Использование AppLocker и политик ограниченного использования программ в одном домене

В этой статье для ИТ-специалистов описываются концепции и процедуры, помогающие управлять стратегией контроля приложений, используя AppLocker и политики ограниченного использования программ (SRP).

Использование AppLocker и политик ограниченного использования программ в одном домене

AppLocker поддерживается в системах под управлением Windows 7 и более поздних версий. Политики ограниченного использования программ (SRP) поддерживаются в системах под управлением Windows Vista и более ранних версий. Можно продолжать использовать SRP для контроля приложений на компьютерах под управлением более ранних, чем Windows 7, ОС, однако на компьютерах под управлением Windows Server 2008 R2, Windows 7 и более поздних версий нужно использовать AppLocker. Рекомендуется объединить правила AppLocker и SRP в отдельные объекты групповой политики и задать использование GPO с политиками SRP в системах под управлением Windows Vista и более ранних версий. Если политики SRP и AppLocker одновременно применяются на компьютерах под управлением Windows Server 2008 R2, Windows 7 и более поздних версий, политики SRP игнорируются.

В следующей таблице сравниваются функции и компоненты политик ограниченного использования программ (SRP) и AppLocker.

Функции контроля приложенийПолитики ограниченного использования программAppLocker

Область применения

Политики SRP можно применять ко всем ОС Windows, начиная с Windows XP и Windows Server 2003.

Политики AppLocker применимы только к ОС Windows Server 2008 R2, Windows 7 и более поздних версий.

Создание политик

Политики SRP обслуживаются с использованием групповой политики, а обновлять политику SRP может только администратор объекта групповой политики (GPO). Администратор на локальном компьютере может изменять политики SRP, определенные в локальном объекте групповой политики.

Политики AppLocker обслуживаются с использованием групповой политики, а обновлять политику может только администратор объекта групповой политики. Администратор на локальном компьютере может изменять политики AppLocker, определенные в локальном объекте групповой политики.

AppLocker позволяет настраивать сообщения об ошибках так, чтобы направлять пользователей на веб-страницу за справкой.

Обслуживание политик

Политики SRP необходимо обновлять с использованием оснастки локальной политики безопасности (если политики создаются локально) или консоли управления групповыми политиками (GPMC).

Политики AppLocker можно обновлять, используя оснастку локальной политики безопасности (если политики создаются локально) или консоли GPMC, а также командлетов Windows PowerShell AppLocker.

Применение политик

Политики SRP распространяются с использованием групповой политики.

Политики AppLocker распространяются с использованием групповой политики.

Режим принудительного применения

Политики SRP работают в режиме "списка запрещенных": администраторы могут создавать правила для файлов, которые следует запретить на данном предприятии, в то время как все остальные файлы по умолчанию разрешены.

Политики SRP также можно настроить на работу в режиме белого списка, т. е. по умолчанию блокируются все файлы и разрешены лишь те, которые включены администраторами в соответствующие правила.

AppLocker по умолчанию работает в режиме белого списка, т. е. разрешено выполнение только тех файлов, для которых существует соответствующее разрешающее правило.

Типы файлов, которые можно контролировать

С помощью политик SRP можно контролировать следующие типы файлов.

  • Исполняемые файлы

  • Библиотеки DLL

  • Скрипты

  • Установщики Windows

С помощью SRP невозможно контролировать каждый из этих типов файлов по отдельности. Все правила SRP находятся в единой коллекции правил.

С помощью AppLocker можно контролировать следующие типы файлов.

  • Исполняемые файлы

  • Библиотеки DLL

  • Скрипты

  • Установщики Windows

  • Упакованные приложения и установщики.

В AppLocker существует по отдельной коллекции правил для каждого из пяти типов файлов.

Специальные типы файлов

SRP поддерживает расширяемый список типов файлов, которые считаются исполняемыми. Администраторы могут добавлять расширения файлов, которые должны считаться исполняемыми.

В настоящее время AppLocker поддерживает следующие расширения файлов.

  • Исполняемые файлы (.exe, .com).

  • Библиотеки DLL (.ocx, .dll).

  • Скрипты (.vbs, .js, .ps1, .cmd, .bat).

  • Установщики Windows (.msi, .mst, .msp).

  • Установщики упакованных приложений (.appx).

Типы правил

SRP поддерживает четыре типа правил.

  • Хеш

  • Путь

  • Подпись

  • Зона Интернета

AppLocker поддерживает три типа правил.

  • Хеш файла

  • Путь

  • Издатель

Изменение значения хеша

В Windows XP можно использовать политики ограниченного использования программ, чтобы указать пользовательские значения хеша.

Начиная с Windows 7 и Windows Server 2008 R2 можно только выбрать файл для хеширования, но не указать значение хеша.

AppLocker вычисляет значение хеша самостоятельно. Внутри системы хеш Authenticode SHA2 используется для переносимых исполняемых файлов (EXE и DLL) и установщиков Windows, а хеш плоских файлов SHA2 — для остальных.

Поддержка разных уровней безопасности

С помощью SRP можно назначить разрешения для работы приложения. Так, можно настроить правило, указывающее, например, что Блокнот должен всегда выполняться с ограниченными разрешениями и никогда — с правами администратора.

Политики SRP в Windows Vista и более ранних версиях поддерживали несколько уровней безопасности. В Windows 7 этот список был ограничен двумя уровнями: "Запрещенный" и "Неограниченный" (обычный пользователь относится к уровню "Запрещенный").

AppLocker не поддерживает уровни безопасности.

Управление упакованными приложениями и установщиками упакованных приложений.

Не поддерживается

APPX — это допустимый тип файла, доступный для управления с помощью AppLocker.

Назначение правила для пользователя или группы пользователей

Правила политики ограниченного использования программ применяются ко всем пользователям определенного компьютера.

Правила AppLocker можно назначить для конкретного пользователя или группы пользователей.

Поддержка исключений из правил

SRP не поддерживает исключения из правил.

Правила AppLocker могут иметь исключения, что позволяет создавать правила вида "Разрешить все из Windows, кроме regedit.exe".

Поддержка режима аудита

SRP не поддерживает режим аудита. Единственный способ проверки политик SRP — настроить тестовую среду и провести несколько экспериментов.

AppLocker поддерживает режим аудита, что позволяет проверить действие политики в реальной рабочей среде, не влияя на работу пользователей. Получив удовлетворительный результат, можно приступать к принудительному применению политики.

Поддержка экспорта и импорта политик

SRP не поддерживает импорт и экспорт политик.

AppLocker поддерживает импорт и экспорт политик. Это позволяет создать политику AppLocker на эталонном устройстве, проверить ее, а затем экспортировать и снова импортировать в нужный объект групповой политики.

Принудительное применение правил

Внутри системы применение правил SRP происходит в режиме пользователя, который является менее защищенным.

Внутри системы правила AppLocker для файлов EXE и DLL применяются в режиме ядра, что более безопасно по сравнению с применением в режиме пользователя.

 

 

 

Показ: