Поделиться через


Что такое AppLocker?

В этой статье для ИТ-специалистов описывается, что такое AppLocker и чем функции этой технологии отличаются от политик ограниченного использования программ.

AppLocker расширяет функции управления приложениями и функциональные возможности политик ограниченного использования программ. AppLocker содержит новые возможности и расширения, которые позволяют создать правила, чтобы разрешить или запретить запуск приложений на основе уникальных идентификационных данных файлов, а также указать, какие пользователи или группы могут запускать эти приложения.

AppLocker позволяет выполнять следующие действия.

  • Контроль следующих типов приложений: исполняемые файлы (.exe и .com), скрипты (.js, .ps1, .vbs, .cmd и .bat), файлы установщика Windows (.mst, .msi и .msp) и файлы библиотек DLL (.dll и .ocx), а также упакованные приложения и установщики упакованных приложений (appx).

  • Определение правил на основе атрибутов файлов, полученных из цифровой подписи, включая издателя, имя продукта, имя файла и версию файла. Например, можно создать правила, основанные на атрибуте издателя, который не меняется от обновления к обновлению, или же создать правила для определенной версии файла.

  • Назначение правил группе безопасности или определенному пользователю.

  • Создание исключений из правил. Например, можно создать правило, которое разрешает запуск всех процессов Windows за исключением редактора реестра (Regedit.exe).

  • Использование режима только аудита для развертывания политики и определения ее влияния до непосредственного применения.

  • Импорт и экспорт правил. Импорт и экспорт влияют на всю политику. Например, при экспорте политики экспортируются все правила из всех коллекций правил, включая параметры принудительного применения для коллекций правил. Если импортируется политика, все условия существующей политики перезаписываются.

  • Оптимизировать создание правил AppLocker и управление ими с использованием командлетов Windows PowerShell.

AppLocker позволяет снизить административные расходы, а также расходы на управление вычислительными ресурсами путем снижения числа обращений в службу поддержки, связанных с использованием неутвержденных приложений пользователями.

Сведения о сценариях контроля приложений с использованием AppLocker см. в статье Сценарии использования политики AppLocker.

Какие функции политик ограниченного использования программ и AppLocker различаются?

Различия в функциях

В следующей таблице политики ограниченного использования программ сравниваются с технологией AppLocker.

Функция Политики ограниченного использования программ AppLocker

Область применения правила

Все пользователи

Конкретный пользователь или группа

Предоставляемые условия правил

Хеш файла, путь, сертификат, путь реестра и зона Интернета

Хеш файла, путь и издатель

Предоставляемые типы правил

Определяется уровнями безопасности.

  • Запрещено

  • Обычный пользователь

  • Не ограничено

Разрешить и запретить

Действие правила по умолчанию

Не ограничено

Неявно запрещено

Режим "Только аудит"

Нет

Да

Мастер для создания нескольких правил одновременно

Нет

Да

Импорт или экспорт политик

Нет

Да

Коллекция правил

Нет

Да

Поддержка Windows PowerShell

Нет

Да

Настраиваемые сообщения об ошибках

Нет

Да

 

Различия в функциях контроля приложений

В следующей таблице сравниваются функции контроля приложений политик ограниченного использования программ (SRP) и AppLocker.

Функции контроля приложений Политики ограниченного использования программ AppLocker

Область действия ОС

Политики SRP можно применять ко всем ОС Windows, начиная с Windows XP и Windows Server 2003.

Политики AppLocker применяются только к поддерживаемым версиям и выпускам ОС, которые перечислены в статье Необходимые условия для использования AppLocker. Тем не менее, в этих системах также можно использовать политики ограниченного использования программ.

Примечание  

Используйте разные объекты групповой политики для правил политик ограниченного использования программ и AppLocker.

 

Поддержка пользователей

SRP позволяет пользователям устанавливать приложения в качестве администратора.

Политики AppLocker обслуживаются с использованием групповой политики, и только администратор устройства может обновить политику AppLocker.

AppLocker позволяет настраивать сообщения об ошибках так, чтобы направлять пользователей на веб-страницу за справкой.

Обслуживание политик

Политики SRP обновляются с использованием оснастки "Локальная политика безопасности" или консоли управления групповыми политиками (GPMC).

Политики AppLocker обновляются с использованием оснастки "Локальная политика безопасности" или консоли управления групповыми политиками.

AppLocker поддерживает небольшой набор командлетов PowerShell для администрирования и обслуживания.

Инфраструктура управления политиками

Для управления политиками SRP используется групповая политика в домене и оснастка "Локальная политика безопасности" для локального компьютера.

Для управления политиками AppLocker используется групповая политика внутри домена и оснастка "Локальная политика безопасности" для локального компьютера.

Блокирование вредоносных скриптов

Правила блокирования вредоносных скриптов позволяют запретить запуск всех скриптов, связанных с сервером скриптов Windows, кроме тех, которые были подписаны цифровой подписью вашей организации.

Правила AppLocker позволяют контролировать следующие форматы файлов: .ps1, .bat, .cmd, .vbs и .js. Кроме того, можно задать исключения и разрешить запуск определенных файлов.

Управление установкой программ

SRP позволяет запретить установку всех пакетов установщика Windows. При этом установка MSI-файлов с цифровой подписью вашей организации разрешена.

Коллекция правил установщика Windows — это набор правил, созданных для типов файлов установщика Windows (.mst, .msi и .msp) и позволяющих контролировать установку файлов на клиентских компьютерах и серверах.

Управлением всем ПО на компьютере

Управление всем программным обеспечением осуществляется с использованием одного набора правил. По умолчанию политика для управления всем программным обеспечением на устройстве отклоняет все программное обеспечение на компьютере пользователя, кроме программного обеспечения, установленного в папках Windows, Program Files и вложенных папках.

В отличие от SRP, каждая коллекция правил AppLocker действует как список разрешенных файлов. Запускать можно только файлы, перечисленные в коллекции правил. Эта конфигурация позволяет администраторам легче понять, что произойдет, когда применяется правило AppLocker.

Разные политики для разных пользователей

Правила одинаково применяются ко всем пользователям определенного устройства.

На устройстве, которое совместно используется несколькими пользователями, администратор может указать, какие группы пользователей могут осуществлять доступ к установленному ПО. С помощью AppLocker администратор может указать, в отношении какого пользователя необходимо применить то или иное правило.

 

Связанные разделы

Технический справочник по AppLocker