Процессы и взаимодействия AppLocker

В этом разделе для ИТ-специалистов описаны зависимости и взаимодействие процессов при оценке и принудительном применении правил компонентом AppLocker.

Как AppLocker реализует политики

Политики AppLocker представляют собой коллекции правил AppLocker, которые могут содержать любые настроенные параметры принудительного применения. Во время применения каждое правило оценивается в рамках политики, и коллекция правил применяется в соответствии с параметром принудительного применения и структурой групповой политики.

Политика AppLocker принудительно применяется на компьютере с помощью службы удостоверений приложения, которая представляет собой подсистему оценки политик. Если служба не запущена, политики применяться не будут. Служба удостоверений приложения выводит информацию из двоичных данных (даже если имена продуктов или двоичные имена являются пустыми) на панель результатов оснастки локальной политики безопасности.

Политики AppLocker хранятся в формате дескриптора безопасности в соответствии с требованиями к службе удостоверений приложения. Для формирования действий по разрешению или запрету правила используются путь к файлу, хэш или атрибуты полного двоичного имени. Каждое правило хранится как элемент управления доступом (ACE) в дескрипторе безопасности и содержит следующие сведения.

  • Разрешение или запрет ACE (XA или XD в языке определений дескрипторов безопасности — SDDL).

  • Идентификатор безопасности пользователя (SID), к которому применимо это правило. (По умолчанию — SID пользователя, прошедшего проверку подлинности, или AU в SDDL.)

  • Условие правила, содержащее атрибуты appid.

Например, код SDDL для правила, которое разрешает запуск всех файлов в каталоге %windir%, имеет следующий формат: XA;;FX;;;AU;(APPID://PATH == "%windir%\*").

Политика AppLocker для библиотек DLL и исполняемых файлов считывается и кэшируется кодом режима ядра, который является частью appid.sys. При применении новой политики appid.sys получает уведомление от задачи конвертера политики. Для других типов файлов политика AppLocker считывается при каждом вызове SaferIdentifyLevel.

Общие сведения о правилах AppLocker

Правило AppLocker — это элемент управления, который применяется к файлу с целью управления возможностью запуска этого файла определенным пользователем или группой. Правила применяются к пяти разным типам (или коллекциям) файлов.

  • Правило исполняемых файлов управляет возможностью запуска исполняемого файла пользователем или группой. Как правило, исполняемые файлы имеют расширение EXE или COM и относятся к приложениям.

  • Правило сценариев управляет возможностью выполнения сценариев с расширениями PS1, BAT, CMD, VBS и JS пользователем или группой.

  • Правило установщика Windows управляет возможностью запуска файлов с расширениями MSI, MST и MSP (исправление установщика Windows) пользователем или группой.

  • Правило библиотек DLL управляет возможностью запуска файлов с расширением DLL или OCX пользователем или группой.

  • Правило для упакованного приложения и установщика упакованного приложения управляет возможностью запуска и установки упакованного приложения пользователем или группой. Установщик упакованных приложений имеет расширение APPX.

К правилам применимы три разных типа условий.

  • Условие издателя в правиле управляет возможностью запуска файлов определенного издателя программного обеспечения пользователем или группой. Файл должен быть подписан.

  • Условие пути для правила управляет возможностью запуска файлов в определенном каталоге или его подкаталогах пользователем или группой.

  • Условие хэша файлов для правила управляет возможностью запуска файлов с соответствующими зашифрованными хэш-кодами пользователем или группой.

Общие сведения о политиках AppLocker

Политика AppLocker — это набор коллекций правил и соответствующих настроенных параметров принудительного применения, которые применены на одном или нескольких компьютерах.

  • Общие сведения о параметрах принудительного применения AppLocker

    Принудительное применение правил относится только к коллекции правил, а не к отдельным правилам. Правила AppLocker разделены на четыре коллекции: для исполняемых файлов, файлов установщика Windows, сценариев и файлов библиотек DLL. Параметры для принудительного применения правил: Не настроено, Принудительное применение правил или Только аудит. В совокупности все коллекции правил AppLocker составляют политику управления приложениями, или политику AppLocker. По умолчанию, если принудительное применение не настроено и правила присутствуют в коллекции, эти правила применяются принудительно.

Общие сведения об AppLocker и групповой политике

Групповая политика может использоваться для создания, изменения и распространения политик AppLocker по отдельным объектам или вместе с другими политиками.

  • Общие сведения о правилах AppLocker и наследовании параметра принудительного применения в групповой политике

    Если для распространения политик AppLocker используется групповая политика, будут принудительно применяться ненастроенные коллекции правил. Групповая политика не переопределяет и не заменяет правила, которые уже присутствовали в связанном объекте групповой политики, и применяет правила AppLocker в дополнение к существующим правилам. AppLocker обрабатывает явный запрет конфигурации правил до разрешения конфигурации правил, а для принудительного применения правил используется последняя запись в объект групповой политики.

Связанные разделы

Технический справочник по AppLocker

 

 

Показ: