Определение целей по управлению приложениями

  • Статья

В этом разделе приведено сравнение возможностей политик ограниченного использования программ и AppLocker. Эти сведения помогут вам решить, какими приложениями и как необходимо управлять.

AppLocker очень эффективен для организаций с требованиями по ограничению использования приложений, среды которых имеют простую топографию, а политики управления приложениями — понятные цели. Например, использование AppLocker может быть целесообразно в среде, где не являющиеся сотрудниками лица не имеют доступа к компьютерам, подключенным к сети организации, например школы или библиотеки. Крупные организации тоже могут получить преимущества от развертывания политики AppLocker в тех случаях, когда их целью является тщательный контроль относительно небольшого количества приложений на управляемых компьютерах.

Использование списка разрешенных приложений влечет за собой определенные расходы на управление и обслуживание. Кроме того, цель политик управления приложениями — разрешить или запретить сотрудникам использовать приложения, которые могут быть предназначены для повышения производительности труда. Поддержание необходимого уровня производительности труда сотрудников или пользователей во время внедрения политик может стоить дополнительного времени и усилий. Наконец, создание процессов поддержки пользователей и сети для сохранения производительности организации также является важным фактором.

Используйте следующую таблицу, чтобы разработать собственные цели и определить, какой компонент управления приложением наилучшим образом соответствует этим целям.

Функции контроля приложений Политики ограниченного использования программ AppLocker

Область применения

Политики SRP можно применять ко всем ОС Windows, начиная с Windows XP и Windows Server 2003.

Политики AppLocker можно применять только к поддерживаемым версиям Windows, перечисленным в разделе Необходимые условия для использования AppLocker.

Создание политик

Политики SRP обслуживаются с использованием групповой политики, а обновлять политику SRP может только администратор объекта групповых политик. Администратор на локальном компьютере может обновлять политики SRP, определенные в локальном объекте групповых политик.

Политики AppLocker обслуживаются с использованием групповой политики, а обновлять политику может только администратор объекта групповых политик. Администратор на локальном компьютере может обновлять политики AppLocker, определенные в локальном объекте групповых политик.

AppLocker позволяет настраивать сообщения об ошибке так, чтобы направлять пользователей на веб-страницу за справкой.

Обслуживание политик

Политики SRP необходимо обновлять с использованием оснастки локальной политики безопасности (если политики создаются локально) или консоли управления групповыми политиками (GPMC).

Политики AppLocker можно обновлять, используя оснастку локальной политики безопасности (если политики создаются локально) или консоли GPMC, а также командлетов Windows PowerShell AppLocker.

Применение политик

Политики SRP распространяются с использованием групповой политики.

Политики AppLocker распространяются с использованием групповой политики.

Режим принудительного применения

Политики SRP работают в режиме "списка запрещенных", когда администраторы могут создавать правила для файлов, которые следует запретить на данном предприятии, в то время как все остальные файлы по умолчанию разрешены.

Политики SRP также можно настроить на работу в режиме белого списка, т. е. по умолчанию блокируются все файлы и разрешены лишь те, которые включены администраторами в соответствующие правила.

AppLocker по умолчанию работает в режиме белого списка, т. е. разрешено выполнение только тех файлов, для которых существует соответствующее разрешающее правило.

Типы файлов, которые можно контролировать

С помощью политики SRP можно контролировать следующие типы файлов:

  • Исполняемые файлы

  • Библиотеки DLL

  • Скрипты

  • Установщики Windows

С помощью SRP невозможно контролировать каждый из этих типов файлов по отдельности. Все правила SRP находятся в единой коллекции правил.

С помощью AppLocker можно контролировать следующие типы файлов:

  • Исполняемые файлы

  • Библиотеки DLL

  • Скрипты

  • Установщики Windows

  • Упакованные приложения и установщики.

AppLocker обслуживает отдельную коллекцию правил для каждого из пяти типов файлов.

Специальные типы файлов

Политика ограниченного использования программ поддерживает расширяемый список типов файлов, которые считаются исполняемыми. Вы можете добавлять расширения файлов, которые должны считаться исполняемыми.

AppLocker не поддерживает эту возможность. AppLocker в настоящее время поддерживает следующие расширения файлов:

  • Исполняемые файлы (EXE, COM)

  • Библиотеки DLL (OCX, DLL)

  • Скрипты (VBS, JS, PS1, CMD, BAT)

  • Установщики Windows (MSI, MST, MSP)

  • Установщики пакетных приложений (APPX)

Типы правил

SRP поддерживает четыре типа правил:

  • Хэш

  • Путь

  • Подпись

  • Зона Интернета

AppLocker поддерживает три типа правил:

  • Хэш

  • Путь

  • Издатель

Изменение значения хэша

Политика ограниченного использования программ позволяет выбрать файл, который необходимо хэшировать.

AppLocker вычисляет значение хэша самостоятельно. Внутри системы хэш Authenticode SHA2 используется для переносимых исполняемых файлов (EXE и DLL) и установщиков Windows, а хэш обычных файлов SHA2 — для остальных.

Поддержка разных уровней безопасности

С помощью политики ограниченного использования программ можно указать разрешения, в рамках которых должно работать приложение. Таким образом, вы можете настроить правило, указывающее, что, например, приложение Блокнот должно всегда выполняться с ограниченными разрешениями и никогда — с правами администратора.

Политики SRP в Windows Vista и более ранних версиях поддерживали несколько уровней безопасности. В Windows 7 этот список был ограничен двумя уровнями: "Запрещенный" и "Неограниченный" (обычный пользователь относится к уровню "Запрещенный").

AppLocker не поддерживает уровни безопасности.

Управление пакетными приложениями и установщиками пакетных приложений.

Невозможно

APPX — это допустимый тип файла, доступный для управления с помощью AppLocker.

Назначение правила для пользователя или группы пользователей

Правила политики ограниченного использования программ применяются ко всем пользователям определенного компьютера.

Правила AppLocker можно назначить для конкретного пользователя или группы пользователей.

Поддержка исключений из правил

SRP не поддерживает исключения из правил

Правила AppLocker могут иметь исключения, что позволяет администраторам создавать правила вида "Разрешить все из Windows, кроме Regedit.exe".

Поддержка режима аудита

SRP не поддерживает режим аудита. Единственный способ проверки политик SRP — настроить тестовую среду и провести несколько экспериментов.

AppLocker поддерживает режим аудита, что позволяет администраторам проверить действие политики в реальной рабочей среде, не влияя на работу пользователей. Получив удовлетворительный результат, можно приступать к применению политики.

Поддержка экспорта и импорта политик

SRP не поддерживает импорт и экспорт политик.

AppLocker поддерживает импорт и экспорт политик. Это позволяет создать политику AppLocker на образце компьютера, проверить ее, а затем экспортировать и снова импортировать в нужный объект групповых политик.

Применение правил

Внутри системы применение правил SRP происходит в режиме пользователя, который является менее защищенным.

Внутри системы правила AppLocker для EXE- и DLL-файлов применяются в режиме ядра, что более безопасно по сравнению с их применением в режиме пользователя.

 

Более общие сведения см. в разделе AppLocker.