חסימת אפליקציות במכשירי Windows 10 או Windows 11 באמצעות הגדרות מותאמות אישית

התכונה הזו נתמכת במהדורות הבאות: Frontline Starter,‏ Frontline Standard ו-Frontline Plus,‏ Business Plus,‏ Enterprise Standard ו-Enterprise Plus,‏ Education Standard,‏ Education Plus ו-Endpoint Education Upgrade,‏ Enterprise Essentials ו-Enterprise Essentials Plus,‏ Cloud Identity Premium.  השוואה בין מהדורות

כשמנהלים מכשירי Windows בארגון באמצעות ניהול מכשירי Windows, אפשר להגביל את האפליקציות שמותרות במכשירים האלה על ידי הוספת הגדרות מותאמות אישית במסוף Google Admin. מציינים את האפליקציות בקובץ XML שמעלים כערך של ההגדרה בהתאמה אישית. אתם יכולים לחסום אפליקציות ספציפיות או את כל קובצי האפליקציות שתואמים לסוג מסוים, כמו קובצי EXE או MSI.

שלב 1: ציון אפליקציות מותרות וחסימות בקובץ XML

כדי ליצור את קובץ ה-XML, אפשר להשתמש בשורת הפקודה ב-PowerShell או בממשק המשתמש הגרפי בכלי לעריכת מדיניות קבוצתית ב-Windows. בהוראות האלה מוסבר איך ליצור מדיניות אחת, אבל אפשר לשלב מדיניות שקשורה לאפליקציות עם אותו סוג קובץ בקובץ XML אחד. דוגמאות

חשוב: כדי לחסום סוגים שונים של קבצי אפליקציות (EXE,‏ MSI,‏ Script,‏ StoreApps ו-DLL), צריך ליצור הגדרות מותאמות אישית נפרדות.

אפשרות 1 – שורת פקודה (PowerShell)

  1. משתמשים במחולל GUID אונליין כדי לקבל GUID אקראי. טיפ: במנוע חיפוש, מחפשים את online GUID generator.
  2. אם רוצים לחסום אפליקציה ספציפית, צריך לקבל את פרטי האפליקציה. אם רוצים לחסום את כל האפליקציות עם סוג קובץ מסוים, אפשר לדלג על השלב הזה.
    1. במכשיר Windows, מורידים את קובץ ההפעלה של האפליקציה (זה שמסתיים ב-‎ .exe) שרוצים לחסום או לאשר.
    2. פותחים את PowerShell.
    3. מריצים את הפקודה Get-AppLockerFileInformation -path PathToExe | format-list, כאשר PathToExe הוא הנתיב לקובץ ההפעלה.
    4. בתשובה, מאתרים את הערכים בשורה Publisher ורושמים אותם. הערכים הם בפורמט הבא ותואמים לערכים שתשתמשו בהם ב-XML:

      PublisherNameProductNameBinaryName,BinaryVersion

      שם בעל האפליקציה הוא מחרוזת ארוכה, כמו O=MICROSOFT CORPORATION, L=REDWOOD, S=WASHINGTON, C=US, וחובה לכלול את המחרוזת כולה.

  3. מעתיקים את ה-XML הבא לכלי לעריכת טקסט:

    <RuleCollection Type="Type" EnforcementMode="Enabled">
    <FilePublisherRule Id=GUID Name=PolicyName Description=PolicyDescription UserOrGroupSid=UserOrGroupSid Action=[Allow|Deny]>
    <Conditions>
    <FilePublisherCondition PublisherName=PublisherName BinaryName=BinaryName ProductName=ProductName>
    <BinaryVersionRange HighSection=latestVersion LowSection=earliestVersion />
    </FilePublisherCondition>
    </Conditions>
    </FilePublisherRule>
    </RuleCollection>

  4. עורכים את קובץ ה-XML כדי להחליף את מצייני המיקום בערכים שלהם. דוגמאות לתרחישים ספציפיים, כמו קיבוץ של כמה כללי מדיניות לקובץ אחד, מופיעות כאן.
    Placeholder ערך
    סוג

    סוג הקובץ של האפליקציה (חייב להיות זהה ל-OMA-URI):

    • לקובצי EXE, מזינים "Exe"
    • עבור קובצי MSI, מזינים "Msi"
    • לקובצי סקריפט, מזינים "Script"
    • לקובצי DLL, מזינים "Dll"
    • עבור אפליקציות מ-Microsoft Store, מזינים "Appx"
    GUID ה-GUID שיצרתם בשלב 1
    PolicyName שם המדיניות. אפשר להשתמש בכל מחרוזת.
    PolicyDescription תיאור של המדיניות
    UserOrGroupSid המשתמשים או הקבוצות שהמדיניות חלה עליהם:
    • כדי להחיל את המדיניות על כל המשתמשים במכשיר, מזינים S-1-1-0.
    • כדי להחיל את המדיניות על משתמש ספציפי, מזינים את ה-SID שלו. כדי לקבל את ה-SID שלהם, מריצים את הפקודה הבאה בשורת הפקודה:

      wmic username get name,sid

      כאשר username הוא שם המשתמש של המשתמש במכשיר. אם אתם לא יודעים את שם המשתמש, תוכלו להריץ את הפקודה הבאה כדי לקבל רשימה של כל המשתמשים במכשיר:

      wmic useraccount get name,sid

    • אפשר להזין רק שם משתמש אחד. כדי להחיל את המדיניות על משתמשים נוספים, צריך להוסיף את המשתמשים לקבוצה או להעתיק את המדיניות ולעדכן את השם.

    • כדי להחיל את המדיניות על קבוצה ספציפית, מזינים את ה-SID שלה. כדי לקבל את ה-SID של הקבוצה, מריצים את הפקודה הבאה בשורת הפקודה:

      wmic groupName get name,sid

      כאשר groupName הוא שם הקבוצה במכשיר. אם אתם לא יודעים את שם הקבוצה, אתם יכולים להריץ את הפקודה הבאה כדי לקבל רשימה של כל הקבוצות במכשיר:

      wmic group get name,sid
    אישור|דחייה בוחרים את הפעולה של המדיניות הזו, כלומר אם היא חוסמת או מאפשרת את האפליקציות שצוינו
    PublisherName השם של בעל האפליקציה (PublisherName משלב 2). אפשר להשתמש בתו הכללי לחיפוש &ast;, אבל אין תמיכה בהתאמה של ביטויים רגולריים ובתווים כלליים לחיפוש של קידומות או סיומות.
    BinaryName

    שם הקובץ הבינארי (BinaryName משלב 2). אפשר להשתמש בתו הכללי לחיפוש &ast;, אבל אין תמיכה בהתאמה של ביטויים רגולריים ובתווים כלליים לחיפוש של קידומות או סיומות.

    לדוגמה, כדי לחסום את כל קובצי ה-EXE, מזינים &ast; וכשמוסיפים את ההגדרה המותאמת אישית, בוחרים את ה-OMA-URI שמסתיים ב-‎/EXE/Policy.
    ProductName שם המוצר (ProductName משלב 2). אפשר להשתמש בתו הכללי לחיפוש &ast;, אבל אין תמיכה בהתאמה של ביטויים רגולריים ובתווים כלליים לחיפוש של קידומות או סיומות.
    latestVersion מספר הגרסה האחרונה של האפליקציה שהמדיניות הזו חלה עליה. כדי לחסום את כל הגרסאות של האפליקציה, מזינים *.
    earliestVersion מספר הגרסה המוקדם ביותר של האפליקציה שהמדיניות הזו חלה עליה. כדי לחסום את כל הגרסאות של האפליקציה, מזינים *.

  5. שומרים את הקובץ.

אפשרות 2 – GUI (עורך מדיניות הקבוצות ב-Windows)

  1. פועלים לפי ההוראות בקטע 'יצירת קובץ ה-XML' במאמר הזה של מיקרוסופט. מפסיקים לפעול לפי ההוראות כשמגיעים לקטע 'יצירת המדיניות'.

    הערה: ההוראות האלה מתארות איך ליצור מדיניות לאפליקציה שמותקנת במכשיר. כדי ליצור מדיניות לאפליקציה שלא מותקנת במכשיר, בשלב 6 בוחרים באפשרות שימוש בכלי להתקנת אפליקציות ארוזות כנקודת ייחוס.

  2. אחרי שמייצאים את קובץ ה-XML, מסירים את המדיניות שיצרתם בכלי לעריכת מדיניות קבוצתית. אחרת, המדיניות נאכפת במכשיר.

שלב 2: מוסיפים את ההגדרה המותאמת אישית

  1. במסוף Google Admin, נכנסים לתפריט ואז מכשירים and thenניידים ונקודות קצה and thenהגדרות ואזWindows

    כדי לעשות את זה צריך הרשאת אדמין לשירותים ומכשירים.

  2. לוחצים על הגדרות בהתאמה אישית.
  3. לוחצים על הוספת הגדרה מותאמת אישית.

  4. מגדירים את ההגדרה המותאמת אישית:

    1. בשדה OMA-URI, מזינים ApplicationLaunchRestriction ובוחרים את ה-OMA-URI שמתאים לסוג הקובץ של האפליקציה במדיניות:

      • לקובצי EXE, בוחרים באפשרות ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Enter Grouping>/EXE/Policy.
      • לאפליקציות שזמינות ב-Microsoft Store, בוחרים באפשרות ‎./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Enter Grouping>/AppStore/Policy
      • לקובצי MSI, בוחרים באפשרות ‎./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Enter Grouping>/MSI/Policy
      • בסקריפטים של PowerShell, בוחרים באפשרות ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Enter Grouping>/Script/Policy
      • עבור קובצי DLL, בוחרים באפשרות ‎./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Enter Grouping>/DLL/Policy

      מידע נוסף זמין במסמכי העזרה של Microsoft בנושא AppLocker CSP.

    2. ב-OMA-URI, מחליפים את <Enter Grouping> במחרוזת אלפאנומרית אקראית שייחודית לכל הגדרה מותאמת אישית. לדוגמה, אם מוסיפים הגדרה מותאמת אישית אחת לחסימת קובצי EXE והגדרה נוספת לחסימת קובצי MSI, צריך להשתמש בערך שונה לכל הגדרה מותאמת אישית.

    3. כשבוחרים ב-OMA-URI, השדה Name (שם) מתעדכן ל-Policy (מדיניות). מזינים שם ייחודי שיעזור לכם לזהות את ההגדרה ברשימת ההגדרות בהתאמה אישית.

    4. בשדה Data type, בוחרים באפשרות String (XML), לוחצים על Upload XML ובוחרים את קובץ ההגדרות בפורמט XML שיצרתם בקטע הראשון.

    5. (אופציונלי) מזינים תיאור של הפעולה של ההגדרה המותאמת אישית ושל מי שהיא חלה עליו.

  5. לוחצים על הבא כדי להמשיך ולבחור את היחידה הארגונית שההגדרה המותאמת אישית חלה עליה, או לוחצים על הוספת הגדרה נוספת כדי להתחיל הגדרה נוספת. מדיניות נוספת לא מוחלת על יחידה ארגונית עד שלוחצים על הבא ובוחרים את היחידה הארגונית.

  6. בוחרים את היחידה הארגונית שעליה רוצים להחיל את המדיניות.

  7. לוחצים על אישור.

אם משתמש ביחידה הארגונית ינסה להתקין או לפתוח אפליקציה חסומה במכשיר Windows, תוצג לו הודעת שגיאה שהאפליקציה נחסמה על ידי האדמין של המערכת.

דוגמאות לקובצי XML

מותר להשתמש רק באפליקציות חתומות (חסימה של כל האפליקציות הלא חתומות)

המדיניות הזו מאפשרת למשתמשים להתקין רק אפליקציות חתומות, ובכך גם חוסמת את האפשרות להתקין אפליקציות לא חתומות עם סוג הקובץ שצוין ב-OMA-URI.

כדי לחסום את כל האפליקציות שלא חתומות לכל סוגי הקבצים, מוסיפים הגדרה מותאמת אישית לכל סוג קובץ ומשתמשים ב-XML הבא בשביל הערך.

הערה: ב-RuleCollection, הערך של Type חייב להתאים לסוג הקובץ של האפליקציה. הערך יכול להיות "Exe" לקובצי EXE,‏ "Msi" לקובצי MSI,‏ "Script" לקובצי Script,‏ "Dll" לקובצי DLL או "Appx" ל-StoreApps. ב-FilePublisherRule, מחליפים את GUID ב-GUID אקראי שמתקבל ממחולל GUID אונליין. 
<RuleCollection Type="Type" EnforcementMode="Enabled">
  <FilePublisherRule Id=GUID Name="Allow all signed apps" Description="Allows all users to run signed apps" UserOrGroupSid="S-1-1-0" Action="Allow">
     <Conditions>
       <FilePublisherCondition PublisherName="*" ProductName="*" BinaryName="*">
         <BinaryVersionRange LowSection="*" HighSection="*" />
       </FilePublisherCondition>
     </Conditions>
   </FilePublisherRule>
</RuleCollection>

חסימה של אפליקציות ספציפיות

כדי לחסום אפליקציות, צריך לכלול קטע <FilePublisherRule> שמאפשר לאפליקציות וקטע <FilePublisherRule> שחוסם כל אפליקציה שרוצים לחסום.

הפורמט הכללי הוא:

<RuleCollection Type="Type" EnforcementMode="Enabled">
  <FilePublisherRule...>
    ...allow apps...
  </FilePublisherRule>
  <FilePublisherRule...>
    ...conditions for first app to block...
  </FilePublisherRule>
  <FilePublisherRule...>
    ...conditions for second app to block...
  </FilePublisherRule>
</RuleCollection>
 הערה: ב-RuleCollection, הערך Type חייב להיות זהה לסוג קובץ האפליקציה. הערך יכול להיות "Exe" לקובצי EXE,‏ "Msi" לקובצי MSI,‏ "Script" לקובצי Script,‏ "Dll" לקובצי DLL או "Appx" ל-StoreApps. ב-FilePublisherRule, מחליפים את GUID ב-GUID אקראי שמתקבל ממחולל GUID אונליין.

לדוגמה, המדיניות הזו חוסמת את האפשרות של משתמשים להפעיל את 'אפליקציה א' ו'אפליקציה ב', שהן קובצי EXE:

<RuleCollection Type="Exe" EnforcementMode="Enabled">
  <FilePublisherRule Id=GUID Name="Allow all signed apps" Description="Allows all users to run signed apps" UserOrGroupSid="S-1-1-0" Action="Allow">
    <Conditions>
      <FilePublisherCondition PublisherName="*" ProductName="*" BinaryName="*">
  <BinaryVersionRange LowSection="*" HighSection="*" />
      </FilePublisherCondition>
    </Conditions>
  </FilePublisherRule>
  <FilePublisherRule Id=GUID Name="Block app A" Description="Blocks app A for all users" UserOrGroupSid="S-1-1-0" Action="Deny">
    <Conditions>
      <FilePublisherCondition PublisherName="O=Software Company, L=London, C=GB" ProductName="APPLICATION A" BinaryName="APPA.EXE">
        <BinaryVersionRange LowSection="*" HighSection="*" />
      </FilePublisherCondition>
    </Conditions>
  </FilePublisherRule>
  <FilePublisherRule Id=GUID Name="Block app B" Description="Blocks app B for all users" UserOrGroupSid="S-1-1-0" Action="Deny">
    <Conditions>
      <FilePublisherCondition PublisherName="O=Solarmora Inc, L=Mountain View, S=California, C=US" ProductName="APPLICATION B" BinaryName="APPB.EXE">
        <BinaryVersionRange LowSection="*" HighSection="*" />
      </FilePublisherCondition>
    </Conditions>
 </FilePublisherRule>
</RuleCollection>

חסימת אפליקציות שמצורפות למערכת ההפעלה Windows

הדוגמה הזו, שמבוססת על הדוגמה במסמכי Microsoft, חוסמת את המשתמשים משימוש ב-Windows Mail. לפני שמשתמשים בו, צריך להחליף את GUID ב-GUID אקראי שמתקבל ממחולל GUID אונליין.

הערה: קובץ האפליקציה הזה הוא אפליקציה מ-Microsoft Store, ולכן ה-OMA-URI צריך להיות ‎./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Enter Grouping>/AppStore/Policy.

<RuleCollection Type="Appx" EnforcementMode="Enabled">
  <FilePublisherRule Id=GUID Name="Allow all signed apps" Description="Allows all users to run signed apps" UserOrGroupSid="S-1-1-0" Action="Allow">
    <Conditions>
      <FilePublisherCondition PublisherName="*" ProductName="*" BinaryName="*">
        <BinaryVersionRange LowSection="*" HighSection="*" />
      </FilePublisherCondition>
    </Conditions>
  </FilePublisherRule>
  <FilePublisherRule Id=GUID Name="Block Windows Mail" Description="Blocks all users from using Windows Mail" UserOrGroupSid="S-1-1-0" Action="Deny">
    <Conditions>
      <FilePublisherCondition PublisherName="O=Microsoft Corporation, L=Redmond, S=Washington, C=US" ProductName="microsoft.windowscommunicationsapps" BinaryName="*">
        <BinaryVersionRange LowSection="*" HighSection="*" />
      </FilePublisherCondition>
    </Conditions>
  </FilePublisherRule>
</RuleCollection>


Google,‏ Google Workspace וסימנים וסמלי לוגו קשורים הם סימנים מסחריים של Google LLC. כל שמות החברות והמוצרים האחרים הם סימנים מסחריים של החברות שאליהן הם משויכים.