AppLocker
本主题提供 AppLocker 的说明,并且有助于你确定你的组织是否可以从部署 AppLocker 应用程序控制策略中受益。AppLocker 可帮助你控制用户可以运行的应用和文件。它们包括可执行文件、脚本、Windows 安装程序文件、动态链接库 (DLL)、应用包和应用包安装程序。
AppLocker 可以帮助你:
根据应用更新期间永久使用的文件属性来定义规则,例如:发布者名称(从数字签名派生)、产品名称、文件名和文件版本。你还可以基于文件路径和哈希创建规则。
向安全组或单个用户分配规则。
创建规则异常。例如,可以创建规则以允许所有用户运行除注册表编辑器 (regedit.exe) 之外的所有 Windows 二进制文件。
使用仅审核模式部署策略,并在强制执行它之前了解其影响。
在暂存服务器上创建规则并测试它们,然后将它们导出到生产环境,之后将其导入到组策略对象。
AppLocker 规则的创建和管理可通过使用 Windows PowerShell 来简化。
AppLocker 可以减少因用户运行未经批准的应用导致的帮助台呼叫的次数,从而降低管理开销并降低组织管理计算资源的成本。AppLocker 适用于以下应用安全场景:
应用程序清单
AppLocker 能够强制其策略处于仅审核模式,这样所有应用访问活动都会在事件日志中注册。可以收集这些事件以供进一步分析。Windows PowerShell cmdlet 还帮助你以编程方式分析此数据。
防止不需要的软件
AppLocker 支持在从允许列表中排除应用后拒绝运行这些应用。当在生产环境中实施 AppLocker 规则时,允许规则中不包含的任何应用都会被阻止运行。
许可一致性
AppLocker 可帮助你创建规则以防止未经许可的软件运行,并限制授权用户使用许可软件。
软件标准化
可以配置 AppLocker 策略使其仅允许受支持或批准的应用在业务组内的计算机上运行。这样可以使应用部署更统一。
可管理性改进
与之前的软件限制策略相比,AppLocker 包括大量可管理性改进。导入和导出策略、从多个文件自动生成规则、仅审核模式部署以及 Windows PowerShell cmdlet 仅少量改进了软件限制策略。
新增功能和更改的功能
若要查找有关 Windows 10 AppLocker 的新增功能,请参阅 AppLocker 中的新增功能。
何时使用 AppLocker
在许多组织中,信息是非常有价值的资源,它能够确保只有经过批准的用户才能访问所需信息。访问控制技术,比如 Active Directory Rights Management Services (AD RMS) 和访问控制列表 (ACL) 有助于控制允许访问的用户。
然而,当用户运行某个进程时,该进程的访问级别等同于用户具有的数据访问级别。因此,如果用户有意或无意运行恶意软件时,敏感信息可能被轻松删除或发送。AppLocker 可以通过限制用户或组可以运行的文件来减少这些类型的安全漏洞。
软件发布者开始创建更多可被非管理用户安装的应用。这可能会危害组织的书面安全策略,并规避依赖于不可信用户安装应用的传统应用控制解决方案。通过创建已批准文件和应用的支持列表,AppLocker 可以帮助防止此类用户特定应用的运行。由于 AppLocker 可以控制 DLL,它还可用来控制安装和运行 ActiveX 控件的用户。
AppLocker 是组织的理想选择,它目前使用组策略管理其电脑。
下面是可以使用 AppLocker 的应用场景的示例:
你组织的安全策略仅支持使用许可软件,因此你需要防止用户运行未经许可的软件,同时限制授权用户使用许可软件。
如果某个应用不再受组织的支持,你需要防止它被所有人使用。
在环境中引入不想要的软件的可能性比较大,因此你需要减少此威胁。
应用许可在组织中已被撤销或者已过期,所以你需要防止它被所有人使用。
新应用或新版本的应用已部署,因此需要防止用户运行旧版本。
组织内不允许使用特定的软件工具,或者只有特定用户才能访问这些工具。
单个用户或一小群用户需要使用被所有其他人拒绝的特定应用。
由于你组织内的某些计算机可能被具有不同软件使用需求的人共享,所以你需要保护特定应用。
除了其他措施,你还需要使用应用控制对敏感数据的访问。
AppLocker 可以帮助你保护组织内的数字资源、降低环境中引入的恶意软件的威胁并改进应用程序控制的管理及应用程序控制策略的维护。
系统要求
AppLocker 策略仅可在运行 Windows 操作系统受支持版本和修订版的计算机上配置和应用。组策略需要分配包含 AppLocker 策略的组策略对象。有关详细信息,请参阅 AppLocker 的使用要求。
可以在域控制器上创建 AppLocker 规则。
安装 AppLocker
AppLocker 随 Windows 企业级版本一起提供。你可以为一台计算机编写 AppLocker 规则,也可以为一组计算机编写。如果是为一台计算机编写规则,可以使用本地安全策略编辑器 (secpol.msc) 来编写。如果是为一组计算机编写规则,可以使用组策略管理控制台 (GPMC) 在组策略对象内编写。
注意
只有安装远程服务器管理工具,GPMC 才能在运行 Windows 的客户端计算机上使用。在运行 Windows Server 的计算机上,必须安装组策略管理功能。
在服务器核心上使用 AppLocker
不支持服务器核心安装上的 AppLocker。
虚拟化注意事项
可以使用 Windows 的虚拟化实例来管理 AppLocker 策略,但是它必须满足之前列出的所有系统要求。也可以在虚拟化实例中运行组策略。但是,你创建的策略可能会丢失,而且如果虚拟化实例删除或失败,还需要维护。
安全注意事项
应用程序控制策略指定允许在本地计算机上运行的应用。
恶意软件的形式多种多样,这使得用户很难判断哪些软件可以安全地运行。当恶意软件被激活时,可能会破坏硬盘驱动器上的内容、使网络内充斥可导致拒绝服务 (DoS) 攻击的请求、向 Internet 发送机密信息,或者危及计算机的安全。
解决方法是在组织内的计算机上创建适用的应用程序控制策略,然后在实验室环境中认真测试该策略,之后将策略部署到生产环境中。AppLocker 可以包含在你的应用控制策略中,因为计算机上允许运行的软件是可控的。
有缺陷的应用程序控制策略实现可能会禁用需要的应用程序,或者允许恶意或非预期软件运行。因此,组织需要投入充足的资源来管理此类策略的实现并进行故障排除,这至关重要。
有关特定安全问题的其他信息,请参阅 AppLocker 安全注意事项。
使用 AppLocker 创建应用程序控制策略时,你应当了解以下安全注意事项:
具有 AppLocker 策略设置权限的用户是谁?
如何验证策略是否已强制执行?
你应该审核的事件是什么?
有关安全规划的参考,可参见下表,其中标识了装有 AppLocker 的计算机的基线设置:
设置 | 默认值 |
---|---|
帐户已创建 |
无 |
身份验证方法 |
不适用 |
管理接口 |
AppLocker 可以通过使用 Microsoft 管理控制台管理单元、组策略管理和 Windows PowerShell 来管理 |
端口已打开 |
无 |
所需的最小特权 |
本地计算机上的管理员;域管理或允许你创建、编辑和分配组策略对象的任何权利集。 |
协议已使用 |
不适用 |
计划任务 |
Appidpolicyconverter.exe 已放入计划任务中以待按需运行。 |
安全策略 |
不需要任何信息。AppLocker 将创建安全策略。 |
需要系统服务 |
应用程序标识服务 (appidsvc) 在 LocalServiceAndNoImpersonation 下运行。 |
凭据的存储 |
无 |
本部分内容
主题 | 描述 |
---|---|
面向 IT 专业人员的本主题提供指向在管理 AppLocker 策略时所使用的特定过程的链接。 |
|
面向 IT 专业人员的本主题介绍了使用 AppLocker 部署应用程序控制策略所需的设计和规划步骤。 |
|
面向 IT 专业人员的本主题介绍了概念并介绍了部署 AppLocker 策略所需的步骤。 |
|
面向 IT 专业人员的本概述主题提供指向技术参考中的主题的链接。 |