通过

确定你的应用程序控制目标

  • 项目

本主题通过比较软件限制策略 (SRP) 和 AppLocker 来帮助你进行所需的决策,以确定要控制哪些应用程序以及如何控制它们。

对于具有应用限制要求的组织而言,如果他们的环境具有简单的拓扑结构并且应用程序控制策略目标非常简单,则 AppLocker 将非常有效。例如,以下环境将受益于 AppLocker:其中非员工有权访问连接到组织网络的计算机(例如学校或图书馆)。当目标是在为相对少量的应用进行管理的电脑上实现详细级别的控制时,大型组织也会从 AppLocker 策略部署中受益。

允许的应用列表会产生相关联的管理和维护成本。此外,应用程序控制策略的目的是允许或阻止员工使用实际上可能是办公工具的应用。在实现策略的同时使员工或用户保持高效可能会耗费大量时间和精力。最后,创建用户支持进程和网络支持进程以使组织保持高效也很重要。

使用下表来发展你自己的目标,并确定哪些应用程序控制功能最适合用于实现这些目标。

应用程序控制功能 SRP AppLocker

范围

SRP 策略可以应用于从 Windows XP 和 Windows Server 2003 开始的所有 Windows 操作系统。

AppLocker 策略仅适用于使用 AppLocker 的要求中列出的 Windows 的支持版本。

策略创建

SRP 策略通过组策略进行维护,并且只有 GPO 的管理员才可以更新 SRP 策略。本地计算机上的管理员可以修改在本地 GPO 中定义的 SRP 策略。

AppLocker 策略通过组策略进行维护,并且只有 GPO 的管理员可以更新该策略。本地计算机上的管理员可以修改在本地 GPO 中定义的 AppLocker 策略。

AppLocker 允许自定义错误消息,从而将用户定向到 Web 页面以获取帮助。

策略维护

必须通过使用本地安全策略管理单元(如果策略已在本地创建)或组策略管理控制台 (GPMC) 来更新 SRP 策略。

可以通过使用本地安全策略管理单元(如果策略已在本地创建)、GPMC 或 Windows PowerShell AppLocker Cmdlet 来更新 AppLocker 策略。

策略应用程序

通过组策略分发 SRP 策略。

通过组策略分发 AppLocker 策略。

强制模式

SRP 在“拒绝列表模式”中运行,在该模式下管理员可以为他们不希望在企业中允许的文件(而默认允许运行其余文件)创建规则。

也可以在“允许列表模式”中配置 SRP,这样默认情况下将会阻止所有文件,而管理员需要为希望允许的文件创建允许规则。

默认情况下,AppLocker 在“允许列表模式”中运行,在该模式下仅允许运行存在匹配允许规则的文件。

可以控制的文件类型

SRP 可以控制以下文件类型:

  • 可执行文件

  • DLL

  • 脚本

  • Windows Installer

SRP 无法分别控制每个文件类型。所有 SRP 规则都位于单个规则集合中。

AppLocker 可以控制以下文件类型:

  • 可执行文件

  • DLL

  • 脚本

  • Windows 安装程序

  • 封装应用和安装程序

AppLocker 为五种文件类型的每一种维护单独的规则集合。

指定的文件类型

SRP 支持视为可执行文件的文件类型的可扩展列表。你可以为应视为可执行文件的文件添加扩展。

AppLocker 不支持此功能。AppLocker 当前支持以下文件扩展:

  • 可执行文件(.exe、.com)

  • DLL(.ocx、.dll)

  • 脚本(.vbs、.js、.ps1、.cmd、.bat)

  • Windows Installer(.msi、.mst、.msp)

  • 封装应用安装程序 (.appx)

规则类型

SRP 支持四种类型的规则:

  • 哈希

  • 路径

  • 签名

  • Internet 区域

AppLocker 支持三种类型的规则:

  • 哈希

  • 路径

  • 发布者

编辑哈希值

SRP 允许选择要进行哈希操作的文件。

AppLocker 自行计算哈希值。在内部,它将 SHA2 验证码哈希用于可移植可执行文件(Exe 和 Dll)和 Windows Installer,将 SHA2 平面文件哈希用于其余部分。

对不同安全级别的支持

借助 SRP,你可以指定应用可以使用哪些权限运行。因此,你可以配置规则以便记事本始终使用受限权限而从不使用管理权限运行。

Windows Vista 和更早版本上的 SRP 支持多个安全级别。在 Windows 7 中,该列表仅限于两个级别:不允许和无限制(基本用户转换为不允许)。

AppLocker 不支持安全级别。

管理封装应用和封装应用安装程序。

无法

.appx 是 AppLocker 可以管理的有效文件类型。

将规则定向于用户或用户组

SRP 规则适用于特定计算机上的所有用户。

AppLocker 规则可定向于特定用户或用户组。

对规则例外的支持

SRP 不支持规则例外

AppLocker 规则可以有例外,这允许管理员创建诸如“允许 Windows 中的所有内容,Regedit.exe 除外”之类的规则。

对审核模式的支持

SRP 不支持审核模式。测试 SRP 策略的唯一方法是设置测试环境并进行一些试验。

AppLocker 支持审核模式,这允许管理员测试他们的策略在真实生产环境中的效果,而不会影响用户体验。对结果满意后,你可以开始强制执行该策略。

对导出和导入策略的支持

SRP 不支持策略导入/导出。

AppLocker 支持导入和导出策略。这允许你在示例计算机上创建 AppLocker 策略并对其进行测试,然后导出该策略并将其重新导入到所需的 GPO 中。

规则强制

在内部,SRP 规则强制在不太安全的用户模式下执行。

在内部,用于 Exe 和 Dll 的 AppLocker 规则会在内核模式下强制执行,这比在用户模式下强制执行它们更安全。

 

有关更多常规信息,请参阅 AppLocker