Поделиться через

Общие сведения о типах условий правил AppLocker

В этой статье для ИТ-специалистов описаны три типа условий правил AppLocker.

Условия правила — это критерии, на которых основано правило AppLocker. Для создания правила AppLocker требуются основные условия. Три основных условия правил: издатель, путь и хеш файла.

Издатель

Чтобы использовать условие издателя, издатель программного обеспечения должен подписать файлы приложения в цифровом виде, или же это необходимо сделать с помощью внутреннего сертификата. Правила, указанные на уровне версии, могут быть обновлены при выпуске новой версии файла. Дополнительные сведения об этом условии правила см. в статье Общие сведения об условии правила издателя в AppLocker.

Путь

Это условие правила можно назначить любому файлу. Тем не менее, так как правила пути указывают расположения в файловой системе, правило также влияет на все подкаталоги, если они не исключены явным образом. Дополнительные сведения об этом условии правила см. в статье Общие сведения об условии правила пути в AppLocker.

Хеш файла

Это условие правила можно назначить любому файлу. Однако правило должно обновляться при каждом выпуске новой версии файла, так как значение хэша Authenticode уникально для каждой версии файла. Дополнительные сведения об этом условии правила см. в статье Общие сведения о условии правила хэша файлов в AppLocker.

Соображения

Выбор соответствующего условия для каждого правила зависит от общих целей политики управления приложениями организации, целей обслуживания правила AppLocker и состояния существующего (или запланированного) развертывания приложения. Следующие вопросы помогут вам решить, какое условие правила следует использовать.

  1. Является ли файл цифровой подписью издателя программного обеспечения?

    Если издатель программного обеспечения подписал файл, рекомендуется создать правила с условиями издателя. Вы по-прежнему можете создавать условия хэша файлов и пути для подписанных файлов. Однако если издатель программного обеспечения не подписал файл, вы можете:

    • Подпишите файл с помощью внутреннего сертификата.

    • Создайте правило с помощью условия хэша файла.

    • Создайте правило с помощью условия пути.

      Примечание.

      Чтобы определить, сколько приложений на компьютере-образце имеют цифровую подпись, можно использовать командлет Get-AppLockerFileInformation Windows PowerShell для каталога файлов. Например, Get-AppLockerFileInformation -Directory C:\Windows\ -FileType EXE -recurse отображает свойства для всех .exe и .com файлов в каталоге Windows.

  2. Какой тип условия правила предпочитает ваша организация?