通过

在相同的域中使用 AppLocker 和软件限制策略

  • 项目

本主题面向 IT 专业人员介绍了可帮助你使用软件限制策略和 AppLocker 管理应用程序控制策略的概念和过程。

在相同的域中使用 AppLocker 和软件限制策略

AppLocker 在运行 Windows 7 及以上版本的系统上受支持。软件限制策略 (SRP) 在运行 Windows Vista 或早期版本的系统上受支持。你可以继续在早于 Windows 7 的计算机上使用 SRP 进行应用程序控制,但是要将 AppLocker 用于运行 Windows Server 2008 R2、Windows 7 及更高版本的计算机。建议你在单独的 GPO 中编写 AppLocker 和 SRP 规则,并将具有 SRP 策略的 GPO 定向于运行 Windows Vista 或更早版本的系统。当 SRP 和 AppLocker 策略同时应用于运行 Windows Server 2008 R2、Windows 7 以及更高版本的计算机时,将会忽略 SRP 策略。

下表对软件限制策略 (SRP) 和 AppLocker 的特性与功能进行了比较。

应用程序控制功能 SRP AppLocker

范围

SRP 策略可以应用于从 Windows XP 和 Windows Server 2003 开始的所有 Windows 操作系统。

AppLocker 策略仅适用于 Windows Server 2008 R2、Windows 7 以及更高版本。

策略创建

SRP 策略通过组策略进行维护,并且只有 GPO 的管理员才可以更新 SRP 策略。本地计算机上的管理员可以修改在本地 GPO 中定义的 SRP 策略。

AppLocker 策略通过组策略进行维护,并且只有 GPO 的管理员可以更新该策略。本地计算机上的管理员可以修改在本地 GPO 中定义的 AppLocker 策略。

AppLocker 允许自定义错误消息,从而将用户定向到 Web 页面以获取帮助。

策略维护

必须通过使用本地安全策略管理单元(如果策略已在本地创建)或组策略管理控制台 (GPMC) 来更新 SRP 策略。

可以通过使用本地安全策略管理单元(如果策略已在本地创建)、GPMC 或 Windows PowerShell AppLocker Cmdlet 来更新 AppLocker 策略。

策略应用程序

通过组策略分发 SRP 策略。

通过组策略分发 AppLocker 策略。

强制模式

SRP 在“拒绝列表模式”中运行,在该模式下管理员可以为他们不希望在企业中允许的文件(而默认允许运行其余文件)创建规则。

也可以在“允许列表模式”中配置 SRP,这样默认情况下将会阻止所有文件,而管理员需要为希望允许的文件创建允许规则。

默认情况下,AppLocker 在“允许列表模式”中运行,在该模式下仅允许运行存在匹配允许规则的文件。

可以控制的文件类型

SRP 可以控制以下文件类型:

  • 可执行文件

  • DLL

  • 脚本

  • Windows Installer

SRP 无法分别控制每个文件类型。所有 SRP 规则都位于单个规则集合中。

AppLocker 可以控制以下文件类型:

  • 可执行文件

  • DLL

  • 脚本

  • Windows 安装程序

  • 封装应用和安装程序

AppLocker 为五种文件类型的每一种维护单独的规则集合。

指定的文件类型

SRP 支持视为可执行文件的文件类型的可扩展列表。管理员可以为视为可执行文件的文件添加扩展。

AppLocker 当前支持以下文件扩展:

  • 可执行文件(.exe、.com)

  • DLL(.ocx、.dll)

  • 脚本(.vbs、.js、.ps1、.cmd、.bat)

  • Windows Installer(.msi、.mst、.msp)

  • 封装应用安装程序 (.appx)

规则类型

SRP 支持四种类型的规则:

  • 哈希

  • 路径

  • 签名

  • Internet 区域

AppLocker 支持三种类型的规则:

  • 文件哈希

  • 路径

  • 发布者

编辑哈希值

在 Windows XP 中,你可以使用 SRP 提供自定义哈希值。

从 Windows 7 和 Windows Server 2008 R2 开始,你只能选择文件进行哈希,而不能提供哈希值。

AppLocker 自行计算哈希值。在内部,它将 SHA2 验证码哈希用于可移植可执行文件(exe 和 dll)和 Windows Installer,将 SHA2 平面文件哈希用于其余文件。

对不同安全级别的支持

借助 SRP,你可以指定应用可以使用哪些权限运行。因此,你可以配置规则以便记事本始终使用受限权限而从不使用管理权限运行。

Windows Vista 和更早版本中的 SRP 支持多个安全级别。在 Windows 7 中,该列表仅限于两个级别:不允许和无限制(基本用户转换为不允许)。

AppLocker 不支持安全级别。

管理封装应用和封装应用安装程序。

不支持

.appx 是 AppLocker 可以管理的有效文件类型。

将规则定向于用户或用户组

SRP 规则适用于特定计算机上的所有用户。

AppLocker 规则可定向于特定用户或用户组。

对规则例外的支持

SRP 不支持规则例外。

AppLocker 规则可以有例外,这允许你创建诸如“允许 Windows 中的所有内容,Regedit.exe 除外”之类的规则。

对审核模式的支持

SRP 不支持审核模式。测试 SRP 策略的唯一方法是设置测试环境并进行一些试验。

AppLocker 支持审核模式,这允许你测试它们的策略在真实生产环境中的效果,而不会影响用户体验。对结果满意后,你可以开始强制执行该策略。

对导出和导入策略的支持

SRP 不支持策略导入/导出。

AppLocker 支持策略导出和导入。这允许你在示例设备上创建 AppLocker 策略并对其进行测试,然后导出该策略并将其导入回所需的 GPO 中。

规则强制

在内部,SRP 规则在不太安全的用户模式下强制执行。

在内部,用于 .exe 和 .dll 文件的 AppLocker 规则在内核模式下强制执行,这比在用户模式下强制执行规则更安全。