Архитектура и компоненты AppLocker

В этом разделе для ИТ-специалистов описывается базовая архитектура AppLocker и ее основные компоненты.

AppLocker использует службу удостоверений приложения для получения атрибутов файла, а также для оценки политики AppLocker для того же файла. Политики AppLocker являются условными элементами управления доступом (ACE) и оцениваются с использованием функций SeAccessCheckWithSecurityAttributes или AuthzAccessCheck по управлению доступом на основе атрибутов.

AppLocker предоставляет три способа перехвата и проверки допустимости запуска файла в соответствии с политикой AppLocker.

Создается новый процесс

При создании нового процесса, например при запуске исполняемого файла или универсального приложения для Windows, AppLocker вызывает компонент удостоверения приложения для вычисления атрибутов основного исполняемого файла, на основе которого создается процесс. Затем маркер нового процесса обновляется с использованием этих атрибутов и выполняется проверка политики AppLocker для подтверждения допустимости запуска исполняемого файла.

Загружается библиотека DLL

При загрузке новой библиотеки DLL в AppLocker отправляется уведомление для проверки допустимости загрузки этой библиотеки DLL. AppLocker вызывает компонент удостоверения приложения для вычисления атрибутов файла. Существующий маркер процесса копируется, а в дублированном маркере атрибуты удостоверения приложения заменяются на атрибуты загруженной библиотеки DLL. После этого AppLocker проверяет библиотеку DLL относительно политики и удаляет дублированный маркер. В зависимости от результата этой проверки система или продолжает загрузку DLL, или останавливает процесс.

Выполняется сценарий

Перед выполнением файла сценария средство обработки сценариев (например, для файлов PS1 средством обработки сценариев является PowerShell) вызывает AppLocker для проверки сценария. AppLocker вызывает компонент удостоверения приложения в пользовательском режиме, используя имя или дескриптор файла для вычисления его свойств. Затем файл сценария проверяется по политике AppLocker для определения возможности его запуска. В каждом случае действия, предпринятые AppLocker, регистрируются в журнале событий.

Связанные разделы

Технический справочник по AppLocker

 

 

Показ: