Технический обзор AppLocker
Применимо к: Windows 8.1, Windows Server 2012 R2, Windows Server 2012, Windows 8 Enterprise
В этом техническом обзоре для ИТ-специалистов представлено описание AppLocker. Эта информация поможет вам решить, может ли развертывание политик управления приложениями AppLocker принести пользу вашей организации. AppLocker помогает администраторам контролировать, какие приложения и файлы могут запускать пользователи. Сюда входят исполняемые файлы, скрипты, файлы установщика Windows, библиотеки DLL, упакованные приложения и установщики упакованных приложений.
Совет
Чтобы сохранить в цифровом виде или распечатать страницы из этой библиотеки, нажмите кнопку Экспорт (в правом верхнем углу страницы) и следуйте инструкциям.
Возможности AppLocker
Используя AppLocker, можно выполнять следующие задачи.
Задавать правила на основе атрибутов файлов, которые сохраняются независимо от обновлений приложения. Это такие атрибуты, как имя издателя (производное от цифровой подписи), название продукта, имя файла и версия файла. Кроме того, вы можете создавать правила на основе путей к файлам и хэшей.
Назначить правило группе безопасности или отдельному пользователю.
Создавать исключения для правил. Например, вы можете создать правило, которое разрешает всем пользователям запускать любые исполняемые файлы Windows, за исключением редактора реестра (Regedit.exe).
Использовать режим "Только аудит" для развертывания политики и выяснения ее влияния перед применением.
Создавать и тестировать правила на промежуточном сервере, экспортировать правила в рабочую среду, а также импортировать их в объект групповой политики.
Упрощать создание правил AppLocker и управление ими с помощью командлетов Windows PowerShell для AppLocker.
AppLocker позволяет упростить работу администраторов и снизить расходы на управление вычислительными ресурсами за счет уменьшения числа обращений в службу поддержки, возникающих вследствие запуска пользователями неутвержденных приложений. Возможности AppLocker в области безопасности приложений:
Учет приложений
AppLocker позволяет применять политики в режиме "Только аудит", в котором все операции доступа к приложениям регистрируются в журнале событий. Полученные сведения можно использовать для дальнейшего анализа. Кроме того, командлеты Windows PowerShell позволяют выполнять анализ программным способом.
Защита от нежелательных программ
AppLocker позволяет запретить пользователям запускать приложения, которые не входят в список разрешенных приложений. После применения правил AppLocker в рабочей среде все приложения, которые не попали в разрешающие правила, блокируются.
Проверка лицензий
С помощью AppLocker можно создавать правила, которые запрещают пользователям запускать ПО без лицензий, а также разрешают запуск лицензионного ПО только авторизованным пользователям.
Стандартизация ПО
С помощью политик AppLocker можно разрешить запуск только поддерживаемых или утвержденных приложений на компьютерах подразделений. Это обеспечивает единообразное развертывание приложений во всей организации.
Улучшение управляемости
Возможности управления AppLocker были улучшены по сравнению с политиками ограниченного использования программ в предыдущей версии ОС Windows. В качестве примеров можно привести политики импорта и экспорта, автоматическое создание правил из нескольких файлов, развертывание в режиме «Только аудит» и командлеты PowerShell.
Сценарии использования AppLocker
Для большинства организаций самым ценным активом является информация. Поэтому доступ к информации должны иметь только те пользователи, у которых есть соответствующие разрешения. Для управления доступом используются такие технологии, как служба управления правами Active Directory (AD RMS) и списки управления доступом (ACL).
Однако процесс, запускаемый пользователем, обладает тем же уровнем доступа к данным, что и сам пользователь. Поэтому если пользователь преднамеренно или непреднамеренно запустит вредоносную программу, конфиденциальные данные могут быть удалены или переданы за пределы организации. AppLocker позволяет устранить эти бреши в системе безопасности путем ограничения списка файлов, которые разрешено запускать отдельным пользователям или группам пользователей.
Издатели программного обеспечения все чаще создают приложения, которые могут устанавливать пользователи, не имеющие прав администратора. Этот факт ставит под угрозу политику безопасности организации и обесценивает традиционные решения для управления приложениями, которые используют запрет на установку приложений обычными пользователями. С помощью AppLocker администратор может запретить отдельным пользователям запускать приложения, создав разрешающий список утвержденных файлов и приложений. Так как AppLocker может контролировать библиотеки DLL, с его помощью также удобно контролировать, кто может устанавливать и запускать элементы ActiveX.
AppLocker является идеальным решением для организаций, использующих групповую политику для управления компьютерами с ОС Windows. Поскольку для создания и развертывания правил AppLocker использует групповые политики, вам пригодится опыт работы с групповыми политиками, если вы планируете использовать AppLocker.
Ниже приведены сценарии использования AppLocker.
Политика безопасности организации разрешает использовать только лицензионное ПО, поэтому вам требуется запретить пользователям запускать ПО без лицензии, а также разрешить запуск лицензионного ПО только авторизованным пользователям.
Приложение больше не поддерживается организацией, поэтому вам необходимо запретить всем пользователям запускать это приложение.
Риск проникновения нежелательного программного обеспечения в среду организации очень велик, поэтому вам необходимо максимально ограничить эту угрозу.
Лицензия на приложение отозвана или срок ее действия истек, поэтому вам необходимо запретить всем пользователям запускать это приложение.
После развертывания нового приложения или новой версии приложения вам необходимо запретить всем пользователям запускать прежнюю версию приложения.
В организации запрещены определенные программные средства, или только некоторые пользователи имеют доступ к ним.
Отдельному пользователю или небольшой группе пользователей требуется определенное приложение, доступ к которому запрещен всем остальным пользователям.
Некоторые компьютеры организации совместно используются сотрудниками с разными потребностями в программном обеспечении, и вам нужно защитить определенные приложения.
Помимо других мер обеспечения безопасности вам необходимо управлять доступом к конфиденциальным данным через использование приложений.
AppLocker помогает защищать цифровые активы организаций, устранять угрозы проникновения вредоносных программ в среду организации, а также повышать эффективность управления приложениями и поддержания политик управления приложениями.
Версии, взаимодействие и функциональные возможности
Поддерживаемые версии и сведения о взаимодействии
Политики AppLocker можно настроить и применять только на компьютерах, работающих под управлением поддерживаемых версий и выпусков операционной системы Windows. Дополнительные сведения см. в разделе Требования для использования AppLocker.
Функциональные возможности AppLocker и версии ОС Windows
В следующей таблице перечислены версии ОС Windows и доступные функциональные возможности AppLocker.
| Компонент или функция | Windows Server 2008 R2 и Windows 7 | Windows Server 2012 R2, Windows Server 2012, Windows 8.1 и Windows 8 |
|---|---|---|
| Возможность создавать правила для упакованных приложений и установщиков упакованных приложений. | Нет | Да |
| Обслуживание политик AppLocker выполняется с помощью групповой политики и только администраторы компьютера могут обновлять политики AppLocker. | Да | Да |
| AppLocker позволяет настраивать сообщения об ошибках, так что администраторы могут направлять пользователей на веб-страницу для справки. | Да | Да |
| Возможность работать во взаимосвязи с политиками ограниченного использования программ (с помощью отдельных объектов групповой политики). | Да | Да |
| AppLocker поддерживает небольшой набор командлетов Windows PowerShell, упрощающих администрирование и обслуживание. | Да | Да |
| Правила AppLocker позволяют контролировать запуск файлов, имеющих следующие расширения: | - EXE - .com - PS1 - BAT - CMD - VBS - JS - MSI - MSP - DLL - OCX |
- EXE - .com - PS1 - BAT - CMD - VBS - JS - MSI - MSP - MST - DLL - OCX - APPX |
Сравнительные характеристики функций управления приложениями, предоставляемых политиками ограниченного использования программ и AppLocker, а также сведения о совместном использовании этих компонентов см. в разделе Использование AppLocker и политик ограниченного использования программ в том же домене.
Требования к системе
Политики AppLocker можно настроить и применять только на компьютерах, работающих под управлением поддерживаемых версий и выпусков операционной системы Windows. Для распространения объектов групповой политики, содержащих политики AppLocker, требуется групповая политика. Дополнительные сведения см. в разделе Требования для использования AppLocker.
Правила AppLocker можно создать для контроллеров домена.
Примечание
В Windows Server 2008 R2 и Windows 7 отсутствует возможность создания или применения правил для упакованных приложений и установщиков упакованных приложений.
Установка AppLocker
AppLocker входит во все выпуски Windows корпоративного уровня. Вы можете создавать правила AppLocker для одного компьютера или группы компьютеров. Для одного компьютера можно создавать правила, используя редактор локальной политики безопасности (secpol.msc). Для группы компьютеров можно создавать правила в объекте групповой политики с помощью консоли управления групповыми политиками (GPMC).
Примечание
Консоль управления групповыми политиками доступна на клиентских компьютерах под управлением Windows только путем установки средств удаленного администрирования сервера. На компьютере под управлением Windows Server необходимо установить компонент управления групповыми политиками.
Использование AppLocker на компьютере с основными серверными компонентами
Для управления AppLocker на компьютере с основными серверными компонентами можно использовать командлеты AppLocker Windows PowerShell, а при администрировании в объекте групповой политики — командлеты групповой политики PowerShell. Дополнительные сведения см. в разделе Справочник по командам AppLocker PowerShell.
Сведения о виртуализации
Для администрирования политик AppLocker можно использовать виртуализированный экземпляр Windows, соответствующий всем требованиям, перечисленным выше. Вы также можете запускать групповую политику в виртуализированном экземпляре. Однако при сбое или удалении виртуализированного экземпляра вы можете потерять созданные политики.
Вопросы безопасности
С помощью политик управления приложениями можно указать, какие программы разрешено запускать на локальных компьютерах.
Поскольку разнообразие вредоносных программ очень велико, пользователям трудно определить, какие программы являются безопасными. Вредоносное ПО может повредить данные, хранящиеся на жестком диске, реализовать атаку типа "отказ в обслуживании", отправить конфиденциальные данные в Интернет или скомпрометировать безопасность компьютера.
Чтобы предотвратить возможные угрозы, создайте надежную систему для политик управления приложениями на компьютерах пользователей организации и затем тщательно протестируйте политики в лабораторной среде перед развертыванием в рабочей среде. AppLocker может быть частью стратегии управления приложениями, поскольку позволяет создавать списки разрешенного программного обеспечения.
Неправильная реализация политики управления приложениями может привести к невозможности запуска нужных приложений или разрешить запуск вредоносного или нежелательного ПО. Таким образом, организация должна выделить достаточно ресурсов для управления реализацией политик и устранения неполадок.
Дополнительные сведения о конкретных проблемах безопасности см. в разделе Вопросы обеспечения безопасности для AppLocker.
Если для создания политик управления приложениями вы используете AppLocker, обратите внимание на следующие аспекты.
У кого есть права на установку политик AppLocker?
Как вы проверяете применение политик?
Какие события подлежат аудиту?
В следующей таблице приведены основные параметры для клиентского компьютера с установленным компонентом AppLocker.
| Параметр | Значение по умолчанию |
|---|---|
| Создание учетных записей | Нет |
| Метод проверки подлинности | Не применяются |
| Интерфейсы управления | AppLocker может управляться с помощью оснастки консоли управления (MMC), управления групповыми политиками и Windows PowerShell |
| Открытые порты | Нет |
| Минимальные привилегии | Администратор на локальном компьютере, администратор домена или любой набор прав, позволяющий создавать, изменять и распространять Объекты групповой политики. |
| Используемые протоколы | Не применяются |
| Назначенные задачи | Добавление Appidpolicyconverter.exe в назначенное задание для запуска по требованию. |
| Политики безопасности | Не требуются. AppLocker создает политики безопасности. |
| Требуются системные службы | Служба удостоверений приложения (appidsvc) запускается в LocalServiceANdNoImpersonation |
| Хранилище учетных данных | Нет |
Обслуживание политик AppLocker
Сведения об обслуживании политики Applocker предоставляются в следующих разделах.
См. также:
| Ресурс | Windows Server 2008 R2 и Windows 7 | Windows Server 2012 R2, Windows Server 2012, Windows 8.1 и Windows 8 |
|---|---|---|
| Оценка продукта | Вопросы и ответы Пошаговое руководство по AppLocker |
Вопросы и ответы Пошаговое руководство по AppLocker |
| Процедуры | Руководство пользователя AppLocker | Администрирование AppLocker Управление упакованными приложениями с помощью AppLocker |
| Создание сценариев | Использование командлетов AppLocker Windows PowerShell | Использование командлетов AppLocker Windows PowerShell |
| Технические справочники | Технический справочник по AppLocker | Технический справочник по AppLocker |
| Проектирование, планирование и развертывание | Руководство по разработке политик AppLocker Руководство по развертыванию политик AppLocker |
Руководство по разработке политик AppLocker Руководство по развертыванию политик AppLocker |