Общие сведения о разрешающих и запрещающих действиях AppLocker в отношении правил

В этом разделе описываются различия разрешающих и запрещающих действий для правил AppLocker.

Разрешающие и запрещающие действия для правил

В отличие от политик ограниченного использования программ (SRP), каждая коллекция правил AppLocker действует как список разрешенных файлов. Запускать можно только файлы, перечисленные в коллекции правил. Эта конфигурация позволяет легче понять, что произойдет при применении правила AppLocker.

Вы также можете создать правила, использующие запрещающее действие. При применении правил AppLocker сначала проверяет, указаны ли явные запрещающие действия в списке правил. Если вы запретили запуск файла в коллекции правил, то запрещающее действие получит приоритет перед любыми разрешающими действиями, независимо от объекта групповой политики (GPO), в котором первоначально применено правило. Поскольку по умолчанию AppLocker действует как разрешенный список, если не существует правила, которое явно запрещает или разрешает запуск файла, то запрещающее действие AppLocker по умолчанию заблокирует файл.

Вопросы применения запрещающих правил

Хотя вы можете использовать AppLocker, чтобы создать правило и разрешить запуск всех файлов, а затем использовать правила для запрета определенных файлов, такая конфигурация не рекомендуется. Запрещающее действие обычно менее безопасно, чем разрешающее, поскольку злоумышленник может изменить файл, чтобы сделать правило недействительным. Запрещающие действия также можно обойти. Например, если вы настроите запрещающее действие для пути к файлу или папке, пользователь по-прежнему сможет запускать файл из любого другого пути. В следующей таблице представлены аспекты безопасности для различных условий правила с запрещающими действиями.

Условие правилаВопрос безопасности с запрещающим действием

Издатель

Пользователь может изменять свойства файла (например, повторное подписывание файла с другим сертификатом).

Хэш файла

Пользователь может изменить хэш для файла.

Путь

Пользователь может переместить запрещенный файл в другое место и запустить его.

 

Важно  

Если вы решили использовать запрещающие действия в правилах, сначала создайте правила, разрешающие запуск системных файлов Windows. AppLocker по умолчанию применяет правила для разрешенных приложений, поэтому после создания одного или нескольких правил для коллекции (влияющих на системные файлы Windows) запускать можно только перечисленные приложения. Поэтому создание одного правила в коллекции для блокирования запуска вредоносного файла также блокирует запуск на компьютере всех других файлов.

 

Связанные разделы

Как работает AppLocker

 

 

Показ: