Обзор управления приложениями в Защитнике Windows и AppLocker
Примечание.
Некоторые возможности управления приложениями в Защитнике Windows (WDAC) доступны только в определенных версиях Windows. Дополнительные сведения о доступности функций WDAC.
Windows 10 и Windows 11 включают две технологии, которые можно использовать для управления приложениями в зависимости от конкретных сценариев и требований вашей организации: Управление приложениями в Защитнике Windows (WDAC) и AppLocker.
Управление приложениями в Защитнике Windows
WDAC появился в Windows 10 и позволяет организациям контролировать, какие драйверы и приложения разрешено запускать на своих клиентах Windows. Он был разработан в качестве функции безопасности в соответствии с критериями обслуживания, определенными Центром реагирования на безопасность Майкрософт (MSRC).
Политики WDAC применяются к управляемому компьютеру в целом и затрагивают всех пользователей устройства. Правила WDAC можно определить на основе:
- Атрибуты сертификатов codesigning, используемых для подписи приложения и его двоичных файлов
- Атрибуты двоичных файлов приложения, которые поступают из подписанных метаданных для файлов, таких как исходное имя файла и версия, или хэш файла
- Репутация приложения, определяемая корпорацией Майкрософт Intelligent Security Graph
- Удостоверение процесса, который инициировал установку приложения и его двоичных файлов (управляемый установщик)
- Путь, с которого запускается приложение или файл (начиная с Windows 10 версии 1903).
- Процесс, запускающий приложение или двоичный файл
Примечание.
WDAC первоначально был выпущен в составе Device Guard и называется настраиваемой целостностью кода. Device Guard и настраиваемая целостность кода больше не используются, кроме как для поиска места развертывания политики WDAC с помощью групповой политики.
Требования к системе WDAC
Политики WDAC можно создавать и применять в любом клиентском выпуске Windows 10 или Windows 11, а также в Windows Server 2016 и более поздних версиях. Политики WDAC можно развернуть с помощью решения управления мобильными устройствами (MDM), например Intune; интерфейс управления, например Configuration Manager; или узел скриптов, например PowerShell. Групповую политику также можно использовать для развертывания политик WDAC, но она ограничена политиками формата одной политики, которые работают в Windows Server 2016 и 2019.
Дополнительные сведения о том, какие отдельные функции WDAC доступны для конкретных сборок WDAC, см. в разделе Доступность компонентов WDAC.
AppLocker
AppLocker появился в Windows 7 и позволяет организациям контролировать, какие приложения разрешено запускать на своих клиентах Windows. AppLocker помогает предотвратить запуск неутвержденного программного обеспечения конечными пользователями на своих компьютерах, но не соответствует критериям обслуживания для функции безопасности.
Политики AppLocker могут применяться ко всем пользователям на компьютере или к отдельным пользователям и группам. Правила AppLocker можно определить на основе:
- Атрибуты сертификатов codesigning, используемых для подписи приложения и его двоичных файлов.
- Атрибуты двоичных файлов приложения, которые поступают из подписанных метаданных файлов, таких как исходное имя файла и версия, или хэш файла.
- Путь, с которого запускается приложение или файл.
AppLocker также используется некоторыми функциями WDAC, включая управляемый установщик и Граф интеллектуальной безопасности.
Требования к системе AppLocker
Политики AppLocker можно настроить и применять только к устройствам, работающим в поддерживаемых версиях и выпусках операционной системы Windows. Дополнительные сведения см. в разделе Необходимые условия для использования AppLocker. Политики AppLocker можно развернуть с помощью групповой политики или MDM.
Выбор времени использования WDAC или AppLocker
Как правило, клиенты, которые могут реализовать управление приложениями с помощью WDAC, а не AppLocker, должны делать это. WDAC постоянно совершенствуется и получает дополнительную поддержку от платформ управления Майкрософт. Хотя AppLocker продолжает получать исправления безопасности, он не получает новых улучшений функций.
Однако в некоторых случаях AppLocker может быть наиболее подходящей технологией для вашей организации. AppLocker лучше всего использовать, когда:
- У вас смешанная среда операционной системы (ОС) Windows, и вам необходимо применить те же элементы управления политикой к Windows 10 и более ранним версиям ОС.
- Необходимо применять разные политики для разных пользователей или групп на общих компьютерах.
- Вы не хотите применять управление приложениями для файлов приложений, таких как библиотеки DLL или драйверы.
AppLocker также можно развернуть в дополнение к WDAC, чтобы добавить правила, зависящие от пользователей или групп, для сценариев с общим устройством, где важно запретить некоторым пользователям запускать определенные приложения. Рекомендуется применять WDAC на максимально возможном для вашей организации уровне, а затем использовать AppLocker для дальнейшей настройки ограничений.
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по