Omówienie funkcji AppLocker
Dotyczy: Windows 8.1, Windows Server 2012 R2, Windows Server 2012, Windows 8 Enterprise
Niniejsze omówienie techniczne dla specjalistów IT dotyczy funkcji AppLocker. Te informacje ułatwiają ustalenie, czy wdrożenie zasad kontroli aplikacji funkcji AppLocker może być korzystne dla organizacji. Funkcja AppLocker ułatwia administratorom kontrolowanie, które aplikacje i pliki mogą być uruchamiane przez użytkowników. Dotyczy to plików wykonywalnych, skryptów, plików Instalatora Windows, bibliotek dołączanych dynamicznie (DLL), spakowanych aplikacji i instalatorów spakowanych aplikacji.
Porada
Aby cyfrowo zapisać lub wydrukować strony z tej biblioteki, kliknij pozycję Eksportuj (w prawym górnym rogu strony), a następnie postępuj zgodnie z instrukcjami.
Do czego służy funkcja AppLocker?
Korzystając z funkcji AppLocker, można wykonywać następujące operacje:
Definiowanie reguł na podstawie atrybutów plików, które nie ulegają zmianie podczas aktualizacji aplikacji, takich jak nazwa wydawcy (ustalona na podstawie podpisu cyfrowego), nazwa produktu, nazwa pliku i wersja pliku. Można również tworzyć reguły na podstawie ścieżki i wartości skrótu pliku.
Przypisywanie reguły do grupy zabezpieczeń lub użytkownika.
Tworzenie wyjątków od reguł. Na przykład można utworzyć regułę zezwalającą wszystkim użytkownikom na uruchamianie wszystkich plików binarnych systemu Windows z wyjątkiem Edytora rejestru (Regedit.exe).
Użycie trybu tylko do inspekcji w celu wdrożenia i poznania wpływu zasady przed jej wymuszeniem.
Tworzenie reguł na serwerze tymczasowym, testowanie ich, a następnie eksportowanie do środowiska produkcyjnego oraz importowanie do obiektu zasad grupy.
Upraszczanie tworzenia reguł funkcji AppLocker i zarządzania nimi za pomocą poleceń cmdlet programu Windows PowerShell dla funkcji AppLocker.
Funkcja AppLocker ułatwia obniżenie kosztów administracyjnych i kosztów zarządzania zasobami komputerowymi ponoszonych przez organizację, zmniejszając liczbę wezwań pomocy technicznej, wynikających z używania niezatwierdzonych aplikacji. Funkcja AppLocker obsługuje następujące scenariusze zabezpieczeń aplikacji:
Spis aplikacji
Funkcja AppLocker może wymuszać swoje zasady w trybie tylko do inspekcji, w którym wszelkie działania związane z dostępem do aplikacji są rejestrowane w dziennikach zdarzeń. Te zdarzenia mogą być zbierane w celu dokładniejszej analizy. Polecenia cmdlet programu Windows PowerShell ułatwiają również programowe analizowanie tych danych.
Ochrona przed niechcianym oprogramowaniem
Funkcja AppLocker może blokować próby uruchomienia aplikacji wykluczonych przez użytkownika z listy dozwolonych aplikacji. Gdy zasady funkcji AppLocker są wymuszane w środowisku produkcyjnym, blokowane są próby uruchomienia każdej aplikacji, która nie została uwzględniona na liście dozwolonych.
Zgodność licencjonowania
Funkcja AppLocker ułatwia tworzenie reguł wykluczających uruchamianie nielicencjonowanego oprogramowania i udostępniających licencjonowane oprogramowanie tylko autoryzowanym użytkownikom.
Standaryzacja oprogramowania
Zasady funkcji AppLocker można konfigurować tak, aby zezwalały na uruchamianie tylko obsługiwanych lub zatwierdzonych aplikacji na komputerach w grupie biznesowej. Umożliwia to bardziej jednolite wdrażanie aplikacji.
Ulepszone zarządzanie
W funkcji AppLocker uwzględniono kilka ulepszeń zarządzania w porównaniu z poprzednim rozwiązaniem, tj. zasadami ograniczeń oprogramowania. Importowanie i eksportowanie zasad, automatyczne generowanie reguł z wielu plików, wdrażanie trybu tylko do inspekcji i polecenia cmdlet programu Windows PowerShell to kilka przykładów wprowadzonych ulepszeń w porównaniu z rozwiązaniami oferowanymi przez zasady ograniczeń oprogramowania.
Kiedy używać funkcji AppLocker
W wielu organizacjach informacje są najcenniejszym zasobem, a skoro tak, to trzeba zadbać, aby były dostępne tylko dla zatwierdzonych użytkowników. Technologie kontroli dostępu, takie jak usługi Active Directory Rights Management (AD RMS) i listy kontroli dostępu (ACL), ułatwiają kontrolowanie zakresu dostępu użytkowników.
Gdy jednak użytkownik uruchamia proces, proces ten ma dostęp do danych na takim samym poziomie jak ten użytkownik. Poufne informacje mogą więc łatwo zostać usunięte lub wysłane poza organizację, jeśli użytkownik umyślnie lub nieświadomie uruchomi złośliwe oprogramowanie. Funkcja AppLocker ułatwia ochronę przed naruszeniem zabezpieczeń tego typu, ograniczając listę plików, które użytkownicy lub grupy mogą uruchamiać.
Wydawcy oprogramowania zaczynają tworzyć więcej aplikacji, które mogą być instalowane przez użytkowników bez uprawnień administracyjnych. Może to spowodować zagrożenie zasad zabezpieczeń zapisanych przez organizację i obejście tradycyjnych rozwiązań w zakresie kontroli aplikacji, opartych na braku możliwości instalowania aplikacji przez użytkowników. Umożliwiając administratorom utworzenie listy dozwolonych dla zatwierdzonych plików i aplikacji, funkcja AppLocker ułatwia zapobieganie uruchamianiu aplikacji obsługujących instalację przez użytkownika. Funkcja AppLocker może kontrolować biblioteki DLL, dlatego warto kontrolować listę użytkowników uprawnionych do instalowania i uruchamiania kontrolek ActiveX.
Funkcja AppLocker jest optymalnym rozwiązaniem dla organizacji, które obecnie używają zasad grupy do zarządzania komputerami z systemem Windows. Funkcja AppLocker używa zasad grupy do tworzenia i wdrażania, dlatego doświadczenie związane z zasadami grupy jest przydatne, jeżeli jest planowane użycie funkcji AppLocker.
Poniżej przedstawiono przykładowe scenariusze, w których można użyć funkcji AppLocker:
Zasady zabezpieczeń organizacji nakazują korzystanie wyłącznie z licencjonowanego oprogramowania i dlatego trzeba uniemożliwić użytkownikom uruchamianie oprogramowania bez licencji oraz zezwolić na uruchamianie licencjonowanego oprogramowania tylko autoryzowanym użytkownikom.
Aplikacja nie jest już obsługiwana przez organizację i dlatego należy całkowicie uniemożliwić jakiekolwiek korzystanie z niej.
Jest duże ryzyko wprowadzenia niechcianego oprogramowania do środowiska i warto je ograniczyć.
Licencja na aplikację została odwołana lub wygasła w organizacji, w związku z czym należy całkowicie uniemożliwić używanie tej aplikacji.
Wdrażana jest nowa aplikacja lub nowa wersja obecnie używanej aplikacji i należy uniemożliwić użytkownikom uruchamiania starej wersji.
Określone narzędzia programowe są niedozwolone w organizacji lub powinny być używane tylko przez określonych użytkowników.
Określona aplikacja powinna być używana tylko przez jednego użytkownika lub małą grupę użytkowników.
Niektóre komputery w organizacji są używane przez różne osoby, które powinny korzystać z różnego oprogramowania, i konieczna jest ochrona określonych aplikacji.
Oprócz stosowania innych środków należy kontrolować dostęp do poufnych danych za pomocą aplikacji.
Funkcja AppLocker ułatwia ochronę zasobów cyfrowych w organizacji, ogranicza ryzyko wprowadzenia złośliwego oprogramowania do danego środowiska oraz usprawnia zarządzanie kontrolą aplikacji i konserwację zasad kontroli aplikacji.
Wersje, współdziałanie i różnice funkcji
Obsługiwane wersje i zagadnienia dotyczące współdziałania
Zasady funkcji AppLocker można konfigurować i stosować tylko na komputerach z obsługiwanymi wersjami i edycjami systemu operacyjnego Windows. Aby uzyskać więcej informacji, zobacz Wymagania dotyczące używania funkcji AppLocker.
Różnice funkcji w poszczególnych wersjach
W poniższej tabeli zamieszczono listę różnic najważniejszych funkcji AppLocker posortowaną według wersji systemu operacyjnego:
| Funkcja | Windows Server 2008 R2 i Windows 7 | Windows Server 2012 R2, Windows Server 2012, Windows 8.1 i Windows 8 |
|---|---|---|
| Możliwość konfigurowania reguł dla spakowanych aplikacji i instalatorów spakowanych aplikacji. | Nie | Tak |
| Zasady funkcji AppLocker są konserwowane za pomocą zasad grupy i tylko administrator komputera może je aktualizować. | Tak | Tak |
| Korzystając z funkcji AppLocker, administratorzy mogą dostosowywać komunikaty o błędach, aby kierować użytkowników po pomoc do strony sieci Web. | Tak | Tak |
| Możliwość pracy w połączeniu z zasadami ograniczeń oprogramowania (przy użyciu oddzielnych obiektów zasad grupy). | Tak | Tak |
| Funkcja AppLocker obsługuje niewielki zestaw poleceń cmdlet programu Windows PowerShell ułatwiających administrację i konserwację. | Tak | Tak |
| Reguły funkcji AppLocker umożliwiają kontrolowanie wymienionych na liście formatów plików. | - .exe - .com - .ps1 - bat - cmd - vbs - .js - .msi - .msp - .dll - .ocx |
- .exe - .com - .ps1 - bat - cmd - vbs - .js - .msi - .msp - .mst - .dll - .ocx - .appx |
Aby uzyskać informacje dotyczące porównywania metod kontroli aplikacji dostępnych w przypadku zasad ograniczeń oprogramowania i funkcji AppLocker, a także korzystania z tych dwóch funkcji równocześnie, zobacz Użyj funkcji AppLocker i zasady ograniczeń oprogramowania w tej samej domenie.
Wymagania systemowe
Zasady funkcji AppLocker można konfigurować i stosować tylko na komputerach z obsługiwanymi wersjami i edycjami systemu operacyjnego Windows. Zasady grupy są wymagane do dystrybucji obiektów zasad grupy zawierających zasady funkcji AppLocker. Aby uzyskać więcej informacji, zobacz temat Wymagania dotyczące używania funkcji AppLocker.
Reguły funkcji AppLocker można tworzyć na kontrolerach domeny.
Uwaga
W systemach Windows Server 2008 R2 i Windows 7 nie można tworzyć ani wymuszać reguł dla spakowanych aplikacji i instalatorów spakowanych aplikacji.
Instalowanie funkcji AppLocker
Funkcja AppLocker jest zawarta w wersjach systemu Windows dla przedsiębiorstw. Reguły funkcji AppLocker można tworzyć dla jednego komputera lub grupy komputerów. W przypadku jednego komputera można tworzyć reguły za pomocą edytora zasad zabezpieczeń lokalnych (secpol.msc). W przypadku grupy komputerów można tworzyć reguły w obiekcie zasad grupy za pomocą Konsoli zarządzania zasadami grupy (GPMC).
Uwaga
Konsola zarządzania zasadami grupy jest dostępna na komputerach klienckich z systemem Windows tylko po zainstalowaniu Narzędzi administracji zdalnej serwera. Na komputerze z systemem Windows Server należy zainstalować funkcję Zarządzanie zasadami grupy.
Korzystanie z funkcji AppLocker w instalacjach Server Core
Programu Windows PowerShell można używać do zarządzania funkcją AppLocker w instalacjach Server Core za pomocą poleceń cmdlet dla funkcji AppLocker, a w przypadku administrowania w obiekcie zasad grupy — poleceń cmdlet programu PowerShell dla zasad grupy. Aby uzyskać więcej informacji, zobacz Dokumentacja poleceń programu PowerShell dla funkcji AppLocker.
Zagadnienia dotyczące wirtualizacji
Zasadami funkcji AppLocker można administrować za pomocą zwirtualizowanego wystąpienia systemu Windows pod warunkiem, że spełnia ono wszystkie powyższe wymagania systemowe. W wystąpieniu zwirtualizowanym można też uruchamiać zasady grupy. Usunięcie lub awaria wystąpienia zwirtualizowanego może jednak spowodować utratę utworzonych i konserwowanych zasad.
Zagadnienia dotyczące zabezpieczeń
Zasady kontroli aplikacji określają, które programy można uruchamiać na komputerze lokalnym.
Zróżnicowanie form złośliwego oprogramowania utrudnia użytkownikom rozpoznawanie programów, które można bezpiecznie uruchamiać. Uaktywnienie złośliwego oprogramowania może spowodować uszkodzenie zawartości dysku twardego, zapełnienie sieci żądaniami związanymi z atakami typu „odmowa usługi” (DoS), wysłanie poufnych informacji do Internetu lub naruszenie zabezpieczeń komputera.
Przeciwdziałanie polega na prawidłowym zaprojektowaniu zasad kontroli aplikacji na komputerach użytkowników końcowych w organizacji, a następnie dokładnym przetestowaniu tych zasad w środowisku laboratoryjnym przed wdrożeniem ich w środowisku produkcyjnym. Funkcja AppLocker może być częścią strategii kontroli aplikacji, ponieważ pozwala kontrolować, jakie oprogramowanie może być uruchamiane na komputerach.
Nieprawidłowa implementacja zasad kontroli aplikacji może spowodować blokowanie niezbędnych aplikacji lub zezwalanie na uruchamianie złośliwego bądź niepożądanego oprogramowania. Organizacje powinny więc koniecznie dedykować wystarczające zasoby do zarządzania i rozwiązywania problemów z implementacją tych zasad.
Aby uzyskać dodatkowe informacje dotyczące określonych problemów z zabezpieczeniami, zobacz Zagadnienia dotyczące zabezpieczeń funkcji AppLocker.
Gdy funkcja AppLocker jest używana do tworzenia zasad kontroli aplikacji, należy rozważyć następujące zagadnienia związane z zabezpieczeniami:
Kto jest uprawniony do konfigurowania zasad funkcji AppLocker?
Jak można sprawdzić, czy zasady są wymuszane?
Jakie zdarzenia należy monitorować?
Podczas planowania zabezpieczeń należy korzystać z informacji referencyjnych, zamieszczonych w poniższej tabeli zawierającej podstawowe ustawienia komputera klienckiego z zainstalowaną funkcją AppLocker:
| Ustawienie | Wartość domyślna |
|---|---|
| Tworzone konta | Brak |
| Metoda uwierzytelniania | Nie dotyczy |
| Interfejsy zarządzania | Funkcją AppLocker można zarządzać za pomocą przystawki Zarządzanie zasadami grupy programu Microsoft Management Console oraz za pomocą programu Windows PowerShell |
| Otwierane porty | Brak |
| Wymagane minimalne uprawnienia | Administrator na komputerze lokalnym, administrator domeny lub dowolny zestaw uprawnień, które pozwalają tworzyć, edytować i dystrybuować Obiekty zasad grupy. |
| Używane protokoły | Nie dotyczy |
| Zaplanowane zadania | W harmonogramie jest uwzględniane uruchamianie narzędzia Appidpolicyconverter.exe na żądanie. |
| Zasady zabezpieczeń | Brak wymaganych. Funkcja AppLocker tworzy zasady zabezpieczeń. |
| Wymagane usługi systemowe | Usługa tożsamości aplikacji (appidsvc) jest uruchamiana za pomocą konta LocalServiceAndNoImpersonation. |
| Przechowywanie poświadczeń | Brak |
Konserwacja zasad funkcji AppLocker
Informacje dotyczące konserwacji zasad funkcji AppLocker zamieszczono w następujących tematach:
Monitorowanie wykorzystania aplikacji za pomocą zasad ograniczeń oprogramowania
Użyj funkcji AppLocker i zasady ograniczeń oprogramowania w tej samej domenie
Zarządzanie spakowanych aplikacji za pomocą zasad ograniczeń oprogramowania
Zobacz też
| Zasób | Windows Server 2008 R2 i Windows 7 | Windows Server 2012 R2, Windows Server 2012, Windows 8.1 i Windows 8 |
|---|---|---|
| Ocena produktu | Często zadawane pytania Funkcja AppLocker — przewodnik krok po kroku |
Często zadawane pytania Funkcja AppLocker — przewodnik krok po kroku |
| Procedury | Funkcja AppLocker — przewodnik obsługi | Administrowanie zasady ograniczeń oprogramowania Zarządzanie spakowanych aplikacji za pomocą zasad ograniczeń oprogramowania |
| Obsługa skryptów | Używanie poleceń cmdlet programu Windows PowerShell dotyczących funkcji AppLocker | Użyj poleceń cmdlet programu PowerShell zasady ograniczeń oprogramowania systemu Windows |
| Informacje techniczne | Dokumentacja techniczna funkcji AppLocker | Dokumentacja techniczna funkcji AppLocker |
| Projektowanie, planowanie i wdrażanie | Projektowanie zasad funkcji AppLocker — przewodnik Wdrażanie zasad funkcji AppLocker — przewodnik |
Projektowanie zasad funkcji AppLocker — przewodnik Wdrażanie zasad funkcji AppLocker — przewodnik |