Процессы и взаимодействия AppLocker

• Применяется к:

  ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Примечание.

Некоторые возможности управления приложениями в Защитнике Windows доступны только в определенных версиях для Windows. Узнайте больше о доступности функции управления приложениями в Защитнике Windows.

В этой статье для ИТ-специалистов описаны зависимости процессов и взаимодействия, когда AppLocker оценивает и применяет правила.

Применение политик AppLocker

Политики AppLocker — это коллекции правил, которые могут содержать любой из настроенных параметров режима принудительного применения. При применении каждое правило оценивается в политике, а коллекция правил применяется в соответствии с параметром принудительного применения и в соответствии со структурой групповая политика.

Политика AppLocker применяется на компьютере с помощью службы удостоверений приложений (appid.sys), которая является подсистемой, которая оценивает политики и выполняется в ядре Windows. Если служба не запущена, политики не применяются. Служба удостоверений приложений возвращает сведения из двоичного файла, даже если имена продуктов или двоичных файлов пусты, в область результатов оснастки "Локальная политика безопасности".

Политики AppLocker хранятся в формате дескриптора безопасности в соответствии с требованиями к службе удостоверений приложений. Он использует путь к файлу, хэш или полные атрибуты двоичного имени для формирования разрешенных или запрещенных действий в правиле. Каждое правило хранится как запись управления доступом (ACE) в дескрипторе безопасности и содержит следующие сведения:

• Разрешить или запретить ACE ("XA" или "XD" в форме языка определения дескриптора безопасности (SDDL).
• Идентификатор безопасности пользователя (SID), к которому применимо это правило. (По умолчанию используется идентификатор безопасности пользователя, прошедшего проверку подлинности, в SDDL.)
• Условие правила, содержащее атрибуты appid .

Например, SDDL для правила, которое позволяет выполнять все файлы в каталоге %windir%, использует следующий формат: XA;;FX;;;AU;(APPID://PATH == "%windir%\\\*").

Appid.sys считывает и кэширует действующую политику AppLocker для библиотек DLL и исполняемых файлов. При каждом применении новой политики задача преобразователя политик уведомляет appid.sys. Для файлов других типов политика AppLocker считывается каждый раз, когда выполняется вызов SaferIdentifyLevel .

Основные сведения о правилах AppLocker

Правило AppLocker — это элемент управления, размещенный в файле, который определяет, выполняется ли он для определенного пользователя или группы. Вы создаете правила AppLocker для пяти различных типов файлов или коллекций:

• Исполняемое правило определяет, может ли пользователь или группа запускать исполняемый файл. Исполняемые файлы чаще всего имеют расширения имен файлов .exe или .com и применяются к приложениям.
• Правило скриптов определяет, может ли пользователь или группа выполнять скрипты с расширением имени файла .ps1, .bat, .cmd, VBS и .js.
• Правило установщика Windows определяет, может ли пользователь или группа запускать файлы с расширением .msi, MST и MSP (исправление установщика Windows).
• Правило DLL определяет, может ли пользователь или группа запускать файлы с расширением имени файла .dll и OCX.
• Правило установщика упакованных приложений и упакованных приложений определяет, может ли пользователь или группа запускать или устанавливать упакованое приложение. Установщик упакованных приложений имеет расширение .appx.

Существует три различных типа условий, которые могут применяться к правилам:

• Условие издателя правила определяет, может ли пользователь или группа запускать файлы от определенного издателя программного обеспечения. Файл должен быть подписан.

• Условие пути для правила определяет, может ли пользователь или группа запускать файлы из определенного каталога или его подкаталогов.

• Условие хэша файла в правиле определяет, может ли пользователь или группа запускать файлы с соответствующими зашифрованными хэшами.

• Общие сведения о коллекциях правил AppLocker

  Коллекция правил AppLocker — это набор правил, которые применяются к одному из следующих типов: исполняемые файлы, файлы установщика Windows, скрипты, библиотеки DLL и упакованные приложения.

• Общие сведения о типах условий правил AppLocker

  Условия правила — это критерии, на которых основано правило AppLocker. Для создания правила AppLocker требуются основные условия. Три основных условия правил: издатель, путь и хеш файла.

  • Общие сведения об условии правила издателя в AppLocker
  • Общие сведения об условии правила пути в AppLocker
  • Общие сведения об условии правила хэша файла в AppLocker

• Общие сведения о правилах AppLocker, используемых по умолчанию

  AppLocker включает правила по умолчанию для каждой коллекции правил. Эти правила предназначены для обеспечения того, чтобы файлы, необходимые для правильной работы Windows, были разрешены в коллекции правил AppLocker.

  • Правила исполняемых файлов в AppLocker
  • Правила установщика Windows в AppLocker
  • Правила сценариев в AppLocker
  • Правила DLL в AppLocker
  • Правила упакованных приложений и установщика упакованных приложений в AppLocker

• Общие сведения об исключениях из правил AppLocker

  Правила AppLocker можно применять к отдельным пользователям или группе пользователей. Если правило применяется к группе пользователей, оно затрагивает всех пользователей в этой группе. Если необходимо разрешить только подмножество группы пользователей использовать приложение, можно создать специальное правило для этого подмножества.

• Общие сведения о поведении правил AppLocker и сведения о разрешенных и запрещенных действиях AppLocker в правилах

  Каждая коллекция правил AppLocker функционирует как список разрешенных файлов.

Основные сведения о политиках AppLocker

Политика AppLocker — это набор коллекций правил и соответствующих настроенных параметров режима принудительного применения, применяемых к одному или нескольким компьютерам.

• Общие сведения о параметрах принудительного применения AppLocker

  Применение правил применяется только к коллекциям правил, а не к отдельным правилам. AppLocker делит правила на четыре коллекции: исполняемые файлы, файлы установщика Windows, скрипты и DLL-файлы. Параметры принудительного применения правил : Не настроено, Принудительное применение правил или Только аудит. Вместе все коллекции правил AppLocker составляют политику управления приложениями или политику AppLocker. По умолчанию, если принудительное применение не настроено и правила присутствуют в коллекции правил, эти правила применяются.

Основные сведения о AppLocker и групповая политика

групповая политика можно использовать для создания, изменения и распространения политик AppLocker в отдельных объектах или в сочетании с другими политиками.

• Общие сведения о правилах AppLocker и наследовании параметра принудительного применения в групповой политике

  Если групповая политика используется для распространения политик AppLocker, применяются коллекции правил, содержащие одно или несколько правил, если для режима принудительного применения не задано значение Только аудит. групповая политика не перезаписывает и не заменяет правила, которые уже присутствуют в связанном объекте групповая политика (GPO), и применяет правила AppLocker в дополнение к существующим правилам. AppLocker обрабатывает явные правила запрета перед любыми разрешенными правилами, а для принудительного применения правил применяется последняя запись в объект групповой политики.

Связанные статьи

• Технический справочник по AppLocker