How to use AppLocker in Windows 11/10
To prevent users from installing or running Windows Store Apps with AppLocker in Windows, type secpol.msc in Run and hit Enter to open the Local Security Policy Editor.
In the console tree, navigate to Security Settings > Application Control Policies > AppLocker.
Select where you want to create the rule. This could be for an Executable, Windows Installer, Scripts or in the case of Windows 10, a Windows Store packaged app.
Let us say you want to create a rule for Packaged apps. Right-click on Packaged apps and select Create Rule. You will see a Before You Begin page.
Click Next to reach the Permissions page.
On this page, select the action viz. Allow or Deny and the User or User Group you want the rule to apply. Click Next to reach the Conditions page.
Select how you want to create the rules – base on Publishers, File Path, or Has. I have selected Publishers, which is the default.
Click Next to reach the Publisher page.
Here you can browse for and select a Reference for the Packaged app and set the Scope for the rule.
Settings for Scope include:
- Applies to Any publisher
- Applies to a specific Publisher
- Applies to a Package name
- Applies to a Package version
- Applying custom values to the rule
The options for Reference include:
- Use an installed packaged app as a reference
- Use a packaged app installer as a reference
After making your selections, click Next again.
If you wish, on the Exceptions page you may specify conditions when to exclude the rules, and on the Name and Description page, you can accept the automatically generated rule name or type a new rule name, and click Create. You can read more about creating rules for Packaged Windows Store apps here at Technet.
Do note that for the AppLocker to work on your system, the Application Identity service must be running on your computer. Also, the Group Policy Client service, gpsvc, required for running AppLOcker, is disabled by default on Windows RT, so you may have to enable it via services.msc.
Difference between AppLocker in Windows 11/10 & Windows 7
The AppLocker in Windows 10 allows you to also create rules for Packaged Windows Store apps. Moreover, the Windows 10/8 AppLocker rules can also additionally control the .mst and .appx file formats.
This app has been blocked by your system administrator
If as a user, you find that when you start any Windows Store app (or traditional software) you receive the message: This app has been blocked by your system administrator, you will have to contact your Administrator and ask him to create rules to allow you to use (or install) the software.
To create and enforce AppLocker rules, the computer must be running Windows 11/10, Windows 8 Enterprise, Windows 7 Ultimate, Windows 7 Enterprise, Windows Server 2008 R2 or Windows Server 2012.
You can also block users from installing or running programs using the Registry or Group Policy.
PS: Windows Program Blocker is a free App or Application blocker software to block software from running on Windows 10/8/7.
Решение проблемы в домашней версии «десятки»
Если у вас на устройстве стоит версия «десятки» «Домашняя», вам нужно использоваться для решения проблемы «Редактор реестра» или «Командную строку» (для открытия запрещённого документа через неё).
Отключение UAC с помощью «Редактора реестра»
Так как в домашнем варианте отсутствует редактор с политиками, вам необходимо выключить опцию проверки через другое системное окно — «Редактор реестра». В нём мы будем деактивировать службу контроля «учёток» (UAC):
Чтобы раскрыть «Редактор реестра» используем то же окно «Выполнить» — пишем в строчке «Открыть» команду regedit и выполняем её
Даём согласие на внесение изменений.Вставьте команду regedit и кликните по ОК
Сначала создадим на всякий случай копию реестра — это будет мера предосторожности. Если что-то пойдёт не так, вы всегда сможете восстановиться с помощью созданного файла
Кликаем по меню «Файл», а затем по функции экспорта.Выберите опцию экспорта в меню «Файл»
Даём любое имя файлу и сохраняем в любой папке — можно использовать и «Рабочий стол».Выберите название и место для резервной копии, а затем сохраните её
Раскрываем третий каталог в левой зоне — HKEY_LOCAL_MACHINE. В нём открываем папку SOFTWARE.В третьей ветке открываем каталог SOFTWARE
Запускаем вложенные друг в друга блоки с параметрами: Microsoft — Windows — CurrentVersion — Policies — System.Дойдите до папки System
Находим в конечном каталоге запись EnableLUA — дважды кликаем по ней. В сером окошке ставим 0 в качестве значения. Жмём на ОК — закрываем все окна и интерфейсы. Перезагружаем ПК и открываем ранее заблокированный файл.Измените значение параметра EnableLUA — поставьте 0 в строке
Как и в случае редактора с политиками рекомендуется после успешного запуска файла вернуть всё на место — поставить значение 1 для параметра EnableLUA в редакторе.
Видео: как использовать «Редактор реестра» для решения проблемы с блокировкой
Прописывание в «Командной строке» полного пути к файлу с его расширением
Данный метод считается одним из самых безопасных, так как рассчитан на единичный запуск файла, на который «операционка» повесила ярлык «Подозрительный»:
- Вызовите чёрный редактор «Командная строка», используя один из методов, описанных подробно в разделе о корпоративной версии «десятки».
- Наберите в окне консоли полный путь к заблокированному файлу. Удобнее всего разместись его предварительно в корневой папке системного диска, чтобы перед названием утилиты ввести только c: . Жмём на «Энтер» после ввода верной директории.Введите директорию заблокированного файла в консоли
- Если файл запустится, оставляем «Командную строку» открытой до тех пор, пока не закончим работу с запрещённой программой.
Решение проблемы в Windows 10 «Корпоративная» и «Профессиональная»
В варианте «десятки» Enterprise и Proffesional при возникновении блокировки необходимо попробовать сделать запуск файла с правами администратора либо деактивировать вообще блокировку через системное окно «Редактор локальной групповой политики».
Запуск утилит от имени администратора
Открыть программу с правами администратора можно следующим образом:
- Щёлкаем правой клавишей по исполняемому файла с расширением exe правой клавишей мышки один раз — в вызванном меню выбираем опцию «Запуск от имени администратора».В контекстном меню заблокированного файла нажмите на «Запуск от имени администратора»
- Если данный способ не срабатывает, используем встроенную «учётку» администратора в «десятке». Сперва нам нужно раскрыть консоль «Командная строка», которая обладает правами администратора. Первый способ запуска — через панель «Поиск». Пишем в строке команду cmd либо «Командная строка».В «Поиске» введите команду cmd
- Щёлкаем по классической утилите правой клавишей мышки и выбираем открытие интерфейса с правами администратора.Запустите консоль с правами администратора
- Кликаем по «Да», чтобы разрешить системной утилите изменять параметры вашей «операционки».Нажмите на «Да», чтобы разрешить системе вносить изменения в системе
- Ещё один способ запуска — через окошко «Выполнить». Зажимаем R и Win — набираем ту же команду cmd. Выполняем её с помощью одновременно зажатых клавиш Ctrl + Shift + Enter.В окошке «Выполнить» вставьте и выполните cmd
- В тёмном окне консоли вводим или вставляем код net user Администратор /active:yes. Если у вас английская версия ОС, пишете Administrator. Жмём на «Энтер».В окне «Командной строки» вставьте net user Администратор /active:yes
- Команда практически тут же выполнится системой. Закрываем окно консоли и открываем заблокированный файл.Когда команда будет выполнена, закройте консоль и запустите программу
Отключение блокировки приложений в «Редакторе локальной групповой политики»
Описанный далее способ является эффективным, но довольно опасным. Он подразумевает полное отключение функции: все приложения будут открываться без предварительной проверки подписи. Выполните простые шаги:
- Вызываем универсальное окно для запуска утилиты под названием «Выполнить» через R и Win — набираем код gpedit.msc. Щёлкаем по ОК.Вставьте на панели код gpedit.msc и нажмите на ОК
- В редакторе переходим в первый большой каталог «Конфигурация компьютера».Откройте первый каталог «Конфигурация компьютера»
- Теперь по очереди раскрываем вложенные друг в друга разделы: «Конфигурация Windows» — «Параметры безопасности» — «Локальные политики» — и вновь «Параметры безопасности».Дойдите до раздела «Параметры безопасности»
- В большом перечне ищем строчку политики о контроле учётных записей касательно администраторов. Дважды щёлкаем по ней.В перечне политик отыщите пункт «Контроль учётных записей: все администраторы…»
- В первой вкладке ставим значение для отключения и жмём на клавишу «Применить» в правом нижнем углу.Поставьте «Отключено» и сохраните изменения
- Закрываем все окна и перезагружаем «операционку». После удачного запуска файла и установки программы желательно поставить для описанной политики снова значение «Включено», так как в противном случае вы рискуете безопасностью системы.
Коллекции правил
Оснастка консоли управления (MMC) AppLocker организована в виде четырех областей, которые называются коллекциями правил. Эти коллекции включают исполняемые файлы, сценарии, файлы установщика Windows и файлы DLL. Коллекции позволяют администратору легко отличать правила для разных типов приложений. В следующей таблице перечислены форматы файлов, которые входят в каждую коллекцию правил.
Примечание | |
Коллекция правил DLL по умолчанию выключена. Сведения о том, как включить коллекцию правил DLL, см. в разделе Применение правил AppLocker. |
Коллекция правил | Связанные форматы файлов |
---|---|
Исполняемые файлы |
.exe .com |
Сценарии |
.ps1 .bat .cmd .vbs .js |
Установщик Windows |
.msi .msp |
DLL |
.dll .ocx |
Важно!
Если используются правила DLL, то разрешающее правило DLL нужно создавать для каждой библиотеки DLL, которая используется всеми разрешенными приложениями.
Внимание!
Когда используются правила DLL, AppLocker должен проверять каждую библиотеку DLL, загружаемую приложением. Поэтому использование правил DLL может приводить к снижению быстродействия.
Какие у AppLocker существуют правила?
В случае использования такой технологии для ограничения доступа к программному обеспечению, как AppLocker, вы можете создавать правила на основании трех различных условий. Это правила для издателя, пути или хешируемых файлов. Давайте рассмотрим каждое условие немного подробнее.
В том случае, если вы выберите для своего правила такое условие как «Издатель», то согласно указанным вами критериям будет заблокирован или разрешен доступ к приложению, основываясь на его цифровой подписи, а также на каких-либо расширенных атрибутах. К расширенным атрибутам относятся такие показатели как наименование самого продукта, имя запускаемого файла, данные о компании-разработчике выбранного вами программного продукта, а также версия самого продукта. Правило можно использовать как для определенной версии программного продукта, так и для всех программ, выпускаемых определённой компанией. Цифровая подпись, в свою очередь, включает в себя сведения о самом издателе, то есть, опять же, о компании, которая разработала этот программный продукт.
Если же выбрать условие «Издатель», а у приложения не будет цифровой подписи, в этом случае, вы просто не сможете использовать это условие.
Следующее условие – это «Путь». Тут все очень просто, так как, используя текущее условие, вы можете определять действия для приложения, согласно его физическому расположению на локальном компьютере или в сети
Вот здесь нужно обязательно обратить внимание на переменные окружения, которые используются в правилах пути технологии AppLocker. Данные следующей таблицы, в которой вы можете сравнить дефолтные переменные окружения с переменными окружениями, которые следует использовать в случае с правилами пути AppLocker, помогут вам эффективнее их создавать:
Расположение | Переменная AppLocker | Переменная Windows |
Windows | %WINDIR% | %SystemRoot% |
System32 | %SYSTEM32% | %SystemDirectory% |
Каталог установки Windows | %OSDRIVE% | %SystemDrive% |
Program Files | %PROGRAMFILES% |
%ProgramFiles% и %ProgramFiles(x86)% |
Съемный носитель | %REMOVABLE% | |
Съемное запоминающее устройство | %HOT% |
Помните, что здесь переменные среды для компактов и для USB-накопителей отличаются
Это очень важно при планировании.
Последнее условие – это условие для хешируемого файла. В этом случае, вам нужно будет просто выбрать исполнительный файл какого-то приложения, а для него, при создании самого правила, будет вычислен сам хеш
Думаю, абсолютно каждый знает, что хеш представляет собой серию байтов фиксированной длины, однозначно идентифицирующую программу или файл. Они рассчитывается путем алгоритма хеширования. После того как такое правило AppLocker будет создано, в случае, если пользователь попробует открыть программу, хеш программы обязательно будет сравниваться с существующим правилом для хеша, и, естественно, будет выполнено какое-то действие. Хеш программы всегда одинаковый, независимо от расположения самой программы. Ну а, само собой, при изменении программы хеш также меняется и, следовательно, не соответствует хешу в правиле для хеша для политик ограниченного использования программ. Поэтому, если программа обновилась, вам необходимо будет создать новое правило или изменять текущее.
Теперь, перед тем как перейти к созданию правил, следует разобраться с разрешениями AppLocker, то есть, непосредственно с самими поведениями правил. Поведений, как вы, скорее всего, догадались, совсем немного и тут сложно что-то напутать. Это:
- Разрешающие правила. В этом случае, вы определяете файл, который вы разрешаете пользователям или группе пользователей запускать на своих компьютерах.
- Запрещающие правила. В свою очередь, используя данное поведение, вы запретите выполняться файлам на пользовательских компьютерах, согласно указанным вами условиям.
Вот так, на самом деле, все просто. Однако, есть такое замечательное выражение, как «правила создаются для того, чтобы их нарушать». AppLocker не является исключением из этого убеждения, то есть, вы можете разрешить пользователям игнорировать составленные вами правила при определенных условиях. Это можно сделать при помощи исключений из создаваемых вами правил, причем, исключения можно создавать для любого условия, независимо от того, какое вы выбирали при создании самого правила. Другими словами, вы можете создать разрешающее правило согласно определенному издателю, однако, заблокировать к нему доступ согласно определенному расположению файла. И это можно сделать, используя лишь одно правило. Вот в этом огромный плюс данной технологии и тут просто невозможно не согласиться.
Настройка правил
Правила по умолчанию позволяют всем пользователям запускать файлы исполнения, которые находятся в папках «Windows» и «Program Files». Запуск остальных файлов разрешен только группе «Администраторы». Запуск упакованных приложений разрешен всем пользователям.
Для настройки правил по белому списку — запрещено все, кроме того, что разрешено, необходимо настроить разрешения только для группы «Администраторы» или для учетной записи администратора.
Если вы не знаете какие разрешения необходимо установить для корректной работы пользователя, то можно включить режим аудита, при котором ограничения AppLocker’а не будут действовать, но будут записаны сообщения в журнал о том, что выполнение было бы запрещено, если бы действовали правила AppLocker’а
Для включения режима аудита выберите пункт «AppLocker» в по ранее указанному пути. В правой части редактора нажмите левой кнопкой мыши на пункте «Настроить применение правил» \ (Configure rule enforcement). В необходимом разделе поставьте флажок «Настроено» \ (Configured) и в выпадающем меню выберите пункт «Только аудит» \ (Audit only).
После включения режима аудита запустите все программы, которые будет запускать пользователь и посмотрите в журнале AppLocker’а запуск каких программ был бы запрещен.
Во время сбора сведений в режиме аудита необходимо входить в учетную запись пользователя так, как это будет делать пользователь. Т.е. если вход в учетную запись пользователя будет автоматический после загрузки системы, то загрузите систему со входом в учетную запись, не нужно просто переходить из одной учетной записи в другую.
По результатам аудита добавьте разрешения на запуск программ, необходимых для пользователя, а затем отключите режим аудита и проверьте работу системы.
Или можно автоматически создать правила на основании результатов аудита.
Политики ограниченного использования программ
Одной из самых важных в контексте статьи будет группа объектов GPO «Политики
ограниченного использования программ» (Software Restriction Policies, SRP).
Здесь настраиваются ограничения запуска приложений на компьютерах, начиная с
WinXP и выше. Принцип настроек совпадает с настройками правил файрвола:
администратор указывает список приложений, которые разрешено запускать на
системах организации, а для остальных ставит запрет. Или поступает наоборот:
разрешает все, а затем по мере необходимости блокирует, что не нужно. Здесь
каждый админ выбирает, как ему удобнее. Рекомендуется создать отдельный объект
GPO для SRP, чтобы всегда была возможность откатить изменения при необходимости
или возникновении проблем с запуском нужных приложений.
По умолчанию SRP отключены. Чтобы их активировать, следует перейти во вкладку
«Политики ограниченного использования программ» (в «Конфигурация компьютера» и
«Конфигурация пользователя» есть свои пункты) и выбрать в контекстном меню
«Создать политику ограниченного использования программ» (New Software
Restriction Policies). По умолчанию установлен уровень безопасности
«Неограниченный» (Unrestricted), то есть доступ программ к ресурсам определяется
NTFS правами пользователя. Разрешен запуск любых приложений, кроме указанных как
запрещенные. Чтобы изменить уровень, нужно перейти в подпапку «Уровни
безопасности», где находятся пункты активации еще двух политик – «Запрещено» (Disallowed),
при которой возникает отказ в запуске любых приложений, кроме явно разрешенных
админом. Политика «Обычный пользователь» (Basic User), появившаяся в GPO,
начиная с Vista, позволяет задать программы, которые будут обращаться к ресурсам
с правами обычного пользователя, вне зависимости от того, кто их запустил.
В организации с повышенными требованиями информационной безопасности лучше
самому определить список разрешенных программ, поэтому дважды щелкаем по
«Запрещено» и в появившемся окне нажимаем кнопку «Установить по умолчанию» (Set
as Default). Информация в появившемся окне сообщит, что выбранный уровень —
более строгий, и некоторые программы могут не работать после его активации.
Подтверждаем изменения. Теперь переходим в подпапку «Дополнительные правила».
После активации SRP создаются две политики, перекрывающие правила по умолчанию и
описывающие исключения для каталогов %SystemRoot% и %ProgramFilesDir%. Причем по
умолчанию политики для них установлены в «Неограниченный». То есть после
активации политики «Запрещено» системные программы будут запускаться в любом
случае. В контекстном меню для тонкой настройки политик предлагается 4 пункта. С
их помощью можно указать: правило для пути (путь к каталогу, файлу или ветке
реестра), зоны сети (интернет, доверенная сеть и так далее), хеш (указываем
отдельный файл, по которому генерируется хеш, позволяющий определить его
однозначно, вне зависимости от пути) и сертификат издателя (например, Microsoft,
Adobe и т.п.). При этом отдельная политика имеет свой уровень безопасности, и
легко можно запретить выполнение всех файлов из каталога, разрешив запуск только
отдельных. Правила для хеша имеют приоритет перед остальными и наиболее
универсальны. Правда, с учетом того, что хеш некоторых системных приложений
(того же Блокнота) будет отличаться в разных версиях ОС, к процессу
генерирования хеша лучше подойти внимательно.
Если щелкнуть по ярлыку «Политики ограниченного использования программ»,
получим доступ еще к трем настройкам. Выбор политики «Применение» (Enforcement)
откроет диалоговое окно, в котором указываем, применять ли SRP для всех файлов
или исключить DLL (по умолчанию). Учитывая количество DLL’ок в системе,
активация контроля всех файлов потребует дополнительных ресурсов, поэтому
кастомный вариант выбираем, только когда это действительно необходимо. По
умолчанию политики актуальны для всех пользователей без исключения, но в
настройках предлагается снять контроль за деятельностью локальных админов. В
третьем поле активируется поддержка правил сертификатов. Такие политики также
замедляют работу системы и по умолчанию отключены.
С помощью политики «Назначенные типы файлов» определяются типы файлов,
которые считаются исполняемыми. В списке уже есть все популярные расширения, но
если используется что-то свое, добавляем его/их в перечень. И, наконец, в
«Доверенные издатели» задаем тех, кто может (пользователь и/или админ) добавить
подписанное доверенным сертификатом приложение, а также определять подлинность
сертификата. Для максимальной безопасности разреши добавлять приложения только
админам доменного уровня.
Видео: как разными способами избавиться от блокировки запуска приложения
Блокировку запуска файла можно успешно обойти несколькими способами, но делать это стоит только в том случае, если файл точно безопасен. Для домашнего варианта можно пустить в ход «Редактор реестра» и использовать запуск приложения через консоль с тёмным фоном. Если у вас версия Enterprise либо Professional, выключите один из параметров в редакторе с групповыми политиками или попытайтесь открыть файл в «учётке» администратора. Для всех версий «десятки» подойдёт метод удаления сертификата у запрещённого файла с помощью программы FileUnsigner.
Вряд ли найдется пользователь, который не сталкивался с информационным окошком «администратор заблокировал выполнение этого приложения Windows 10», отображенным ниже.
Оно представляет собой оповещения от системы контроля за учетными записями операционной системы.
Прежде чем приступать к снятию блокировки с программы, необходимо убедиться или же быть уверенным в источниках ее получения и/или содержимому запускаемого файла. При появлении такого окошка, в первую очередь следует перекачать приложение с официального сайта, а затем проверить полученный файл антивирусной программой.
Если все условия выполнены и надобность запустить проблемное программное обеспечение осталась, переходим к определению редакции проинсталлированной на ПК операционной системы. Если используете корпоративную или расширенную версию «десятки», переходите к следующему разделу, в случае работы в среде Виндовс 10 Домашняя — переходим к главе о решении проблемы посредством редактора реестра
Также стоит обратить внимание на универсальный для всех редакций ОС метод устранение цифровой подписи проблемной программы, точнее исполняемого файла
Все приведенные инструкции, при условии четкого выполнения приведенных шагов, абсолютно безопасны и работоспособны, но вред ПК может причинить содержимое запускаемого файла.
Запрет запуска программ с AppLocker
Данное средство является наиболее оптимальным инструментом для создания различных политик запуска приложений. Его возможности:
- Настройка как запретов, так и разрешений.
- Настройка хешей и путей.
- Аудит.
- Использование данных издателя (проверка по электронной подписи).
- Импорт и экспорт созданных политик.
Все это позволяет ограничить доступ примитивно выражаясь «с разных сторон». К примеру, создав ограничение через Редактор групповых политик, вы не можете быть уверенны, что юзер просто не переименует исполняемый файл. В AppLocker же это ничего не даст, ведь используется путь к файлу или папке, или производится хеширование.
Как открыть AppLocker
Интерфейс простой и понятный, а функционал огромный. Итак, первое, что нужно сделать – найти данное средство. Для этого зайдите в Редактор групповых политик. В окне быстрого перехода (Win+R), введите gpedit.msc.
Следуя, инструкции на скрине, найдите AppLocker.
Как работать с AppLocker
Для начала немного теории. AL работает с различными файлами: исполнительными, файлами установщика Windows и файлами сценариев.
Основные расширения примерно выглядят так:
Я буду создавать правила именно в первой группе, так как нам нужно запретить запуск или установку программы, а они (ну большая их часть) имеют расширение *.exe
1. Нажав на ветвь Исполняемые правила, мы увидим, что их собственно нет. Поэтому сначала, я рекомендую создать стандартные правила.
Правила по умолчанию созданы. Если вкратце, то запуск всех файлов запрещен. Правила позволяют: всем – запускать файлы из папок Program Files, Windows, администратору – запускать все файлы.
2. Для того чтобы запретить запуск определенной программы нужно:
создать новое правило
выбрать нужное действие
выбрать пользователя или группу пользователей, которым будет запрещено действие
выбрать условия по запрету: тип запрета
Здесь хорошо видно и упомянутые мною возможности: хеширование файла и запрет по цифровой подписи.
теперь выберите программу или папку, запуск которой хотите запретить. Я выберу ее папку
нажмите Создать. Как видите появился запрет
3. Осталось запустить службу, чтобы AppLocker заработал:
- зайдите в диспетчер задач (CTRL+ALT+DEL)
- перейдите на вкладку службы
- найдите службу Удостоверение приложения (AppIDSvc)
запустите службу (правой кнопкой мыши – Запустить).
Теперь, если пользователь, который не состоит в админгруппе попробует запустить приложение 888poker.exe, он увидит уведомление:
Запрет запуска программ с помощью AppLocker
Технология AppLocker впервые появилась в Windows 7 (Enterprise, Ultimate) и Windows Server 2008 R2. И перед выходом заявлялось (я бы даже сказал рекламировалось), что это инновационный прорыв.
Частично это так, НО я бы сказал, что и AppLocker и ее предшественник – SRP (Технология политики ограниченного использования программ) имеют каждый свои преимущества и недостатки. Например, в SRP можно создавать правила для сертификатов и сетевых зон, чего нет в Applocker. Хотя последний работает с цифровыми подписями.
Технически обе технологии очень похожи. Поэтому я бы назвал AppLocker – SRPv2.0. Ведь в нем есть практически все с предшественника + дополнения (типа ЭП, экспорта/импорта политик и более понятного и удобного интерфейса).
Заключение
Из этой статьи вы узнали о правилах AppLocker, а также о том, каким образом можно создать дополнительные пользовательские правила, предназначенные для ограничения доступа к программному обеспечению. Были рассмотрены методы создания правил, согласно трех условий, а именно, правила для издателя, которое целесообразно использовать в том случае, если само приложение подписано издателем, для пути, если вам необходимо ограничить доступ к приложению, расположенному в определенной папке, а также правила на основании хешируемого файла. В следующей статье будут рассмотрены редактирование созданного ранее правила AppLocker, автоматического создания правил, а также о том, как можно выполнить некоторые дополнительные действия.