AppLocker 技術概觀
適用於: Windows 8.1、Windows Server 2012 R2、Windows Server 2012、Windows 8 Enterprise
這個 IT 專業人員適用的技術概觀會提供 AppLocker 的說明。 這項資訊可以協助您判斷部署 AppLocker 應用程式控制原則對組織是否有利。 AppLocker 能協助系統管理員控制使用者可以執行哪些應用程式和檔案。 其中包含執行檔、指令碼、Windows Installer 檔案、動態連結程式庫 (DLL)、已封裝應用程式以及已封裝應用程式安裝程式。
提示
若要以數位方式儲存或列印此文章庫的頁面,請按一下 [匯出] (在頁面的右上角),然後依照指示操作。
AppLocker 有哪些功能?
使用 AppLocker 可讓您:
根據各個應用程式更新保留的檔案屬性來定義規則,例如發行者名稱 (衍生自數位簽章)、產品名稱、檔案名稱以及檔案版本。 您也可以依據檔案路徑與雜湊來建立規則。
指派規則給安全性群組或個別使用者。
建立規則例外。 例如,您可以建立一個規則,允許所有使用者執行除了登錄編輯程式 (Regedit.exe) 之外的所有 Windows 二進位檔案。
在強制執行原則之前,使用僅稽核模式部署原則並了解其影響。
在開發用伺服器上建立規則並進行測試,然後將規則匯出到您的實際執行環境,並匯入群組原則物件中。
使用適用於 AppLocker 的 Windows PowerShell Cmdlet,簡化 AppLocker 規則的建立及管理。
AppLocker 會減少因使用者執行未經核准的應用程式向支援人員尋求協助的次數,減輕系統管理負荷和組織管理電腦運算資源的成本。 AppLocker 可以滿足下列應用程式安全性需求:
應用程式清查
AppLocker 能夠以僅稽核模式強制執行其原則,並將所有應用程式存取活動收集在事件記錄檔中。 收集這些事件後即可進行進一步的分析。 Windows PowerShell Cmdlets 也可以協助您以程式設計方式分析這項資料。
保護不受垃圾軟體危害
AppLocker 可以拒絕執行您在允許的應用程式清單中排除的應用程式。 一旦在實際執行環境中強制執行 AppLocker 規則後,允許規則中未涵蓋的任何應用程式都將無法執行。
符合授權法規
AppLocker 可以協助您建立規則,以防止使用者執行未授權的軟體,並限制只有授權的使用者可以使用授權軟體。
軟體標準化
AppLocker 原則可設定成只允許受支援或核准的應用程式在商務群組內的電腦執行。 這允許更一致的應用程式部署。
管理性改進
與之前的軟體限制原則相比,AppLocker 針對管理性進行了多項改良。 匯入與匯出原則、從多個檔案自動產生規則、僅稽核模式部署以及 Windows PowerShell Cmdlet,這些都是優於軟體限制原則 (SRP) 的改良功能。
使用 AppLocker 的時機
在許多組織中,資訊是最寶貴的資產,因此必須確保只有核准的使用者可以存取該資訊。 存取控制技術 (例如 Active Directory Rights Management Services (AD RMS) 和存取控制清單 (ACL)) 有助於控制允許哪些使用者存取。
但在使用者執行處理程序時,該處理程序與使用者擁有相同的資料存取層級。 因此,如果使用者刻意或在不知情的情況下執行了惡意軟體,則敏感性資訊就可能被刪除或流出組織。 AppLocker 可以限制使用者或群組能執行的檔案,因而可以補強這些類型的安全性漏洞。
現在,軟體發行者開始建立更多可由非系統管理員安裝的應用程式。 這可能會違反組織的既有安全性原則,並對讓使用者無法安裝應用程式的傳統應用程式控制解決方案造成危害。 AppLocker 可以讓系統管理員建立包含核准檔案與應用程式的允許清單,因此可以避免使用者執行這類的應用程式。 因為 AppLocker 可以控制 DLL,所以也可以用來控制哪些人員可以安裝和執行 ActiveX 控制項。
AppLocker 非常適用於目前使用群組原則管理 Windows 電腦的組織。 由於 AppLocker 必須使用群組原則來編寫和部署,因此如果您規劃使用 AppLocker,則具備群組原則使用經驗將非常實用。
以下是可使用 AppLocker 的案例範例:
您組織的安全性原則規定只能使用授權軟體,因此您必須防止使用者執行未授權的軟體,並限制只有授權的使用者可以使用授權軟體。
組織已不再支援某個應用程式,因此您必須讓所有人都無法使用這個應用程式。
垃圾軟體進入環境的機率很高,因此您必須降低此威脅。
組織中應用程式的授權已被撤銷或過期,因此您必須讓所有人都無法使用這個應用程式。
新應用程式或新版的應用程式已經部署,您必須防止使用者使用舊版本。
組織內不允許使用特定軟體工具,或是只有特定使用者才能存取這些工具。
單一使用者或使用者小組必須使用所有其他使用者或群組無法存取的特定應用程式。
組織內的某些電腦由擁有不同軟體使用需要的人們共用,您需要保護特定應用程式。
除了其他措施之外,您還必須透過應用程式使用情形來控制敏感資料的存取。
AppLocker 可協助您保護組織內的數位資產、降低惡意軟體進入環境的威脅,以及改進應用程式控制的管理和應用程式控制原則的維護。
版本、互通性及功能上的差異
支援的版本和互通性考量
只有執行支援版本和 Windows 作業系統版本的電腦才能設定及套用 AppLocker 原則。 如需詳細資訊,請參閱<使用 AppLocker 的需求>。
版本之間的功能差異
下表依作業系統版本列出 AppLocker 的每個主要特色或功能的差異:
| 特色或功能 | Windows Server 2008 R2 和 Windows 7 | Windows Server 2012 R2、Windows 2012 Server、Windows 8.1 和 Windows 8 |
|---|---|---|
| 針對已封裝應用程式和已封裝應用程式安裝程式設定規則。 | 否 | 是 |
| AppLocker 原則會透過群組原則進行維護,而且只有電腦的系統管理員才可以更新 AppLocker 原則。 | 是 | 是 |
| AppLocker 允許自訂錯誤訊息,讓管理員可將使用者導向至網頁以尋求協助。 | 是 | 是 |
| 可和軟體限制原則搭配使用 (藉由使用不同的 GPO)。 | 是 | 是 |
| AppLocker 支援一小組 Windows PowerShell Cmdlet,用以協助管理和維護。 | 是 | 是 |
| AppLocker 規則可以控制下列檔案格式。 | - .exe - .com - .ps1 - .bat - .cmd - .vbs - .js - .msi - .msp - .dll - .ocx |
- .exe - .com - .ps1 - .bat - .cmd - .vbs - .js - .msi - .msp - .mst - .dll - .ocx - .appx |
有關比較軟體限制原則與 AppLocker 中的應用程式控制功能,以及同時使用這兩種功能,如需詳細資訊,請參閱<使用 AppLocker 與軟體限制原則位於相同的網域>。
系統需求
只有在支援版本和 Windows 作業系統版本上執行的電腦才能設定及套用 AppLocker 原則。 需有「群組原則」才能發佈包含 AppLocker 原則的群組原則物件。 如需詳細資訊,請參閱<使用 AppLocker 的需求>。
AppLocker 規則可以建立在網域控制站上。
注意
Windows Server 2008 R2 與 Windows 7 不提供為已封裝應用程式與已封裝應用程式安裝程式編寫規則的功能。
安裝 AppLocker
AppLocker 隨附於企業層級的 Windows 版本中。 您可以為單一電腦或一組電腦編寫 AppLocker 規則。 對於單一電腦,您可以使用本機安全性原則編輯器 (secpol.msc) 來編寫規則。 對於電腦群組,您可以使用群組原則管理主控台 (GPMC) 編寫群組原則物件 (GPO) 的規則。
注意
在執行 Windows 的用戶端電腦上,只要安裝遠端伺服器管理工具就會有 GPMC。 在執行 Windows Server 的電腦上,您必須安裝群組原則管理功能。
在 Server Core 上使用 AppLocker
Windows PowerShell 的 AppLocker Cmdlet 可以用來管理 Server Core 安裝上的 AppLocker,如果是在 GPO 內管理,則使用群組原則 PowerShell Cmdlet。 如需詳細資訊,請參閱<AppLocker PowerShell 命令參考資料>。
虛擬考量
您可以使用符合前述所有系統需求的虛擬 Windows 執行個體來管理 AppLocker 原則。 您也可以在虛擬執行個體中執行群組原則。 不過,如果虛擬執行個體遭到移除或失敗,您就會面臨失去所建立和維護原則的風險。
安全性考量
應用程式控制原則會指定允許在本機電腦上執行的程式。
惡意軟體各式各樣的偽裝形式,讓使用者難以區分什麼是安全的程式。 惡意軟體啟用後會損壞硬碟上的內容、以大量要求癱瘓網路因而導致拒絕服務 (DoS) 攻擊、將機密資訊傳送到網際網路或是危害電腦安全性。
因應此問題的對策,是在組織的使用者電腦上設計完善的應用程式控制原則,然後先在實驗室環境中徹底測試原則,再將它們部署到實際執行環境。 AppLocker 可以納入應用程式控制策略的一環,因為可以控制允許在電腦上執行的軟體。
有缺陷的應用程式控制原則實作可能會停用必要的應用程式,或者是允許惡意軟體或垃圾軟體執行。 因此,組織應該分配充分的資源來管理和疑難排解這類原則的實作。
如需特定安全性問題的詳細資訊,請參閱<AppLocker 的安全性考量>。
使用 AppLocker 建立應用程式控制原則時,應注意下列幾項安全性考量:
誰有權限設定 AppLocker 原則?
如何確認原則是否已強制執行?
應稽核哪些事件?
下表提供安裝了 AppLocker 功能的用戶端電腦的基準設定,做為您規劃安全性時的參考:
| 設定 | 預設值 |
|---|---|
| 建立的帳戶 | 無 |
| 驗證方法 | 不適用 |
| 管理介面 | 可以使用 Microsoft Management Console 嵌入式管理單元、群組原則管理以及 Windows PowerShell 來管理 AppLocker |
| 開啟的連接埠 | 無 |
| 需要的最低權限 | 本機電腦上的系統管理員;網域管理;或允許您建立、編輯或散佈 群組原則物件 的任一組權限。 |
| 使用的通訊協定 | 不適用 |
| 排定的工作 | 會將 Appidpolicyconverter.exe 放在排定的工作中,以便應要求執行。 |
| 安全性原則 | 無。 AppLocker 會建立安全性原則。 |
| 需要的系統服務 | 應用程式識別服務 (appidsvc) 會在 LocalServiceAndNoImpersonation 底下執行。 |
| 認證儲存區 | 無 |
維護 AppLocker 原則
下列主題提供有關 Applocker 原則維護的資訊:
另請參閱
| 資源 | Windows Server 2008 R2 和 Windows 7 | Windows Server 2012 R2、Windows 2012 Server、Windows 8.1 和 Windows 8 |
|---|---|---|
| 產品評估 | 常見問題集 AppLocker 逐步指南 |
常見問題集 AppLocker 逐步指南 |
| 程序 | AppLocker 作業指南 | 管理 AppLocker 使用 AppLocker 管理已封裝的應用程式 |
| 指令碼處理 | 使用 AppLocker Windows PowerShell Cmdlet | 使用 AppLocker Windows PowerShell Cmdlet |
| 技術內容 | AppLocker 技術參考 | AppLocker 技術參考 |
| 設計、規劃和部署 | AppLocker 原則設計指南 AppLocker 原則部署指南 |
AppLocker 原則設計指南 AppLocker 原則部署指南 |