Что такое AppLocker?

Область применения

  • Windows 10
  • Windows 11
  • Windows Server 2016 и более поздние версии

Примечание

Некоторые возможности управления приложениями в Защитнике Windows доступны только в определенных версиях для Windows. Узнайте больше о доступности функции управления приложениями в Защитнике Windows.

В этом разделе для ИТ-специалистов описывается, что такое AppLocker и чем его функции отличаются от политик ограниченного использования программного обеспечения.

AppLocker предлагает функции управления приложениями и функциональные возможности политик ограниченного использования программного обеспечения. AppLocker содержит новые возможности и расширения, позволяющие создавать правила, разрешающие или запрещающие запуск приложений на основе уникальных удостоверений файлов, а также указывать, какие пользователи или группы могут запускать эти приложения.

С помощью AppLocker можно:

  • Управление следующими типами приложений: исполняемыми файлами (.exe и COM), скриптами (.js, .ps1, VBS, CMD и .bat), файлами установщика Windows (MST, .msi и MSP) и DLL-файлами (.dll и OCX), упакованными приложениями и упакованными установщиками приложений (appx).
  • Определите правила на основе атрибутов файла, производных от цифровой подписи, включая издателя, название продукта, имя файла и версию файла. Например, можно создать правила на основе атрибута издателя, который постоянно обновляется, или можно создать правила для определенной версии файла.
  • Назначение правил группе безопасности или определенному пользователю.
  • Создание исключений из правил. Например, можно создать правило, которое позволяет запускать все процессы Windows, кроме редактора реестра (Regedit.exe).
  • Использование режима только аудита для развертывания политики и определения ее влияния до непосредственного применения.
  • Правила импорта и экспорта. Импорт и экспорт влияют на всю политику. Например, при экспорте политики экспортируются все правила из всех коллекций правил, включая параметры принудительного применения для коллекций правил. При импорте политики все критерии в существующей политике перезаписываются.
  • Упростите создание правил AppLocker и управление ими с помощью командлетов Windows PowerShell.

AppLocker помогает сократить административные издержки и снизить затраты организации на управление вычислительными ресурсами за счет уменьшения числа обращений в службу поддержки, которые возникают от пользователей, запускающих неутвержденные приложения.

Сведения о сценариях управления приложениями, к которым обращается AppLocker, см. в статье Сценарии использования политики AppLocker.

Чем отличаются политики ограниченного использования программного обеспечения и AppLocker?

Различия функций

В следующей таблице сравнивается AppLocker с политиками ограниченного использования программного обеспечения.

Функция Политики ограниченного использования программ AppLocker
Область правила Все пользователи Конкретный пользователь или группа
Предоставленные условия правила Хэш файла, путь, сертификат, путь к реестру и зона Интернета Хэш файла, путь и издатель
Предоставленные типы правил Определяется уровнями безопасности:
  • Disallowed
  • Базовый пользователь
  • Неограниченный
  • Разрешить и запретить
    Действие правила по умолчанию Неограниченный Неявное отрицать
    Режим только аудита Нет Да
    Мастер создания нескольких правил одновременно Нет Да
    Импорт или экспорт политики Нет Да
    Коллекция правил Нет Да
    поддержка Windows PowerShell Нет Да
    Пользовательские сообщения об ошибках Нет Да

    Различия функций управления приложениями

    В следующей таблице сравниваются функции управления приложениями политик ограниченного использования программного обеспечения (SRP) и AppLocker.

    Функция управления приложениями Srp AppLocker
    Область операционной системы Политики SRP можно применять ко всем операционным системам Windows, начиная с Windows XP и Windows Server 2003. Политики AppLocker применяются только к поддерживаемым версиям и выпускам операционной системы, перечисленным в разделе Требования к использованию AppLocker. Но эти системы также могут использовать SRP.
    Примечание: Используйте разные объекты групповой политики для правил SRP и AppLocker.
    Поддержка пользователей SRP позволяет пользователям устанавливать приложения от имени администратора. Политики AppLocker поддерживаются с помощью групповая политика, и только администратор устройства может обновить политику AppLocker.

    AppLocker позволяет настраивать сообщения об ошибках, чтобы направлять пользователей на веб-страницу за справкой.

    Обслуживание политики Политики SRP обновляются с помощью оснастки "Локальная политика безопасности" или консоли управления групповая политика (GPMC). Политики AppLocker обновляются с помощью оснастки "Локальная политика безопасности" или консоли управления групповыми политиками.

    AppLocker поддерживает небольшой набор командлетов PowerShell для администрирования и обслуживания.

    Инфраструктура управления политиками Для управления политиками SRP SRP использует групповая политика в домене и оснастку "Локальная политика безопасности" для локального компьютера. Для управления политиками AppLocker использует групповая политика в домене и оснастку "Локальная политика безопасности" для локального компьютера.
    Блокировка вредоносных сценариев Правила блокировки вредоносных сценариев не позволяют запускать все скрипты, связанные с узлом сценариев Windows, за исключением сценариев, подписанных вашей организацией с цифровой подписью. Правила AppLocker могут управлять следующими форматами файлов: .ps1, .bat, CMD, VBS и .js. Кроме того, можно задать исключения, чтобы разрешить выполнение определенных файлов.
    Управление установкой программного обеспечения SRP может запретить установку всех пакетов установщика Windows. Он позволяет установить .msi файлы, подписанные вашей организацией с цифровой подписью. Коллекция правил установщика Windows — это набор правил, созданных для типов файлов установщика Windows (MST, .msi и MSP), позволяющих управлять установкой файлов на клиентских компьютерах и серверах.
    Управление всем программным обеспечением на компьютере Все программное обеспечение управляется в одном наборе правил. По умолчанию политика управления всем программным обеспечением на устройстве запрещает все программное обеспечение на устройстве пользователя, за исключением программного обеспечения, установленного в папке Windows, папке Program Files или вложенных папках. В отличие от SRP, каждая коллекция правил AppLocker функционирует как список разрешенных файлов. Только файлы, перечисленные в коллекции правил, будут разрешены к запуску. Эта конфигурация упрощает администраторам определение того, что произойдет при применении правила AppLocker.
    Разные политики для разных пользователей Правила применяются единообразно ко всем пользователям на определенном устройстве. На устройстве, совместно используемом несколькими пользователями, администратор может указать группы пользователей, которые могут получить доступ к установленному программному обеспечению. Администратор использует AppLocker, чтобы указать пользователя, к которому должно применяться определенное правило.

    Связанные статьи