Работа с правилами AppLocker
В этой статье для ИТ-специалистов описаны типы правил AppLocker и способы работы с ними для политик управления приложениями.
Коллекции правил
Политики AppLocker организованы по коллекциям правил, включая исполняемые файлы, скрипты, файлы установщика Windows, упакованные приложения и упакованные установщики приложений, а также DLL-файлы. Эти коллекции позволяют дифференцировать правила для разных типов приложений. В следующей таблице перечислены форматы файлов, которые включены в каждую из коллекций правил.
| Коллекция правил | Связанные форматы файлов |
|---|---|
| Исполняемые файлы | .exe .com |
| Скрипты | .ps1 .bat .cmd .vbs .js |
| Файлы установщика Windows | .msi .msp .mst |
| Упакованные приложения и установщики упакованных приложений | .appx |
| DLL-файлы | .dll .ocx |
Примечание.
Правила AppLocker для исполняемых файлов фактически применяются ко всем переносимым исполняемым (PE) файлам, независимо от расширения файла, которое злоумышленники могут легко изменить. Сведения о расширении файла, перечисленные в предыдущей таблице для исполняемых файлов, являются иллюстративными.
Коллекция правил DLL не включена по умолчанию. Сведения о том, как включить коллекцию правил DLL, см. в разделе Коллекции правил DLL.
Важно.
Если вы используете правила DLL, необходимо создать правило разрешения, которое охватывает каждую библиотеку DLL, используемую всеми разрешенными приложениями.
При использовании правил DLL AppLocker должен проверять каждую загружаемую приложением библиотеку DLL. Следовательно, при использовании правил DLL пользователи могут заметить снижение производительности. Однако это влияние на производительность обычно незаметно, если устройство уже не ограничено ресурсами.
Режимы принудительного применения
Политики AppLocker устанавливают режим принудительного применения для каждой коллекции правил, включенной в политику. Эти режимы принудительного применения описаны в следующей таблице.
| Режим принудительного применения | Описание |
|---|---|
| Не настроено | Несмотря на имя, этот режим принудительного применения не означает, что правила игнорируются. Напротив, если в коллекции правил, которая "не настроена", какие-либо правила существуют, они будут применяться , если политика с более высоким приоритетом не изменит режим принудительного применения только на Аудит. Так как этот режим принудительного применения может запутать авторов политик, следует избегать использования этого значения в политиках AppLocker. Вместо этого следует явно выбрать один из двух оставшихся вариантов. |
| Принудительное применение правил | Правила применяются. Когда пользователь запускает приложение, на которое распространяется правило AppLocker, двоичный файл приложения блокируется. Сведения о двоичном файле добавляются в журнал событий AppLocker. |
| Только аудит | Правила проходят аудит, но не применяются. Когда пользователь запускает приложение, на которое распространяется правило AppLocker, может выполняться двоичный файл приложения. Однако сведения о двоичном файле добавляются в журнал событий AppLocker. Режим принудительного применения только аудита помогает определить приложения, на которые распространяется политика, до применения политики. |
При слиянии политик AppLocker правила из всех политик добавляются в действующую политику, и для каждой коллекции правил выбирается один режим принудительного применения. Если к устройству через групповая политика применяется несколько политик AppLocker, параметр режима принудительного применения выбирается в зависимости от приоритета групповая политика. Если вы применяете политику AppLocker локально с помощью командлета PowerShell Set-AppLockerPolicy с параметром -merge , между существующей локальной политикой и политикой будет выбран более строгий режим принудительного применения.
Условия правил
Условия правил — это критерии, которые помогают AppLocker определить приложения, к которым применяется правило. Три основных условия правил: издатель, путь и хеш файла.
- Издатель: определяет приложение на основе его цифровой подписи.
- Путь: определяет приложение по его расположению в файловой системе компьютера или в сети.
- Хэш файла: представляет системный вычисленный хэш шифрования Authenticode для идентифицированного файла.
Издатель
Это условие определяет приложение на основе его цифровой подписи и расширенных атрибутов, если они доступны. Цифровая подпись содержит сведения о компании, создавшей приложение (издателе). Исполняемые файлы, библиотеки DLL, установщики Windows, упакованные приложения и установщики упакованных приложений также включают расширенные атрибуты, полученные из двоичного ресурса. Эти атрибуты часто включают имя продукта, исходное имя файла и номер версии файла, определенный издателем. Если имеются упакованные приложения и установщики упакованных приложений, эти расширенные атрибуты содержат имя и версию пакета приложения.
Примечание.
Правила, созданные в коллекции правил упакованных приложений и установщиков упакованных приложений, могут иметь только условия издателя, так как Windows не поддерживает неподписанные упакованные приложения и установщики упакованных приложений.
По возможности используйте условие правила издателя, так как они более устойчивы к обновлениям приложений, а также к изменению расположения файлов.
При выборе эталонного файла для условия "Издатель" мастер создает правило, которое задает издателя, продукт, имя файла и номер версии. Вы можете сделать правило более универсальным, переместив ползунок вверх или используя подстановочный знак (*) в полях продукта, имени файла или номера версии.
Примечание.
Чтобы ввести пользовательские значения для любого из полей условия правила издателя в мастере создания правил, необходимо выбрать поле Использовать пользовательские значения проверка. Если этот флажок установлен, использовать ползунок невозможно.
Значения Версия файла и Версия пакета контролируют, может ли пользователь запускать конкретную версию приложения, а также его более ранние и более поздние версии. Можно выбрать номер версии и настроить следующие параметры.
- Точно. Правило применяется только к конкретной версии приложения.
- И выше. Правило применяется к этой и всем последующим версиям приложения.
- И ниже. Правило применяется к этой и всем более ранним версиям приложения.
В следующей таблице описано применение условия издателя.
| Параметр | Условие издателя разрешает или запрещает... |
|---|---|
| Все подписанные файлы | Все файлы, подписанные любым издателем. |
| Только издатель | Все файлы, подписанные указанным издателем. |
| Издатель и имя продукта | Все файлы для указанного продукта, подписанные именованным издателем. |
| Издатель и имя продукта, а также имя файла | Любая версия именованного файла или пакета для именованного продукта, подписанного издателем. |
| Издатель, имя продукта, имя файла и версия файла | Точно Указанная версия именованного файла или пакета для именованного продукта, подписанного издателем. |
| Издатель, имя продукта, имя файла и версия файла | И выше Указанная версия именованного файла или пакета и все новые выпуски продукта, подписанные издателем. |
| Издатель, имя продукта, имя файла и версия файла | И ниже Указанная версия именованного файла или пакета, а также все более ранние версии продукта, подписанные издателем. |
| Пользовательское | Чтобы создать пользовательское правило, можно изменить поля Publisher, Product name, File name, VersionPackage name (Имя пакета версии) и Package version (Версия пакета ). |
Путь
Это условие правила определяет приложение по его расположению в файловой системе компьютера или в сети.
AppLocker использует пользовательские переменные пути для известных путей, например папок Program Files и Windows.
В следующей таблице эти переменные пути описаны подробнее.
| Каталог Windows или диск | Переменная пути AppLocker | Переменная среды Windows |
|---|---|---|
| Windows | %WINDIR% | %SystemRoot% |
| System32 и SysWOW64 | %SYSTEM32% | %SystemDirectory% |
| Каталог установки Windows | %OSDRIVE% | %SystemDrive% |
| Program Files | %PROGRAMFILES% | %ProgramFiles% и %ProgramFiles(x86)% |
| Съемные носители (например, компакт-диск или DVD-диск) | %REMOVABLE% | |
| Съемное запоминающее устройство (например, USB-устройство флеш-памяти) | %HOT% |
Важно.
Так как условие правила пути можно настроить для включения большого количества папок и файлов, условия пути следует тщательно спланировать. Например, если правило пути содержит папку, которая позволяет неадминистраторам записывать данные, пользователь (или вредоносная программа, запущенная в качестве обычного пользователя) может скопировать неутвержденные файлы в это расположение и запустить файлы. По этой причине следует избегать создания условий пути для стандартных записываемых пользователей расположений, таких как профиль пользователя.
Хеш файла
При выборе условия правила хэша файлов система вычисляет криптографический хэш Authenticode для идентифицированного файла. Преимущество этого условия правила заключается в том, что условие правила "Хеш файла" применяется только к одному файлу, потому что у каждого файла уникальный хеш. Недостаток заключается в том, что при каждом обновлении файла (например, при обновлении системы безопасности или обновлении) хэш файла изменяется. Поэтому обновлять правила хэша файла необходимо вручную.
Правила AppLocker по умолчанию
Политики AppLocker, созданные с помощью редактора групповая политика AppLocker, могут содержать правила по умолчанию. Правила по умолчанию предназначены для обеспечения того, чтобы файлы, необходимые для правильной работы Windows, были разрешены в коллекции правил AppLocker. Дополнительные сведения см. в разделе Общие сведения о правилах AppLocker, используемых по умолчанию. Инструкции см. в разделе Создание правил AppLocker по умолчанию.
Типы правил по умолчанию для исполняемых файлов:
- Разрешить членам локальной группы Администраторы запускать все приложения.
- Разрешить членам группы Все запускать приложения, расположенные в папке Windows.
- Разрешить членам группы Все запускать приложения, расположенные в папке Program Files.
Типы правил по умолчанию для скриптов включают следующее.
- Разрешить членам локальной группы Администраторы запускать все скрипты.
- Разрешить членам группы Все запускать скрипты, расположенные в папке Program Files.
- Разрешить членам группы Все запускать скрипты, расположенные в папке Windows.
Типы правил по умолчанию для установщиков Windows включают следующее.
- Разрешить членам локальной группы Администраторы выполнять все файлы установщика Windows.
- Разрешить членам группы Все выполнять все файлы установщика Windows с цифровой подписью.
- Разрешить членам группы Все запускать все файлы установщика Windows, расположенные в папке Windows\Installer.
Типы правил по умолчанию для библиотек DLL:
- Разрешить членам локальной группы Администраторы запускать все библиотеки DLL.
- Разрешить членам группы Все запускать библиотеки DLL, расположенные в папке Program Files.
- Разрешить членам группы Все запускать библиотеки DLL, расположенные в папке Windows.
Типы правил по умолчанию для упакованных приложений включают следующее.
- Разрешить членам группы Все устанавливать и запускать все подписанные упакованные приложения и установщики упакованных приложений.
Поведение правил AppLocker
Если правила AppLocker не определены для определенной коллекции правил, все файлы, на которые распространяется эта коллекция правил, могут выполняться. Однако если для определенной коллекции правил существует какое-либо правило, выполняются только те файлы, которые соответствуют по крайней мере одному правилу allow и не соответствуют правилам запрета. Например, если создать исполняемое правило, разрешающее выполнение .exe файлов в %SystemDrive%\FilePath , разрешено выполнять только исполняемые файлы, расположенные по этому пути.
Правило можно настроить для использования разрешающих или запрещающих действий.
- Разрешить . Можно указать, какие файлы можно запускать в вашей среде и для каких пользователей или групп пользователей. Можно также задать исключения файлов из данного правила.
- Запретить. Вы можете указать, какие файлы не могут выполняться в вашей среде, а для каких пользователей или групп пользователей. Можно также задать исключения файлов из данного правила.
Рекомендуется использовать действия разрешения с исключениями. Хотя можно использовать сочетание действий разрешения и запрета, действия запрета всегда побеждают. Нельзя использовать любое другое правило, чтобы разрешить файл, соответствующий правилу запрета.
Исключения из правил
Правила AppLocker можно применять к отдельным пользователям или группе пользователей. Если правило применяется к группе пользователей, оно затрагивает всех пользователей в этой группе. Если необходимо разрешить использовать приложение для подмножества группы пользователей, следует создать для этого подмножества отдельное правило. Например, правило "Разрешить всем запускать Windows, кроме редактора реестра" позволяет всем в организации запускать операционную систему Windows, но никому не позволяет открывает редактор реестра.
Это правило не позволит, например, сотрудникам службы поддержки запускать программу, которая требуется для их работы. Чтобы устранить эту проблему, создайте второе правило, которое применяется к группе пользователей службы поддержки: "Разрешить службе поддержки запускать Редактор реестра". Если вместо этого вы использовали правило запрета, которое запрещает всем пользователям запускать Редактор реестра, второе правило фактически не позволит пользователям службы технической поддержки запускать реестр Редактор.
Коллекция правил DLL
Поскольку коллекция правил DLL не включена по умолчанию, необходимо выполнить следующую процедуру, прежде чем можно будет создавать и применять правила DLL.
Чтобы выполнить эту процедуру, необходимо быть членом локальной группы Администраторы или аналогичной группы.
Включение коллекции правил DLL
- Нажмите кнопку Пуск, введите secpol.msc, а затем нажмите клавишу ВВОД.
- Если появится диалоговое окно Контроль учетных записей пользователей, убедитесь, что отображается нужное действие, и нажмите кнопку Да.
- В дереве консоли дважды щелкните Политики управления приложениями, щелкните правой кнопкой мыши AppLocker и выберите пункт Свойства.
- Перейдите на вкладку Дополнительно, установите флажок Включить коллекцию правил DLL проверка и нажмите кнопку ОК.
Важно.
Прежде чем применять правила DLL, убедитесь, что для каждой библиотеки DLL, необходимой для всех разрешенных приложений, существуют разрешающие правила.
Мастеры AppLocker
Можно создавать правила с помощью двух мастеров AppLocker.
- Мастер создания правил позволяет создавать по одному правилу.
- Мастер автоматического создания правил позволяет создавать несколько правил за раз. Вы можете выбрать папку и разрешить мастеру создавать правила для всех найденных соответствующих файлов. Или для упакованных приложений разрешите мастеру создавать правила для всех упакованных приложений, установленных на компьютере. Можно также указать пользователя или группу, к которой будут применены эти правила. Этот мастер автоматически создает только разрешающие правила.
Дополнительные вопросы
- По умолчанию правила AppLocker не разрешают пользователям открывать или выполнять любые файлы, которые явно не разрешены. Администраторы должны поддерживать в актуальном состоянии список разрешенных приложений.
- Существует два типа условий AppLocker, которые не сохраняют свою силу после обновления приложения.
- Условие хэша файла Условия правила хэша файлов можно использовать с любым приложением, так как криптографическое хэш-значение файла приложения создается во время создания правила. Однако хэш-значение зависит от конкретной версии файла. Если необходимо разрешить несколько версий файла, вам потребуются отдельные условия хэша файла для каждой версии файла.
- Условие "Издатель" с определенным набором версий продукта. Если создается условие правила "Издатель", которое использует вариант Точно для параметра версии, правило не сохранит свою силу, если будет установлена новая версия приложения. Необходимо создать новое условие "Издатель" или отредактировать версию в правиле, чтобы сделать его менее конкретным.
- Если приложение не имеет цифровой подписи, невозможно использовать для этого приложения условие правила "Издатель".
- Если для коллекции правил EXE применяются какие-либо правила, необходимо создать правила в коллекции правил упакованных приложений и упакованных установщиков приложений. В противном случае все упакованные приложения и установщики упакованных приложений блокируются.
- Настроенный URL-адрес можно включить в сообщение, отображаемое при блокировке приложения.
- Ожидайте увеличения числа звонков в службу поддержки, когда пользователи сталкиваются с приложениями, которые не разрешены.
В этом разделе
| Статья | Описание |
|---|---|
| Создание правила, использующего условие хэшей файлов | В этой статье для ИТ-специалистов показано, как создать правило AppLocker с условием хэша файла. |
| Создание правила, использующего условие пути | В этой статье для ИТ-специалистов показано, как создать правило AppLocker с условием пути. |
| Создание правила, использующего условие издателя | В этой статье для ИТ-специалистов показано, как создать правило AppLocker с условием издателя. |
| Создание правил AppLocker по умолчанию | В этой статье для ИТ-специалистов описаны шаги по созданию стандартного набора правил AppLocker, позволяющих запускать системные файлы Windows. |
| Добавление исключений для правила AppLocker | В этой статье для ИТ-специалистов описывается, как указать, какие приложения могут или не могут выполняться в качестве исключений из правила AppLocker. |
| Создание правила для упакованных приложений | В этой статье для ИТ-специалистов показано, как создать правило AppLocker для упакованных приложений с условием издателя. |
| Удаление правила AppLocker | В этой статье для ИТ-специалистов описаны действия по удалению правила AppLocker. |
| Редактирование правил AppLocker | В этой статье для ИТ-специалистов описаны действия по изменению правила издателя, правила пути и правила хэша файлов в AppLocker. |
| Включение функции коллекции правил DLL | В этой статье для ИТ-специалистов описано, как включить функцию сбора правил DLL для AppLocker. |
| Принудительное применение правил AppLocker | В этой статье для ИТ-специалистов описывается применение правил управления приложениями с помощью AppLocker. |
| Запуск мастера автоматического создания правил | В этой статье для ИТ-специалистов описаны шаги по запуску мастера для создания правил AppLocker на эталонном устройстве. |
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по