مسدود کردن برنامه‌ها در دستگاه‌های ویندوز ۱۰ یا ۱۱ با تنظیمات سفارشی

نسخه‌های پشتیبانی‌شده برای این ویژگی: Frontline Starter، Frontline Standard و Frontline Plus؛ Business Plus؛ Enterprise Standard و Enterprise Plus؛ Education Standard، Education Plus و Endpoint Education Upgrade؛ Enterprise Essentials و Enterprise Essentials Plus؛ Cloud Identity Premium. نسخه خود را مقایسه کنید

وقتی دستگاه‌های ویندوزی سازمان خود را با مدیریت دستگاه‌های ویندوزی مدیریت می‌کنید، می‌توانید با اضافه کردن تنظیمات سفارشی در کنسول گوگل ادمین، برنامه‌های مجاز روی آن دستگاه‌ها را محدود کنید. شما برنامه‌ها را در یک فایل XML که آپلود می‌کنید به عنوان مقدار تنظیمات سفارشی مشخص می‌کنید. می‌توانید برنامه‌های تکی یا تمام فایل‌های برنامه‌ای که با نوع خاصی مانند فایل‌های EXE یا MSI مطابقت دارند را مسدود کنید.

مرحله ۱: برنامه‌های مجاز و مسدود شده را در یک فایل XML مشخص کنید

برای ایجاد فایل XML، می‌توانید از خط فرمان در PowerShell یا رابط کاربری گرافیکی در ویرایشگر Group Policy ویندوز استفاده کنید. این دستورالعمل‌ها به شما نشان می‌دهند که چگونه یک Policy واحد بسازید، اما می‌توانید Policyهای مرتبط را برای برنامه‌هایی با نوع فایل یکسان در یک فایل XML ترکیب کنید. به مثال‌ها مراجعه کنید.

مهم : برای مسدود کردن انواع مختلف فایل‌های برنامه (EXE، MSI، Script، StoreApps و DLLها)، باید تنظیمات سفارشی جداگانه‌ای ایجاد کنید.

گزینه ۱ - خط فرمان (PowerShell)

  1. برای دریافت یک GUID تصادفی از یک تولیدکننده GUID آنلاین استفاده کنید. نکته : در یک موتور جستجو، عبارت online GUID generator را جستجو کنید.
  2. اگر می‌خواهید یک برنامه خاص را مسدود کنید، اطلاعات برنامه را دریافت کنید. اگر می‌خواهید همه برنامه‌ها را با یک نوع فایل خاص مسدود کنید، می‌توانید از این مرحله صرف نظر کنید.
    1. در دستگاه ویندوز، فایل اجرایی برنامه (فایلی که با .exe تمام می‌شود) را که می‌خواهید مسدود یا مجاز کنید، دانلود کنید.
    2. پاورشل را باز کنید.
    3. دستور Get-AppLockerFileInformation -path PathToExe | format-list را اجرا کنید، که در آن PathToExe مسیر فایل اجرایی است.
    4. در پاسخ، مقادیر موجود در خط Publisher را پیدا کرده و ثبت کنید. مقادیر دارای قالب زیر هستند و با مقادیری که در XML استفاده خواهید کرد مطابقت دارند:

      نام ناشر نام محصول نام دودویی ، نسخه دودویی

      نام ناشر یک رشته طولانی است، مانند O=MICROSOFT CORPORATION, L=REDWOOD, S=WASHINGTON, C=US و شما باید کل رشته را وارد کنید.

  3. XML زیر را در یک ویرایشگر متن کپی کنید:

    <RuleCollection Type=" Type " EnforcementMode="Enabled">
    <FilePublisherRule Id= GUID Name= PolicyName Description= PolicyDescription UserOrGroupSid= UserOrGroupSid Action=[Allow|Deny]>
    <Conditions>
    <FilePublisherCondition PublisherName= PublisherName BinaryName= BinaryName ProductName= ProductName >
    <BinaryVersionRange HighSection= latestVersion LowSection= earliestVersion />
    </FilePublisherCondition>
    </Conditions>
    </FilePublisherRule>
    </RuleCollection>

  4. فایل XML را ویرایش کنید تا متغیرهای متغیر را با مقادیر آنها جایگزین کنید. برای موارد استفاده خاص، مانند گروه‌بندی چندین سیاست در یک فایل، به مثال‌ها مراجعه کنید.
    جایگذار ارزش
    نوع

    نوع فایل برنامه (باید با OMA-URI مطابقت داشته باشد):

    • برای فایل‌های EXE، "Exe" را وارد کنید.
    • برای فایل‌های MSI، "Msi" را وارد کنید.
    • برای فایل‌های اسکریپت، "Script" را وارد کنید.
    • برای فایل‌های DLL، "Dll" را وارد کنید.
    • برای برنامه‌های فروشگاه مایکروسافت، "Appx" را وارد کنید.
    راهنما GUID که در مرحله 1 ایجاد کردید
    نام سیاست یک نام برای سیاست. می‌توانید از هر رشته‌ای استفاده کنید.
    شرح سیاست شرح سیاست
    شناسه کاربری یا گروه کاربران یا گروه‌هایی که این سیاست در مورد آنها اعمال می‌شود:
    • برای اعمال این پالیسی به همه کاربران دستگاه، S-1-1-0 را وارد کنید.
    • برای اعمال این سیاست به یک کاربر خاص، SID او را وارد کنید. برای دریافت SID او، در خط فرمان دستور زیر را اجرا کنید:

      نام کاربری wmic، نام، sid را دریافت کنید

      که در آن username نام کاربری کاربر روی دستگاه است. اگر نام کاربری را نمی‌دانید، با اجرای دستور زیر لیستی از تمام کاربران دستگاه را دریافت کنید:

      دریافت نام و شناسه کاربری wmic

    • شما فقط می‌توانید یک نام کاربری وارد کنید. برای اعمال این سیاست به کاربران بیشتر، یا کاربران را در یک گروه قرار دهید، یا سیاست را کپی کرده و نام را به‌روزرسانی کنید.

    • برای اعمال این سیاست به یک گروه خاص، SID آن را وارد کنید. برای دریافت SID گروه، در خط فرمان، دستور زیر را اجرا کنید:

      wmic groupName دریافت نام و شناسه کاربری

      که در آن groupName نام گروه روی دستگاه است. اگر نام گروه را نمی‌دانید، می‌توانید با اجرای دستور زیر لیستی از تمام گروه‌های روی دستگاه را دریافت کنید:

      گروه wmic نام و شناسه را دریافت می‌کند

    اجازه دادن | رد کردن اقدام مربوط به این خط‌مشی را انتخاب کنید، چه برنامه‌های مشخص‌شده را مسدود کند و چه اجازه دهد
    نام ناشر نام ناشر برنامه (PublisherName از مرحله ۲). می‌توانید از علامت * استفاده کنید، اما تطبیق عبارات منظم و علامت‌های پیشوند یا پسوند پشتیبانی نمی‌شوند.
    نام دودویی

    نام فایل باینری (BinaryName از مرحله ۲). می‌توانید از علامت * استفاده کنید، اما تطبیق عبارت منظم و علامت‌های پیشوند یا پسوند پشتیبانی نمی‌شوند.

    برای مثال، برای مسدود کردن همه فایل‌های EXE، * را وارد کنید و هنگام افزودن تنظیمات سفارشی، OMA-URI که با /EXE/Policy خاتمه می‌یابد را انتخاب کنید.

    نام محصول نام محصول (ProductName از مرحله ۲). می‌توانید از علامت * استفاده کنید، اما تطبیق عبارات منظم و علامت‌های پیشوند یا پسوند پشتیبانی نمی‌شوند.
    آخرین نسخه شماره آخرین نسخه برنامه‌ای که این خط‌مشی برای آن اعمال می‌شود. برای مسدود کردن همه نسخه‌های برنامه، * را وارد کنید.
    اولین نسخه شماره قدیمی‌ترین نسخه برنامه که این خط‌مشی برای آن اعمال می‌شود. برای مسدود کردن همه نسخه‌های برنامه، * را وارد کنید.

  5. فایل را ذخیره کنید.

گزینه ۲ - رابط کاربری گرافیکی (ویرایشگر سیاست گروه‌های ویندوز)

  1. دستورالعمل‌های بخش «ایجاد XML» این مقاله مایکروسافت را دنبال کنید. وقتی به بخش «ایجاد سیاست» رسیدید، دنبال کردن دستورالعمل‌ها را متوقف کنید.

    توجه: این دستورالعمل‌ها نحوه ایجاد خط‌مشی برای برنامه‌ای که روی دستگاه نصب شده است را شرح می‌دهند. برای ایجاد خط‌مشی برای برنامه‌ای که روی دستگاه نصب نشده است، در مرحله ۶، گزینه «استفاده از یک نصب‌کننده برنامه بسته‌بندی شده به عنوان مرجع » را انتخاب کنید.

  2. پس از خروجی گرفتن از فایل XML، در ویرایشگر Groups Policy، پالیسی ایجاد شده را حذف کنید. در غیر این صورت، پالیسی روی دستگاه اعمال می‌شود.

مرحله ۲: تنظیم سفارشی را اضافه کنید

  1. در کنسول مدیریت گوگل، به منو بروید و سپس دستگاه‌ها و سپس موبایل و نقاط پایانی و سپس تنظیمات و سپس ویندوز

    نیاز به داشتن امتیاز مدیر سرویس‌ها و دستگاه‌ها دارد.

  2. روی تنظیمات سفارشی کلیک کنید.
  3. روی افزودن یک تنظیم سفارشی کلیک کنید.

  4. تنظیمات سفارشی را پیکربندی کنید:

    1. در فیلد OMA-URI، عبارت ApplicationLaunchRestriction را وارد کنید و OMA-URI مربوط به نوع فایل برنامه در پالیسی را انتخاب کنید:

      • برای فایل‌های EXE، گزینه ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Enter Grouping>/EXE/Policy را انتخاب کنید.
      • برای برنامه‌های موجود در فروشگاه مایکروسافت، ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Enter Grouping>/AppStore/Policy را انتخاب کنید.
      • برای فایل‌های MSI، مسیر ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Enter Grouping>/MSI/Policy را انتخاب کنید.
      • برای اسکریپت‌های PowerShell، ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Enter Grouping>/Script/Policy را انتخاب کنید.
      • برای فایل‌های DLL، ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Enter Grouping>/DLL/Policy را انتخاب کنید.

      برای اطلاعات بیشتر، به مستندات Microsoft AppLocker CSP مراجعه کنید.

    2. در OMA-URI، <Enter Grouping> را با یک رشته تصادفی الفبایی-عددی که برای هر تنظیم سفارشی منحصر به فرد است، جایگزین کنید. برای مثال، اگر یک تنظیم سفارشی برای مسدود کردن فایل‌های EXE و یک تنظیم دیگر برای مسدود کردن فایل‌های MSI اضافه می‌کنید، برای هر تنظیم سفارشی از مقدار متفاوتی استفاده کنید.

    3. وقتی OMA-URI را انتخاب می‌کنید، فیلد نام به "Policy" به‌روزرسانی می‌شود. یک نام منحصر به فرد وارد کنید تا به شما در شناسایی آن در لیست تنظیمات سفارشی کمک کند.

    4. برای نوع داده (Data typeرشته (XML) را انتخاب کنید، روی بارگذاری XML کلیک کنید و فایل پیکربندی XML که در بخش اول ایجاد کرده‌اید را انتخاب کنید.

    5. (اختیاری) توضیحی وارد کنید که عملکرد تنظیمات سفارشی و اینکه برای چه کسی اعمال می‌شود را شرح دهد.

  5. برای ادامه و انتخاب واحد سازمانی که تنظیمات سفارشی روی آن اعمال می‌شود، روی «بعدی» کلیک کنید، یا برای شروع دیگری روی «افزودن دیگری » کلیک کنید. سیاست‌های اضافی تا زمانی که روی «بعدی» کلیک نکنید و واحد سازمانی را انتخاب نکنید، روی یک واحد سازمانی اعمال نمی‌شوند.

  6. واحد سازمانی را برای اعمال سیاست انتخاب کنید.

  7. روی اعمال کلیک کنید.

اگر کاربری در واحد سازمانی سعی کند یک برنامه مسدود شده را روی دستگاه ویندوز خود نصب یا باز کند، با پیام خطایی مبنی بر مسدود شدن برنامه توسط مدیر سیستم مواجه می‌شود.

مثال فایل‌های XML

فقط برنامه‌های امضا شده را مجاز کنید (همه برنامه‌های امضا نشده را مسدود کنید)

این خط‌مشی به کاربران اجازه می‌دهد فقط برنامه‌های امضا شده را نصب کنند، که همچنین کاربران را از نصب برنامه‌های امضا نشده با نوع فایل مشخص شده در OMA-URI باز می‌دارد.

برای مسدود کردن همه برنامه‌های بدون امضا برای همه انواع فایل، برای هر نوع فایل یک تنظیم سفارشی اضافه کنید و از XML زیر برای مقدار آن استفاده کنید.

توجه: در RuleCollection ، Type باید با نوع فایل برنامه مطابقت داشته باشد. مقدار می‌تواند برای فایل‌های EXE "Exe" ، برای فایل‌های MSI "Msi" ، برای فایل‌های Script "Script" ، برای فایل‌های DLL "Dll" یا برای StoreApps "Appx" باشد. در FilePublisherRule ، GUID را با یک GUID تصادفی که از یک تولیدکننده GUID آنلاین دریافت می‌کنید، جایگزین کنید. 
<RuleCollection Type="Type" EnforcementMode="Enabled">
  <FilePublisherRule Id=GUID Name="Allow all signed apps" Description="Allows all users to run signed apps" UserOrGroupSid="S-1-1-0" Action="Allow">
     <Conditions>
       <FilePublisherCondition PublisherName="*" ProductName="*" BinaryName="*">
         <BinaryVersionRange LowSection="*" HighSection="*" />
       </FilePublisherCondition>
     </Conditions>
   </FilePublisherRule>
</RuleCollection>

مسدود کردن برنامه‌های خاص

برای مسدود کردن برنامه‌ها، باید یک بخش <FilePublisherRule> اضافه کنید که به برنامه‌ها و بلوک‌های <FilePublisherRule> برای هر برنامه‌ای که می‌خواهید مسدود کنید، اجازه دسترسی بدهد.

قالب کلی این است:

<RuleCollection Type="Type" EnforcementMode="Enabled">
  <FilePublisherRule...>
    ...allow apps...
  </FilePublisherRule>
  <FilePublisherRule...>
    ...conditions for first app to block...
  </FilePublisherRule>
  <FilePublisherRule...>
    ...conditions for second app to block...
  </FilePublisherRule>
</RuleCollection>
توجه: در RuleCollection ، Type باید با نوع فایل برنامه مطابقت داشته باشد. مقدار می‌تواند برای فایل‌های EXE "Exe" ، برای فایل‌های MSI "Msi" ، برای فایل‌های Script "Script" ، برای فایل‌های DLL "Dll" یا برای StoreApps "Appx" باشد. در FilePublisherRule ، GUID را با یک GUID تصادفی که از یک تولیدکننده GUID آنلاین دریافت می‌کنید، جایگزین کنید.

برای مثال، این خط‌مشی، کاربران را از اجرای هر دو فایل «برنامه A» و «برنامه B» که فایل‌های EXE هستند، منع می‌کند:

<RuleCollection Type="Exe" EnforcementMode="Enabled">
  <FilePublisherRule Id=GUID Name="Allow all signed apps" Description="Allows all users to run signed apps" UserOrGroupSid="S-1-1-0" Action="Allow">
    <Conditions>
      <FilePublisherCondition PublisherName="*" ProductName="*" BinaryName="*">
  <BinaryVersionRange LowSection="*" HighSection="*" />
      </FilePublisherCondition>
    </Conditions>
  </FilePublisherRule>
  <FilePublisherRule Id=GUID Name="Block app A" Description="Blocks app A for all users" UserOrGroupSid="S-1-1-0" Action="Deny">
    <Conditions>
      <FilePublisherCondition PublisherName="O=Software Company, L=London, C=GB" ProductName="APPLICATION A" BinaryName="APPA.EXE">
        <BinaryVersionRange LowSection="*" HighSection="*" />
      </FilePublisherCondition>
    </Conditions>
  </FilePublisherRule>
  <FilePublisherRule Id=GUID Name="Block app B" Description="Blocks app B for all users" UserOrGroupSid="S-1-1-0" Action="Deny">
    <Conditions>
      <FilePublisherCondition PublisherName="O=Solarmora Inc, L=Mountain View, S=California, C=US" ProductName="APPLICATION B" BinaryName="APPB.EXE">
        <BinaryVersionRange LowSection="*" HighSection="*" />
      </FilePublisherCondition>
    </Conditions>
 </FilePublisherRule>
</RuleCollection>

مسدود کردن برنامه‌هایی که به صورت پیش‌فرض در سیستم عامل ویندوز وجود دارند

این نمونه، که بر اساس مثال موجود در مستندات مایکروسافت است، کاربران را از استفاده از Windows Mail منع می‌کند. قبل از استفاده از آن، GUID را با یک GUID تصادفی که از یک تولیدکننده GUID آنلاین دریافت می‌کنید، جایگزین کنید.

توجه: این فایل برنامه یک برنامه فروشگاه مایکروسافت است، بنابراین OMA-URI باید ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Enter Grouping>/AppStore/Policy باشد.

<RuleCollection Type="Appx" EnforcementMode="Enabled">
  <FilePublisherRule Id=GUID Name="Allow all signed apps" Description="Allows all users to run signed apps" UserOrGroupSid="S-1-1-0" Action="Allow">
    <Conditions>
      <FilePublisherCondition PublisherName="*" ProductName="*" BinaryName="*">
        <BinaryVersionRange LowSection="*" HighSection="*" />
      </FilePublisherCondition>
    </Conditions>
  </FilePublisherRule>
  <FilePublisherRule Id=GUID Name="Block Windows Mail" Description="Blocks all users from using Windows Mail" UserOrGroupSid="S-1-1-0" Action="Deny">
    <Conditions>
      <FilePublisherCondition PublisherName="O=Microsoft Corporation, L=Redmond, S=Washington, C=US" ProductName="microsoft.windowscommunicationsapps" BinaryName="*">
        <BinaryVersionRange LowSection="*" HighSection="*" />
      </FilePublisherCondition>
    </Conditions>
  </FilePublisherRule>
</RuleCollection>


گوگل، گوگل ورک‌اسپیس و علامت‌ها و لوگوهای مرتبط، علائم تجاری شرکت گوگل هستند. سایر نام‌های شرکت‌ها و محصولات، علائم تجاری شرکت‌هایی هستند که با آنها مرتبط هستند.