适用于企业的 App Control 和 AppLocker 概述
注意
适用于企业的 App Control 的某些功能仅适用于特定 Windows 版本。 详细了解 应用控制功能可用性。
Windows 10和Windows 11包括两种可用于应用程序控制的技术,具体取决于组织的特定方案和要求:适用于企业的 App Control 和 AppLocker。
适用于企业的应用控制
应用控制随Windows 10一起引入,使组织能够控制允许哪些驱动程序和应用程序在其 Windows 客户端上运行。 它设计为服务 条件下的安全功能,由 Microsoft 安全响应中心 (MSRC) 定义。
应用控制策略作为一个整体应用于托管计算机,并影响设备的所有用户。 可以基于以下条件定义应用控制规则:
- 用于对应用及其二进制文件进行签名的代码签名证书 () 的属性
- 来自文件的已签名元数据的应用二进制文件的属性,例如原始文件名和版本或文件的哈希
- 由 Microsoft 的智能安全图确定的应用信誉
- 启动安装应用及其二进制文件的进程标识 (托管安装程序)
- 从Windows 10版本 1903 开始启动应用或文件的路径 ()
- 启动应用或二进制文件的进程
注意
应用控制最初作为 Device Guard 的一部分发布,称为可配置代码完整性。 除了通过组策略查找部署应用控制策略的位置外,不再使用 Device Guard 和可配置的代码完整性。
应用控制系统要求
可以在任何客户端版本的 Windows 10、Windows 11 或 Windows Server 2016 及更高版本上创建和应用应用控制策略。 可以通过移动设备管理 (MDM) 解决方案部署应用控制策略,例如Intune、管理界面(如 Configuration Manager)或脚本主机(如 PowerShell)。 组策略还可用于部署应用控制策略,但仅限于适用于 Windows Server 2016 和 2019 的单策略格式策略。
有关特定应用控件版本上可用的单个应用控件功能的详细信息,请参阅 应用控制功能可用性。
AppLocker
AppLocker 随 Windows 7 一起引入,它允许组织控制允许哪些应用程序在其 Windows 客户端上运行。 AppLocker 有助于防止最终用户在其计算机上运行未经批准的软件,但不符合作为安全功能的服务条件。
AppLocker 策略可以应用于计算机上的所有用户,也可以应用于单个用户和组。 AppLocker 规则可以基于以下项定义:
- 代码签名证书的属性 (用于对应用及其二进制文件进行签名的) 。
- 来自文件的已签名元数据的应用二进制文件的属性,例如原始文件名和版本或文件的哈希。
- 从中启动应用或文件的路径。
AppLocker 还由应用控制的某些功能使用,包括 托管安装程序 和 智能安全图。
AppLocker 系统要求
AppLocker 策略只能在 Windows 操作系统的受支持版本上运行的设备进行配置并应用于这些策略。 有关详细信息,请参阅 AppLocker 的使用要求。 可以使用 组策略 或 MDM 部署 AppLocker 策略。
选择何时使用应用控件或 AppLocker
通常,能够使用应用控制(而不是 AppLocker)实现应用程序控制的客户应执行此操作。 应用控制正在不断改进,并正在从Microsoft管理平台获得额外的支持。 尽管 AppLocker 继续收到安全修补程序,但它并没有获得新功能改进。
但是,在某些情况下,AppLocker 可能是更适合组织的技术。 在以下情况下,AppLocker 是最佳选择:
- 你有一个混合的 Windows 操作系统 (操作系统) 环境,需要将相同的策略控制应用于Windows 10和早期版本的操作系统。
- 你需要为共享计算机上的不同用户或组应用不同的策略。
- 你不希望对应用程序文件(如 DLL 或驱动程序)强制实施应用程序控制。
AppLocker 还可以部署为应用控件的补充,以便为共享设备方案添加特定于用户或组的规则,其中防止某些用户运行特定应用非常重要。 最佳做法是,应在组织尽可能限制性最严格的级别强制实施应用控制,然后使用 AppLocker 进一步微调限制。