а.
Перед включением AppLocker’а необходимо создать правила по умолчанию или минимально необходимый набор правил для корректной работы системы.
Создание правил по умолчанию
Необходимо создать правила по умолчанию в разделах:
«Исполняемые правила» / (Executable Rules)
«Правила упакованных приложений» / (Packaged app Rules)
Для создания правил по умолчанию необходимо нажать правой кнопкой мыши на соответствующем разделе и выбрать пункт «Создать правила по умолчанию» / (Create Default Rules)
Без создания вышеуказанных правил система будет некорректно работать после включения AppLocker’а
Включение AppLocker’а
Для включения AppLocker’а необходимо перевести службу AppLocker’а в автоматический режим запуска и запустить ее. Для этого необходимо выполнить нижеуказанные команды в консоли, которая запущена с повышенными привилегиями:
sc config AppIDSvc start=auto net start AppIDSvc
AppLocker начнет работу НЕ сразу после запуска службы.
Узнать состояние работы AppLocker’а можно в просмотре событий.
«Просмотр событий \ Журналы приложений и служб \ Microsoft \ Windows \ AppLocker \ EXE и DLL»
(Event Viewer \ Application and Services Logs \ Microsoft \ Windows \ AppLocker \ EXE и DLL)
Ветка журнала «Журналы приложений и служб» / (Application and Services Logs) открывается не сразу, ее открытие может занять некоторое время.
AppLocker не будет работать до тех пор пока в разделе журнала «EXE и DLL» не появится сообщение о том, что политика AppLocker’а применена к системе – код события 8001.
В журнале нет автоматического обновления отображения содержимого, для обновления отображаемых данных в журнале необходимо нажать «F5»
Настройка правил
Правила по умолчанию позволяют всем пользователям запускать файлы исполнения, которые находятся в папках «Windows» и «Program Files». Запуск остальных файлов разрешен только группе «Администраторы». Запуск упакованных приложений разрешен всем пользователям.
Для настройки правил по белому списку — запрещено все, кроме того, что разрешено, необходимо настроить разрешения только для группы «Администраторы» или для учетной записи администратора.
Если вы не знаете какие разрешения необходимо установить для корректной работы пользователя, то можно включить режим аудита, при котором ограничения AppLocker’а не будут действовать, но будут записаны сообщения в журнал о том, что выполнение было бы запрещено, если бы действовали правила AppLocker’а
Для включения режима аудита выберите пункт «AppLocker» в редакторе локальной групповой политики по ранее указанному пути. В правой части редактора нажмите левой кнопкой мыши на пункте «Настроить применение правил» \ (Configure rule enforcement). В необходимом разделе поставьте флажок «Настроено» \ (Configured) и в выпадающем меню выберите пункт «Только аудит» \ (Audit only).
После включения режима аудита запустите все программы, которые будет запускать пользователь и посмотрите в журнале AppLocker’а запуск каких программ был бы запрещен.
Во время сбора сведений в режиме аудита необходимо входить в учетную запись пользователя так, как это будет делать пользователь. Т.е. если вход в учетную запись пользователя будет автоматический после загрузки системы, то загрузите систему со входом в учетную запись, не нужно просто переходить из одной учетной записи в другую.
По результатам аудита добавьте разрешения на запуск программ, необходимых для пользователя, а затем отключите режим аудита и проверьте работу системы.
Или можно автоматически создать правила на основании результатов аудита.
Автоматическое создание правил по результатам аудита
Пример для автоматического создания правил на основании результатов аудита с помощью PowerShell:
Get-ApplockerFileinformation -Eventlog -EventType Audited | New-ApplockerPolicy -RuleType Hash, Publisher -User (Имя пользователя) -RuleNamePrefix AuditBased | Set-ApplockerPolicy –Merge
В данном примере:
«Get-ApplockerFileinformation -Eventlog -EventType Audited» — получает события типа «Аудит»
«New-ApplockerPolicy» — создает новые правила
«-RuleType Hash, Publisher» — создает новые правила на основании «Hash», если не доступен «Hash», то правило будет создано на основе «Publisher». Если поменять значения местами, то изменится приоритет и первичным будет «Publisher».
«User» — В значении «User» необходимо указать SID пользователя или группы.
«RuleNamePrefix» — определяет строку, которая будет добавлена к названию создаваемого правила
«Set-ApplockerPolicy» — применяет правила к системе
«Merge» — параметр указывающий на то, что правила необходимо добавить к уже существующим, без данного ключа новые правила заменят существующие правила
Для уменьшения количества создаваемых правил можно использовать параметр «Optimize» для командлета «New-ApplockerPolicy», но это может ухудшить наглядное представление правил.
Описание команд AppLocker’а можно посмотреть здесь
Отключение AppLocker’а
Правила AppLocker’а будут действовать после остановки службы. Чтобы правила AppLocker’а перестали действовать необходимо из папки «С:\Windows\System32\AppLocker» удалить файлы:
Appx.AppLocker
Dll.AppLocker
Exe.AppLocker
Msi.AppLocker
Script.AppLocker
Для возобновления работы AppLocker’а необходимо вернуть файлы обратно в папку.
Чтобы изменения вступили в силу необходимо перезагрузить систему.
Проблемы и решения
Изменение параметров запуска службы AppLocker’а
При изменении параметров запуска службы AppLocker’а система может сообщить о том, что недостаточно прав. Изменить параметры запуска службы можно в реестре
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AppIDSvc
За тип запуска отвечает параметр «Start»:
2 — Автоматически
З – Вручную
Система не загружается после запечатывания в режиме OOBE
Для загрузке в режиме OOBE отключите AppLocker
AppLocker запрещает запуск того, что явно разрешено
Проверьте, что служба «Удостоверение приложения» запущена. Статус работы службы можно узнать с помощью команды «Get-Service AppIDSvc».
Если служба остановлена запустите ее и переведите в автоматический режим запуска.