Использование AppLocker и политик ограниченного использования программ в одном домене
В этой статье для ИТ-специалистов описываются концепции и процедуры, помогающие управлять стратегией контроля приложений, используя AppLocker и политики ограниченного использования программ (SRP).
Использование AppLocker и политик ограниченного использования программ в одном домене
AppLocker поддерживается в системах под управлением Windows 7 и более поздних версий. Политики ограниченного использования программ (SRP) поддерживаются в системах под управлением Windows Vista и более ранних версий. Можно продолжать использовать SRP для контроля приложений на компьютерах под управлением более ранних, чем Windows 7, ОС, однако на компьютерах под управлением Windows Server 2008 R2, Windows 7 и более поздних версий нужно использовать AppLocker. Рекомендуется объединить правила AppLocker и SRP в отдельные объекты групповой политики и задать использование GPO с политиками SRP в системах под управлением Windows Vista и более ранних версий. Если политики SRP и AppLocker одновременно применяются на компьютерах под управлением Windows Server 2008 R2, Windows 7 и более поздних версий, политики SRP игнорируются.
В следующей таблице сравниваются функции и компоненты политик ограниченного использования программ (SRP) и AppLocker.
Функции контроля приложений | Политики ограниченного использования программ | AppLocker |
---|---|---|
Область применения |
Политики SRP можно применять ко всем ОС Windows, начиная с Windows XP и Windows Server 2003. |
Политики AppLocker применимы только к ОС Windows Server 2008 R2, Windows 7 и более поздних версий. |
Создание политик |
Политики SRP обслуживаются с использованием групповой политики, а обновлять политику SRP может только администратор объекта групповой политики (GPO). Администратор на локальном компьютере может изменять политики SRP, определенные в локальном объекте групповой политики. |
Политики AppLocker обслуживаются с использованием групповой политики, а обновлять политику может только администратор объекта групповой политики. Администратор на локальном компьютере может изменять политики AppLocker, определенные в локальном объекте групповой политики. AppLocker позволяет настраивать сообщения об ошибках так, чтобы направлять пользователей на веб-страницу за справкой. |
Обслуживание политик |
Политики SRP необходимо обновлять с использованием оснастки локальной политики безопасности (если политики создаются локально) или консоли управления групповыми политиками (GPMC). |
Политики AppLocker можно обновлять, используя оснастку локальной политики безопасности (если политики создаются локально) или консоли GPMC, а также командлетов Windows PowerShell AppLocker. |
Применение политик |
Политики SRP распространяются с использованием групповой политики. |
Политики AppLocker распространяются с использованием групповой политики. |
Режим принудительного применения |
Политики SRP работают в режиме "списка запрещенных": администраторы могут создавать правила для файлов, которые следует запретить на данном предприятии, в то время как все остальные файлы по умолчанию разрешены. Политики SRP также можно настроить на работу в режиме белого списка, т. е. по умолчанию блокируются все файлы и разрешены лишь те, которые включены администраторами в соответствующие правила. |
AppLocker по умолчанию работает в режиме белого списка, т. е. разрешено выполнение только тех файлов, для которых существует соответствующее разрешающее правило. |
Типы файлов, которые можно контролировать |
С помощью политик SRP можно контролировать следующие типы файлов.
С помощью SRP невозможно контролировать каждый из этих типов файлов по отдельности. Все правила SRP находятся в единой коллекции правил. |
С помощью AppLocker можно контролировать следующие типы файлов.
В AppLocker существует по отдельной коллекции правил для каждого из пяти типов файлов. |
Специальные типы файлов |
SRP поддерживает расширяемый список типов файлов, которые считаются исполняемыми. Администраторы могут добавлять расширения файлов, которые должны считаться исполняемыми. |
В настоящее время AppLocker поддерживает следующие расширения файлов.
|
Типы правил |
SRP поддерживает четыре типа правил.
|
AppLocker поддерживает три типа правил.
|
Изменение значения хеша |
В Windows XP можно использовать политики ограниченного использования программ, чтобы указать пользовательские значения хеша. Начиная с Windows 7 и Windows Server 2008 R2 можно только выбрать файл для хеширования, но не указать значение хеша. |
AppLocker вычисляет значение хеша самостоятельно. Внутри системы хеш Authenticode SHA2 используется для переносимых исполняемых файлов (EXE и DLL) и установщиков Windows, а хеш плоских файлов SHA2 — для остальных. |
Поддержка разных уровней безопасности |
С помощью SRP можно назначить разрешения для работы приложения. Так, можно настроить правило, указывающее, например, что Блокнот должен всегда выполняться с ограниченными разрешениями и никогда — с правами администратора. Политики SRP в Windows Vista и более ранних версиях поддерживали несколько уровней безопасности. В Windows 7 этот список был ограничен двумя уровнями: "Запрещенный" и "Неограниченный" (обычный пользователь относится к уровню "Запрещенный"). |
AppLocker не поддерживает уровни безопасности. |
Управление упакованными приложениями и установщиками упакованных приложений. |
Не поддерживается |
APPX — это допустимый тип файла, доступный для управления с помощью AppLocker. |
Назначение правила для пользователя или группы пользователей |
Правила политики ограниченного использования программ применяются ко всем пользователям определенного компьютера. |
Правила AppLocker можно назначить для конкретного пользователя или группы пользователей. |
Поддержка исключений из правил |
SRP не поддерживает исключения из правил. |
Правила AppLocker могут иметь исключения, что позволяет создавать правила вида "Разрешить все из Windows, кроме regedit.exe". |
Поддержка режима аудита |
SRP не поддерживает режим аудита. Единственный способ проверки политик SRP — настроить тестовую среду и провести несколько экспериментов. |
AppLocker поддерживает режим аудита, что позволяет проверить действие политики в реальной рабочей среде, не влияя на работу пользователей. Получив удовлетворительный результат, можно приступать к принудительному применению политики. |
Поддержка экспорта и импорта политик |
SRP не поддерживает импорт и экспорт политик. |
AppLocker поддерживает импорт и экспорт политик. Это позволяет создать политику AppLocker на эталонном устройстве, проверить ее, а затем экспортировать и снова импортировать в нужный объект групповой политики. |
Принудительное применение правил |
Внутри системы применение правил SRP происходит в режиме пользователя, который является менее защищенным. |
Внутри системы правила AppLocker для файлов EXE и DLL применяются в режиме ядра, что более безопасно по сравнению с применением в режиме пользователя. |