Windows 应用程序控制
注意
适用于企业的 App Control 的某些功能仅适用于特定 Windows 版本。 详细了解 应用控制功能可用性。
每天创建成千上万个新的恶意文件,使用基于防病毒解决方案的基于签名的检测等传统方法来对抗恶意软件,为新的攻击提供了不足的防御能力。
在大多数组织中,信息是最有价值的资产,必须确保只有已批准的用户才能访问该信息。 然而,当用户运行某个进程时,该进程的访问级别等同于用户具有的数据访问级别。 因此,如果用户有意或无意运行恶意软件时,敏感信息可能被轻松删除或发送。
应用程序控制可以通过限制允许用户运行的应用程序以及 System Core (内核) 中运行的代码来帮助缓解这些类型的安全威胁。 应用程序控制策略还可以阻止未签名的脚本和 MSI,并限制Windows PowerShell在约束语言模式下运行。
鉴于当今的威胁形势,应用程序控制是保护企业的重要防线,与传统防病毒解决方案相比较,应用程序控制具有固有的优势。 具体而言,应用程序控制从假定所有应用程序都可信的应用程序信任模型转向应用程序必须赢得信任才能运行的应用程序信任模型。 许多组织(如澳大利亚信号局)都了解应用程序控制的重要性,并经常将应用程序控制作为解决基于可执行文件的恶意软件 (.exe、.dll 等威胁的最有效手段之一,) 。
注意
尽管应用程序控制可以显著强化计算机免受恶意代码的侵害,但我们建议你继续维护企业防病毒解决方案,以全面实现企业安全组合。
Windows 10和Windows 11包括两种技术,这些技术可用于应用程序控制,具体取决于组织的特定方案和要求:
- 适用于企业的应用控制;和
- AppLocker
应用控件和智能应用控件
从 Windows 11 版本 22H2 开始,智能应用控制为使用者提供应用程序控制。 智能应用控件基于应用控件。 应用控制使企业客户能够创建一个策略,该策略提供与智能应用控制相同的安全性和兼容性,并能够自定义策略以运行业务线 (LOB) 应用。 为了更轻松地实现策略,提供了一个 示例策略 。 示例策略包括应用控制企业策略不支持的 Enabled:Conditional Windows 锁定 策略选项。 在使用示例策略之前,必须删除此规则。 若要将此示例策略用作创建自己的策略的起点,请参阅 使用示例应用控制基础策略创建自定义基本策略。
智能应用控制仅适用于全新安装 Windows 11 版本 22H2 或更高版本,并在评估模式下启动。 智能应用控制会自动关闭企业托管设备,除非用户已先将其打开。 若要关闭跨组织的终结点的智能应用控制,可以将 DWORD (DWORD) 注册表值设置为“ VerifiedAndReputablePolicyState ”, HKLM\SYSTEM\CurrentControlSet\Control\CI\Policy
如下表所示。 更改注册表值后,必须使用 CiTool.exe -r 才能使更改生效。
值 | 描述 |
---|---|
0 | 关闭 |
1 | 施行 |
2 | 评估 |
重要提示
关闭智能应用控制后,如果不重置或重新安装 Windows,则无法将其打开。
Windows 版本和许可要求
下表列出了支持适用于企业的 App Control 的 Windows 版本:
Windows 专业版 | Windows 企业版 | Windows 专业教育版/SE | Windows 教育版 |
---|---|---|---|
是 | 是 | 是 | 是 |
应用控制许可证权利由以下许可证授予:
Windows 专业版/专业教育版/SE | Windows 企业版 E3 | Windows 企业版 E5 | Windows 教育版 A3 | Windows 教育版 A5 |
---|---|---|---|---|
是 | 是 | 是 | 是 | 是 |
有关 Windows 许可的详细信息,请参阅 Windows 许可概述。