Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
A Windows 10 két technológiát tartalmaz, az App Control for Business és az AppLockert, amelyek segítségével vezérelheti az alkalmazásokat. Lehetővé teszik a PowerShell-környezet biztonságossá tételéhez kapcsolódó zárolási felület létrehozását.
Az AppLocker a szoftverkorlátozási szabályzatok alkalmazásvezérlési funkcióira épül. Az AppLocker lehetővé teszi, hogy olyan szabályokat hozzon létre, amelyek engedélyezik vagy letiltják az alkalmazásokat adott felhasználók vagy csoportok számára. Az alkalmazásokat a fájlok egyedi tulajdonságai alapján azonosíthatja.
A Windows 10-ben Windows Defender alkalmazásvezérlőként (WDAC) bevezetett Alkalmazásvezérlés vállalati verzióban lehetővé teszi annak szabályozását, hogy mely illesztőprogramok és alkalmazások futtathatók Windows rendszeren.
Zárolási szabályzat észlelése
A PowerShell az AppLocker és az App Control for Business rendszerszintű szabályzatait is észleli. Az AppLocker nem tudja lekérdezni a szabályzatkényszerítés állapotát. Annak észleléséhez, hogy az AppLocker kényszerít egy szabályzatot, a PowerShell két ideiglenes fájlt hoz létre, és megpróbálja futtatni őket. A fájlnevek a következő névformátumot használják:
$Env:TEMP/__PSScriptPolicyTest_<random-8dot3-name>.ps1$Env:TEMP/__PSScriptPolicyTest_<random-8dot3-name>.psm1
Az App Control for Business a Windows előnyben részesített alkalmazásvezérlő rendszere. Az App Control olyan API-kat biztosít, amelyek lehetővé teszik a szabályzatkonfiguráció felderítését. Az Alkalmazásvezérlés a Microsoft Security Response Center (MSRC) által meghatározott karbantartási feltételek alapján biztonsági funkcióként lett kialakítva. További információ: Application Controls for Windows , App Control and AppLocker feature availability.
Feljegyzés
Az App Control vagy az AppLocker közötti választáskor azt javasoljuk, hogy az AppLocker helyett az App Control for Business használatával implementálja az alkalmazásvezérlést. A Microsoft már nem fektet be az AppLockerbe. Az AppLocker csak biztonsági javításokat kap.
Alkalmazásvezérlési szabályzat kényszerítése
Amikor a PowerShell alkalmazásvezérlési szabályzat alatt fut, a viselkedése a megadott biztonsági szabályzat alapján változik. Az alkalmazásvezérlési szabályzatok alatt a PowerShell megbízható szkripteket és modulokat futtat, amelyeket a szabályzat FullLanguage módban engedélyez. Minden más szkript és szkriptblokk nem megbízható, és módban fut ConstrainedLanguage . A PowerShell hibát jelez, ha a nem megbízható szkriptek olyan műveleteket kísérelnek meg végrehajtani, amelyek nem engedélyezettek ConstrainedLanguage módban. Nehéz lehet megállapítani, hogy egy szkript miért nem futott megfelelően ConstrainedLanguage módban.
Alkalmazásvezérlési szabályzat naplózása
A PowerShell 7.4 új funkciót adott hozzá az alkalmazásvezérlési szabályzatok naplózási módban való támogatásához. Naplózási módban a PowerShell hiba nélkül futtatja a nem megbízható szkripteket ConstrainedLanguage , de ehelyett naplózza az üzeneteket az eseménynaplóba. A naplóüzenetek azt írják le, hogy milyen korlátozások vonatkoznak, ha a szabályzat kényszerítés módban lenne.
Változások előzményei
A Windows PowerShell 5.1 volt a PowerShell első verziója, amely támogatja az alkalmazásvezérlést. Az App Control és az AppLocker biztonsági funkciói a PowerShell minden új kiadásával javulnak. A következő szakaszok bemutatják, hogyan változott ez a támogatás a PowerShell egyes verzióiban. A módosítások kumulatívak, ezért a későbbi verziókban ismertetett funkciók tartalmazzák a korábbi verziók módosításait.
Változások a PowerShell 7.4-ben
Windows rendszeren, amikor a PowerShell alkalmazásvezérlési szabályzat alatt fut, a viselkedése a megadott biztonsági szabályzat alapján változik. Az alkalmazásvezérlési szabályzatok alatt a PowerShell megbízható szkripteket és modulokat futtat, amelyeket a szabályzat FullLanguage módban engedélyez. Minden más szkript és szkriptblokk nem megbízható, és módban fut ConstrainedLanguage . A PowerShell hibát jelez, ha a nem megbízható szkriptek nem engedélyezett műveleteket kísérelnek meg végrehajtani. Nehéz megállapítani, hogy a szkriptek miért nem futnak megfelelően ConstrainedLanguage módban.
A PowerShell 7.4 mostantól naplózási módban támogatja az alkalmazásvezérlési szabályzatokat. Naplózási módban a PowerShell módban futtatja a nem megbízható szkripteket ConstrainedLanguage , de hibaüzenetek helyett naplózza az üzeneteket az eseménynaplóba. A naplóüzenetek azt írják le, hogy milyen korlátozások vonatkoznak, ha a szabályzat kényszerítés módban lenne.
Változások a PowerShell 7.3-ban
- A PowerShell 7.3 mostantól támogatja a PowerShell-szkriptfájlok letiltásának vagy engedélyezésének lehetőségét az App Control API-val.
Változások a PowerShell 7.2-ben
Az AppLockerben volt egy sarokeset-forgatókönyv, amelyben csak a Megtagadási szabályok vannak érvényben, és a korlátozott mód nem a végrehajtási szabályzat megkerülését lehetővé tévő házirend kényszerítésére szolgál. A PowerShell 7.2-től kezdve módosítás történt annak érdekében, hogy az AppLocker-szabályok elsőbbséget élvezhessenek a
Set-ExecutionPolicy -ExecutionPolicy Bypassparancsok felett.A PowerShell 7.2 mostantól letiltja a
Add-Typeparancsmag használatát egyNoLanguagemódban futó PowerShell-munkamenetben egy zárolt gépen.A PowerShell 7.2 mostantól letiltja a szkriptek használatát a COM-objektumok appLocker rendszerzárolási feltételeiben. Azon parancsmagokra, amelyek belsőleg használják a COM-ot vagy a DCOM-ot, nincs hatással.
További olvasnivalók
- Az App Control működésével és az alkalmazás által megkövetelt korlátozásokkal kapcsolatos további információkért lásd : Hogyan működik az App Control a PowerShell-lel.
- A PowerShell alkalmazásvezérléssel való védelméről további információt az App Control használata című témakörben talál.
Dolgozzon együtt velünk a GitHubon
A tartalom forrása a GitHubon található, ahol létrehozhat és áttekinthet problémákat és lekéréses kérelmeket is. További információért tekintse meg a közreműködői útmutatónkat.
