AppLocker

Эта статья содержит описание AppLocker и поможет вам решить, может ли ваша организация воспользоваться преимуществами развертывания политик управления приложениями AppLocker. С помощью AppLocker можно контролировать, какие приложения и файлы могут запускать пользователи. Это относится к исполняемым файлам, сценариям, файлам установщика Windows, библиотекам DLL, упакованным приложениям и установщикам упакованного приложения. AppLocker также используется в некоторых функциях управления приложениями Защитник Windows.

Примечание.

AppLocker — это функция глубокой защиты и не считается защищенной функцией безопасности Windows. Защитник Windows управление приложениями следует использовать, когда цель заключается в обеспечении надежной защиты от угрозы и, как ожидается, не будет никаких ограничений, которые помешают функции безопасности достичь этой цели.

Примечание.

По умолчанию политика AppLocker применяется только к коду, запущенном в контексте пользователя. На Windows 10, Windows 11 и Windows Server 2016 или более поздней версии политику AppLocker можно применять к непользовательским процессам, в том числе к тем, которые выполняются от имени SYSTEM. Дополнительные сведения см. в разделе Расширения коллекции правил AppLocker.

AppLocker обладает следующими возможностями.

  • Определение правил на основе атрибутов файлов, которые сохраняются при обновлении приложений, например имени издателя (берется из цифровой подписи), имени продукта, имени и версии файла. Вы также можете создавать правила на основе пути и хэша файла.
  • Назначение правил группе безопасности или определенному пользователю.
  • Создание исключений из правил. Например, можно создать правило, которое разрешает всем пользователям запускать все двоичные файлы Windows за исключением редактора реестра (regedit.exe).
  • Используйте режим только аудита, чтобы развернуть политику и понять ее влияние, прежде чем применять ее.
  • Создание правил на промежуточном сервере, их проверка, а затем экспорт в производственную среду и импорт в объект групповой политики.
  • Создание правил AppLocker и управление ими с помощью Windows PowerShell.

AppLocker помогает предотвратить запуск неутвержденных приложений пользователями. AppLocker предназначен для следующих сценариев управления приложениями:

  • Инвентаризация приложений. AppLocker имеет возможность применять свою политику в режиме только аудита, где все действия запуска приложений разрешены, но регистрируются в журналах событий. Эти события могут быть собраны для дальнейшего анализа. Командлеты Windows PowerShell также позволяют анализировать эти данные программным путем.
  • Защита от нежелательного программного обеспечения. AppLocker может запретить запуск приложений при их исключении из списка разрешенных приложений. Когда правила AppLocker применяются в рабочей среде, все приложения, которые не включены в разрешенные правила, блокируются.
  • Соответствие лицензированию. AppLocker помогает создавать правила, которые запрещают запуск нелицензированного программного обеспечения и ограничивают лицензированное программное обеспечение авторизованными пользователями.
  • Стандартизация программного обеспечения. Политики AppLocker можно настроить так, чтобы разрешить запуск только поддерживаемых или утвержденных приложений на компьютерах в бизнес-группе. Эта конфигурация обеспечивает более равномерное развертывание приложений.

Сценарии использования AppLocker

Во многих организациях информация является самым ценным активом, поэтому очень важно гарантировать, чтобы только авторизованные пользователи имели доступ к этой информации. Технологии управления доступом, например службы управления правами Active Directory (AD RMS) и списки управления доступом (ACL) позволяют контролировать, к чему пользователи могут получить доступ.

Однако если пользователь запускает процесс, этот процесс имеет тот же уровень доступа к данным, что и у пользователя. В результате конфиденциальная информация может быть легко удалена или передана из организации, если пользователь запускает несанкционированное программное обеспечение, включая вредоносные программы. AppLocker помогает устранить эти типы проблем безопасности, ограничив файлы, которые разрешено запускать пользователям или группам. Так как AppLocker может управлять библиотеками DLL и скриптами, он также полезен для управления тем, кто может устанавливать и запускать элементы ActiveX.

AppLocker идеально подходит для организаций, которые в настоящее время используют групповую политику для управления своими компьютерами.

Ниже приведены примеры сценариев, при которых может использоваться AppLocker:

  • Политика безопасности вашей организации определяет использование только лицензионного программного обеспечения, поэтому нужно запретить пользователям запускать нелицензионное программное обеспечение, а также ограничить использование лицензионного программного обеспечения только авторизованными пользователями.
  • Приложение больше не поддерживается вашей организацией, поэтому вам необходимо предотвратить его использование всеми пользователями.
  • Возможность того, что нежелательное программное обеспечение может появиться в среде, достаточно высока, поэтому необходимо снизить эту угрозу.
  • Лицензия на приложение отменяется или истекает в вашей организации, поэтому необходимо предотвратить ее использование всеми пользователями.
  • Развернуто новое приложение или новая версия приложения, и вам необходимо запретить пользователям запускать старую версию.
  • Определенные программные средства запрещены в организации или только определенные пользователи должны иметь доступ к этим средствам.
  • Отдельный пользователь или небольшие группы пользователей должны использовать определенное приложение, в доступе к которому отказано всем прочим пользователям.
  • Некоторые пользователи в вашей организации, которым требуется другое программное обеспечение, совместно используют компьютер, и вам нужно защищать определенные приложения.
  • Помимо других мер вам необходимо управлять доступом к конфиденциальным данным через использование приложений.

AppLocker поможет вам защитить цифровые активы вашей организации, снизить угрозы, связанные с использованием вредоносного ПО в вашей среде, и улучшить управление приложениями и поддержку политик управления приложениями.

Установка AppLocker

AppLocker входит во все выпуски Windows, кроме Windows 10 версии 1809 или более ранней. Вы можете создать правила AppLocker для одного компьютера или для группы компьютеров. Для одного компьютера можно создать правила с помощью редактора локальной политики безопасности (secpol.msc). Для группы компьютеров вы можете создать правила в объекте групповой политики, используя консоль управления групповыми политиками.

Примечание.

GPMC доступна на клиентских компьютерах под управлением Windows только при установке средств удаленного администрирования сервера. На компьютере под управлением Windows Server необходимо установить компонент «Управление групповыми политиками».

Использование AppLocker на Server Core

Установка AppLocker для основных серверных компонентов не поддерживается.

Вопросы виртуализации

Вы можете администрировать политики AppLocker с помощью виртуализированного экземпляра Windows, если он соответствует ранее приведенным требованиям к системе. Можно также запустить групповую политику на виртуализированном экземпляре. Однако при удалении или сбое виртуализированного экземпляра вы рискуете потерять политики, которые создаются и поддерживаются.

Соображения безопасности

Политики управления приложениями указывают, какие приложения могут запускаться на локальном компьютере. Разнообразие форм вредоносного программного обеспечения значительно усложняет понимание пользователями того, что безопасно запускать, а что нет. Активированное вредоносное ПО может повредить содержимое жесткого диска, заполнить сеть запросами, вызвав атаку по типу «отказ в обслуживании» (DoS), передать конфиденциальные сведения в Интернет или нарушить безопасность компьютера.

Контрмера заключается в том, чтобы создать здравый дизайн для политик управления приложениями на компьютерах в организации. AppLocker может стать частью вашей стратегии по управлению приложениями, так как вы можете управлять тем, какое программное обеспечение может работать на ваших компьютерах.

Неверная реализация политики управления приложениями может отключить работу нужных приложений или разрешить выполнение вредоносных или ненужных программ. Прежде чем развертывать политики в рабочей среде, необходимо тщательно протестировать политики в лабораторной среде. Кроме того, важно, чтобы организации высвоило достаточно ресурсов для управления реализацией таких политик и устранения неполадок.

Дополнительные сведения о конкретных проблемах безопасности см. в разделе Рекомендации по безопасности для AppLocker. При использовании AppLocker для создания политик управления приложениями необходимо учитывать следующие вопросы безопасности.

  • Кто имеет права на определение политик AppLocker?
  • Как проверить, были ли применены политики?
  • Для каких событий следует проводить аудит?

В качестве справки по планированию безопасности можно использовать следующую таблицу, в которой определены базовые параметры для компьютера с установленным AppLocker:

Параметр Значение по умолчанию
Созданные учетные записи Нет
Метод проверки подлинности Не применимо
Интерфейсы управления AppLocker можно управлять с помощью оснастки консоли управления (MMC), управления групповой политики и Windows PowerShell
Открытые порты Нет
Минимальные необходимые привилегии Администратор на локальном компьютере; администратор домена или любой набор прав, который позволяет создавать, изменять и распространять объекты групповой политики.
Используемые протоколы Не применимо
Запланированные задачи Appidpolicyconverter.exe помещается в запланированную задачу для запуска по требованию.
Политики безопасности Не требуется. AppLocker создает политики безопасности.
Требуемые системные службы Служба удостоверений приложения (appidsvc) работает под управлением LocalServiceAndNoImpersonation.
Хранение учетных данных Нет

В этом разделе

Статья Описание
Администрирование AppLocker В этой статье для ИТ-специалистов приводятся ссылки на конкретные процедуры, которые следует использовать при администрировании политик AppLocker.
Руководство по проектированию для AppLocker В этой статье для ИТ-специалистов описаны этапы проектирования и планирования, необходимые для развертывания политик управления приложениями с помощью AppLocker.
Руководство по развертыванию AppLocker В этой статье для ИТ-специалистов представлены основные понятия и описаны действия, необходимые для развертывания политик AppLocker.
Технический справочник по AppLocker В этой обзорной статье для ИТ-специалистов приведены ссылки на статьи в техническом справочнике.