AppLocker

  • Статья

Этот раздел содержит описание AppLocker и поможет вам определить, будет ли вашей организации выгодно развертывание политик управления приложениями AppLocker. С помощью AppLocker можно контролировать, какие приложения и файлы могут запускать пользователи. Это относится к исполняемым файлам, сценариям, файлам установщика Windows, библиотекам DLL, упакованным приложениям и установщикам упакованного приложения.

AppLocker обладает следующими возможностями.

  • Определение правил на основе атрибутов файлов, которые сохраняются при обновлении приложений, например имени издателя (берется из цифровой подписи), имени продукта, имени и версии файла. Вы также можете создавать правила на основе пути и хэша файла.

  • Назначение правил группе безопасности или определенному пользователю.

  • Создание исключений из правил. Например, можно создать правило, которое разрешает всем пользователям запускать все двоичные файлы Windows за исключением редактора реестра (regedit.exe).

  • Использование режима только аудита для развертывания политики и определения ее влияния до непосредственного применения.

  • Создание правил на промежуточном сервере, их проверка, а затем экспорт в производственную среду и импорт в объект групповой политики.

  • Упрощение создания правил AppLocker и управления ими с помощью Windows PowerShell.

AppLocker позволяет снизить административные расходы, а также расходы на управление вычислительными ресурсами путем снижения числа звонков в службу поддержки, связанных с использованием неутвержденных приложений пользователями. AppLocker поддерживает следующие сценарии безопасности приложений.

  • Инвентаризация приложений

    AppLocker может применять свою политику в режиме только аудита, когда все действия по использованию приложений регистрируются в журналах событий. Эти события могут быть собраны для дальнейшего анализа. Командлеты Windows PowerShell также позволяют анализировать эти данные программным путем.

  • Защита от нежелательных программ

    AppLocker позволяет запретить выполнение приложений при исключении их из списка разрешенных приложений. Если правила AppLocker применяются в производственной среде, блокируется запуск любых приложений, не включенных в разрешенные правила.

  • Соответствие требованиям лицензирования

    AppLocker позволяет создавать правила, которые препятствуют запуску нелицензионного ПО и разрешают использовать лицензионное ПО только авторизованным пользователям.

  • Стандартизация программного обеспечения

    Политики AppLocker могут быть настроены для разрешения запуска на компьютерах бизнес-группы только поддерживаемых или утвержденных приложений. Такой подход обеспечивает более стандартизированное развертывание приложений.

  • Улучшение управляемости

    AppLocker включает ряд усовершенствований управляемости по сравнению с предшественником — политиками ограниченного использования программ. Импорт и экспорт политик, автоматическое создание правил на основе нескольких файлов, развертывание режима только аудита и командлеты Windows PowerShell — вот лишь несколько улучшений по сравнению с политиками ограниченного использования программ.

Новые и измененные функции

Чтобы узнать, что нового в AppLocker для Windows 10, изучите раздел Что нового в AppLocker?

Когда следует использовать AppLocker

Во многих организациях информация является самым ценным активом, поэтому очень важно гарантировать, чтобы только авторизованные пользователи имели доступ к этой информации. Технологии управления доступом, например службы управления правами Active Directory (AD RMS) и списки управления доступом (ACL) позволяют контролировать, к чему пользователи могут получить доступ.

Однако если пользователь запускает процесс, этот процесс имеет тот же уровень доступа к данным, что и у пользователя. В результате конфиденциальные сведения могут быть без труда удалены или переданы за пределы организации, если пользователь намеренно или случайно запускает вредоносное ПО. AppLocker позволяет устранить эти типы уязвимостей системы безопасности путем ограничения возможностей запуска файлов пользователями или группами.

Издатели программного обеспечения начинают создавать все больше приложений, которые могут быть установлены пользователями, не являющимися администраторами. Это может нарушить политику безопасности организации и позволит обойти традиционные решения по управлению приложениями, которые полагаются на невозможность установки приложений пользователями. Благодаря созданию разрешенного списка утвержденных файлов и приложений AppLocker позволяет предотвратить запуск тем или иным пользователем этих приложений. Так как AppLocker позволяет контролировать библиотеки DLL, важно также управлять тем, кто сможет устанавливать и запускать элементы ActiveX.

AppLocker идеально подходит для организаций, которые в настоящее время используют групповую политику для управления своими компьютерами.

Ниже приведены примеры сценариев, при которых может использоваться AppLocker:

  • Политика безопасности вашей организации определяет использование только лицензионного программного обеспечения, поэтому нужно запретить пользователям запускать нелицензионное программное обеспечение, а также ограничить использование лицензионного программного обеспечения только авторизованными пользователями.

  • Приложение больше не поддерживается вашей организацией, поэтому вам необходимо предотвратить его использование всеми пользователями.

  • Возможность того, что нежелательное программное обеспечение может появиться в среде, достаточно высока, поэтому необходимо снизить эту угрозу.

  • Лицензия на приложение была отозвана или истек срок ее действия в вашей организации, поэтому вам необходимо предотвратить возможность ее использования всеми пользователями.

  • Развернуто новое приложение или новая версия приложения, и вам необходимо запретить пользователям запускать старую версию.

  • Отдельные программные средства не разрешены в организации, или только определенные пользователи имеют доступ к этим средствам.

  • Отдельный пользователь или небольшие группы пользователей должны использовать определенное приложение, в доступе к которому отказано всем прочим пользователям.

  • Некоторые компьютеры в организации совместно используются пользователями, которые имеют различные потребности в плане программного обеспечения, а вам необходимо защитить определенные приложения.

  • Помимо других мер вам необходимо управлять доступом к конфиденциальным данным через использование приложений.

AppLocker поможет вам защитить цифровые активы вашей организации, снизить угрозы, связанные с использованием вредоносного ПО в вашей среде, и улучшить управление приложениями и поддержку политик управления приложениями.

Требования к системе

Политики AppLocker могут быть настроены и применены к компьютерам, которые работают под управлением поддерживаемых версий и выпусков ОС Windows. Групповая политика необходима для распространения объектов групповой политики, содержащих политики AppLocker. Дополнительные сведения см. в разделе Необходимые условия для использования AppLocker.

Правила AppLocker могут быть созданы на контроллерах домена.

Установка AppLocker

AppLocker включен в выпуски Windows корпоративного уровня. Вы можете создать правила AppLocker для одного компьютера или для группы компьютеров. Для одного компьютера можно создать правила с помощью редактора локальной политики безопасности (secpol.msc). Для группы компьютеров можно создать правила в объекте групповой политики с помощью консоли управления групповыми политиками (GPMC).

Примечание  

Консоль GPMC доступна на клиентских компьютерах под управлением Windows только после установки средств удаленного администрирования сервера. На компьютере под управлением Windows Server необходимо установить компонент «Управление групповыми политиками».

 

Использование AppLocker на Server Core

AppLocker на установках Server Core не поддерживается.

Вопросы виртуализации

Вы можете администрировать политики AppLocker с помощью виртуализированного экземпляра Windows, если он соответствует ранее приведенным требованиям к системе. Можно также запустить групповую политику на виртуализированном экземпляре. Однако вы рискуете потерять те политики, которые создали и поддерживаете, если виртуализированный экземпляр будет удален или перестанет работать.

Соображения безопасности

Политики управления приложениями указывают, какие приложения могут запускаться на локальном компьютере.

Разнообразие форм вредоносного программного обеспечения значительно усложняет понимание пользователями того, что безопасно запускать, а что нет. Активированное вредоносное ПО может повредить содержимое жесткого диска, заполнить сеть запросами, вызвав атаку по типу «отказ в обслуживании» (DoS), передать конфиденциальные сведения в Интернет или нарушить безопасность компьютера.

Мерой противодействия является создание надлежащего проекта политик управления приложениями на компьютерах вашей организации, тщательное тестирование этих политик в лабораторной среде до их развертывания в производственной среде. AppLocker может стать частью вашей стратегии по управлению приложениями, так как вы можете управлять тем, какое программное обеспечение может работать на ваших компьютерах.

Неверная реализация политики управления приложениями может отключить работу нужных приложений или разрешить выполнение вредоносных или ненужных программ. Поэтому важно, чтобы организации задействовали достаточно ресурсов для управления реализацией таких политик и для устранения соответствующих неисправностей.

Дополнительные сведения о конкретных проблемах безопасности см. в разделе Соображения безопасности для AppLocker.

При использовании AppLocker для создания политик управления приложениями необходимо учитывать следующие вопросы безопасности.

  • Кто имеет права на определение политик AppLocker?

  • Как проверить, были ли применены политики?

  • Для каких событий следует проводить аудит?

В качестве справки по планированию безопасности можно использовать следующую таблицу, в которой определены базовые параметры для компьютера с установленным AppLocker:

Параметр Значение по умолчанию

Созданные учетные записи

Нет

Метод проверки подлинности

Не применимо

Интерфейсы управления

AppLocker можно управлять с помощью оснастки консоли управления (MMC), управления групповой политики и Windows PowerShell

Открытые порты

Нет

Минимальные необходимые привилегии

Администратор на локальном компьютере; администратор домена или любой набор прав, который позволяет создавать, изменять и распространять объекты групповой политики.

Используемые протоколы

Не применимо

Запланированные задачи

Appidpolicyconverter.exe помещается в запланированную задачу для запуска по требованию.

Политики безопасности

Не требуется. AppLocker создает политики безопасности.

Требуемые системные службы

Служба удостоверения приложения (appidsvc) работает под управлением LocalServiceAndNoImpersonation.

Хранение учетных данных

Нет

 

В этом разделе

Тема Описание

Администрирование AppLocker

В этом разделе для ИТ-специалистов приведены ссылки на определенные процедуры, которые следует использовать при администрировании политик AppLocker.

Руководство по проектированию для AppLocker

Этот раздел, предназначенный для ИТ-специалистов, освещает действия по проектированию и планированию, которые необходимы для развертывания политик управления приложениями с помощью AppLocker.

Руководство по развертыванию AppLocker

В этом разделе для ИТ-специалистов представлены концепции и описаны действия, необходимые для развертывания политик AppLocker.

Технический справочник по AppLocker

В этом обзорном разделе для ИТ-специалистов приведены ссылки на разделы технической справки.