Applocker windows 10 что это

Обновлено: 04.07.2024

AppLocker — это относительно недавнее новшество операционных систем Microsoft Windows. Он впервые выполз на белый свет в операционной системе Windows 7. И является он довольно серьезным инструментом, что и объясняет его наличие только на двух самых продвинутых изданиях Windows: Enterprize и Ultimate.

AppLocker представляет из себя набор политик, которые позволяют настроить доступ пользователей к различным приложениям. Об этом говорит и само название инструмента: AppLocker — Application Locker.

Доступ к каким приложениям можно настроить с помощью AppLocker?

AppLocker позволяет настроить доступ к 3-ем(в случае с Windows 7) или к 4-ем(в случае с Windows 8) типам приложений. Различие в количестве объясняется тем, что в Windows 8 появились упакованные приложения, они же приложения интерфейса Metro. А остальные три одинаковы и тут, и там. Вот список 4 типов файлов, к которым можно настроить доступ с помощью AppLocker:

Политики AppLocker?

Политики AppLocker, как и многие политики, уютно обосновались в Редакторе локальной групповой политики, который вызывают с помощью команды меню Выполнить

Там Вы и можете их найти, если перейдете по пути Конфигурация компьютера — Конфигурация Windows — Параметры безопасности — Политики управления приложениями — AppLocker. Там Вы найдете либо 3, либо 4 папки, имена которых идентичны представленным выше.

политики AppLocker

И в каждой папке можно настроить правила доступа для тех типов файлов, к которым они относятся. Ниже мы рассмотрим процесс создания правила AppLocker.

Как создать правило AppLocker?

Чтобы создать правило AppLocker, первым делом нужно выбрать соответствующую Вашим намерениям папку. Дальше, в контекстном меню, Вы должны выбрать пункт «Создать новое правило». После чего Вы должны выбрать уровень доступа(разрешено либо запрещено) и пользователей или группу пользователей, к которым это правило будет относиться. После этого Вы должны указать, к какому приложению относится данное правило. Указать это можно тремя способами:

После выбора одного или другого способа привязки, Вам нужно будет указать тот файл или папку, к которой нужно привязать данную политику. После чего необходимо сохранить данную политику. И как всегда необходимо помнить, что политики начинают действовать только после своего обновления, которое можно ждать почти полтора часа, либо обновить политику вручную.

Вот такие прекрасные возможности предлагает пользователям инструмент AppLocker, с помощью которого можно установить правила использования для определенного приложения.

Некоторые возможности управления приложениями в Защитнике Windows доступны только в определенных версиях для Windows. Узнайте больше о доступности функции управления приложениями в Защитнике Windows.

В этой статье содержится описание AppLocker. Кроме того, эта статья поможет вам понять, сможет ли ваша организация получить преимущества от развертывания политик управления приложениями AppLocker. С помощью AppLocker можно контролировать, какие приложения и файлы могут запускать пользователи. Это относится к исполняемым файлам, сценариям, файлам установщика Windows, библиотекам DLL, упакованным приложениям и установщикам упакованного приложения.

AppLocker не может управлять процессами, работающими под системной учетной записью в любой операционной системе.

AppLocker обладает следующими возможностями.

  • Определение правил на основе атрибутов файлов, которые сохраняются при обновлении приложений, например имени издателя (берется из цифровой подписи), имени продукта, имени и версии файла. Вы также можете создавать правила на основе пути и хэша файла.
  • Назначение правил группе безопасности или определенному пользователю.
  • Создание исключений из правил. Например, можно создать правило, которое разрешает всем пользователям запускать все двоичные файлы Windows за исключением редактора реестра (regedit.exe).
  • Использование режима только аудита для развертывания политики и определения ее влияния до непосредственного применения.
  • Создание правил на промежуточном сервере, их проверка, а затем экспорт в производственную среду и импорт в объект групповой политики.
  • Упрощение создания правил AppLocker и управления ими с помощью Windows PowerShell.

AppLocker позволяет снизить административные расходы, а также расходы на управление вычислительными ресурсами путем снижения числа звонков в службу поддержки, связанных с использованием неутвержденных приложений пользователями. AppLocker поддерживает следующие сценарии безопасности приложений.

Инвентаризация приложений

AppLocker может применять свою политику в режиме только аудита, когда все действия по использованию приложений регистрируются в журналах событий. Эти события могут быть собраны для дальнейшего анализа. Командлеты Windows PowerShell также позволяют анализировать эти данные программным путем.

Защита от нежелательных программ

AppLocker позволяет запретить выполнение приложений при исключении их из списка разрешенных приложений. Если правила AppLocker применяются в производственной среде, блокируется запуск любых приложений, не включенных в разрешенные правила.

Соответствие требованиям лицензирования

AppLocker позволяет создавать правила, которые препятствуют запуску нелицензионного ПО и разрешают использовать лицензионное ПО только авторизованным пользователям.

Стандартизация программного обеспечения

Политики AppLocker могут быть настроены для разрешения запуска на компьютерах бизнес-группы только поддерживаемых или утвержденных приложений. Такой подход обеспечивает более высокий уровень стандартизации развертывания приложений.

Улучшение управляемости

AppLocker включает ряд усовершенствований управляемости по сравнению с предшественником— политиками ограниченного использования программ. Импорт и экспорт политик, автоматическое создание правил на основе нескольких файлов, развертывание режима только аудита и командлеты Windows PowerShell — вот лишь несколько улучшений по сравнению с политиками ограниченного использования программ.

Сценарии использования AppLocker

Во многих организациях информация является самым ценным активом, поэтому очень важно гарантировать, чтобы только авторизованные пользователи имели доступ к этой информации. Технологии управления доступом, например службы управления правами Active Directory (AD RMS) и списки управления доступом (ACL) позволяют контролировать, к чему пользователи могут получить доступ.

Однако если пользователь запускает процесс, этот процесс имеет тот же уровень доступа к данным, что и у пользователя. В результате конфиденциальные сведения могут быть без труда удалены или переданы за пределы организации, если пользователь намеренно или случайно запускает вредоносное ПО. AppLocker позволяет устранить эти типы уязвимостей системы безопасности путем ограничения возможностей запуска файлов пользователями или группами. Издатели программного обеспечения начинают создавать все больше приложений, которые могут быть установлены пользователями, не являющимися администраторами. Это может нарушить политику безопасности организации и позволит обойти традиционные решения по управлению приложениями, которые полагаются на невозможность установки приложений пользователями. Благодаря созданию разрешенного списка утвержденных файлов и приложений AppLocker позволяет предотвратить запуск тем или иным пользователем этих приложений. Так как AppLocker позволяет контролировать библиотеки DLL, важно также управлять тем, кто сможет устанавливать и запускать элементы ActiveX.

AppLocker идеально подходит для организаций, которые в настоящее время используют групповую политику для управления своими компьютерами.

Ниже приведены примеры сценариев, при которых может использоваться AppLocker:

  • Политика безопасности вашей организации определяет использование только лицензионного программного обеспечения, поэтому нужно запретить пользователям запускать нелицензионное программное обеспечение, а также ограничить использование лицензионного программного обеспечения только авторизованными пользователями.
  • Приложение больше не поддерживается вашей организацией, поэтому вам необходимо предотвратить его использование всеми пользователями.
  • Возможность того, что нежелательное программное обеспечение может появиться в среде, достаточно высока, поэтому необходимо снизить эту угрозу.
  • Лицензия на приложение была отозвана или истек срок ее действия в вашей организации, поэтому вам необходимо предотвратить возможность ее использования всеми пользователями.
  • Развернуто новое приложение или новая версия приложения, и вам необходимо запретить пользователям запускать старую версию.
  • Отдельные программные средства не разрешены в организации, или только определенные пользователи имеют доступ к этим средствам.
  • Отдельный пользователь или небольшие группы пользователей должны использовать определенное приложение, в доступе к которому отказано всем прочим пользователям.
  • Некоторые компьютеры в организации совместно используются пользователями, которые имеют различные потребности в плане программного обеспечения, а вам необходимо защитить определенные приложения.
  • Помимо других мер вам необходимо управлять доступом к конфиденциальным данным через использование приложений.

AppLocker — это функция безопасности с глубокой защитой, а не граница безопасности. Защитник Windows управления приложениями следует использовать для обеспечения надежной защиты от угрозы, и, как ожидается, не будет ограничений по проектированию, которые помешали бы функции безопасности достичь этой цели.

AppLocker поможет вам защитить цифровые активы вашей организации, снизить угрозы, связанные с использованием вредоносного ПО в вашей среде, и улучшить управление приложениями и поддержку политик управления приложениями.

Установка AppLocker

AppLocker включен в выпуски Windows корпоративного уровня. Вы можете создать правила AppLocker для одного компьютера или для группы компьютеров. Для одного компьютера можно создать правила с помощью редактора локальной политики безопасности (secpol.msc). Для группы компьютеров вы можете создать правила в объекте групповой политики, используя консоль управления групповыми политиками.

GPMC доступен на клиентских компьютерах, работающих Windows только путем установки средств администрирования удаленного сервера. На компьютере под управлением Windows Server необходимо установить компонент «Управление групповыми политиками».

Использование AppLocker на Server Core

AppLocker на установках Server Core не поддерживается.

Вопросы виртуализации

Вы можете администрировать политики AppLocker с помощью виртуализированного экземпляра Windows, если он соответствует ранее приведенным требованиям к системе. Можно также запустить групповую политику на виртуализированном экземпляре. Однако вы рискуете потерять те политики, которые создали и поддерживаете, если виртуализированный экземпляр будет удален или перестанет работать.

Соображения безопасности

Политики управления приложениями указывают, какие приложения могут запускаться на локальном компьютере.

Разнообразие форм вредоносного программного обеспечения значительно усложняет понимание пользователями того, что безопасно запускать, а что нет. Активированное вредоносное ПО может повредить содержимое жесткого диска, заполнить сеть запросами, вызвав атаку по типу «отказ в обслуживании» (DoS), передать конфиденциальные сведения в Интернет или нарушить безопасность компьютера.

Мерой противодействия является создание надлежащего проекта политик управления приложениями на компьютерах вашей организации, тщательное тестирование этих политик в лабораторной среде до их развертывания в производственной среде. AppLocker может стать частью вашей стратегии по управлению приложениями, так как вы можете управлять тем, какое программное обеспечение может работать на ваших компьютерах.

Неверная реализация политики управления приложениями может отключить работу нужных приложений или разрешить выполнение вредоносных или ненужных программ. Поэтому важно, чтобы организации задействовали достаточно ресурсов для управления реализацией таких политик и для устранения соответствующих неисправностей.

Дополнительные сведения о конкретных проблемах безопасности см. в разделе Соображения безопасности для AppLocker.

При использовании AppLocker для создания политик управления приложениями необходимо учитывать следующие вопросы безопасности.

  • Кто имеет права на определение политик AppLocker?
  • Как проверить, были ли применены политики?
  • Для каких событий следует проводить аудит?

В качестве справки по планированию безопасности можно использовать следующую таблицу, в которой определены базовые параметры для компьютера с установленным AppLocker:

В этой статье рассмотрим механизм AppLocker, который позволяет блокировать запуск определенных приложений для некоторых групп пользователей.

Теория

Механизм AppLocker впервые появился в Windows 8.1 и Windows Server 2012 и позволил:

  • блокировать запуск приложений;
  • работать в режиме аудита, при этом приложения будут запускаться но в журнале будут появляться записи.

AppLocker позволяет блокировать запуск следующих типов файлов:

AppLocker предоставляет простой GUI-механизм на основе правил для определения того, каким приложениям разрешено запускаться конкретными пользователями и группами. Эта технология использует два типа правил:

  • разрешить запуск конкретных файлов, запретив всё остальное;
  • запретить запуск конкретных файлов, разрешив всё остальное.

У каждого правила может быть список исключений. Например можно создать правило «Разрешить запускать всё в каталогах C:\Windows и C:\ProgramFiles, за исключением Regedit.exe».

AppLocker может идентифицировать приложения по:

  • сертификату приложения. Например разрешить запускаться только программам подписанным определенным сертификатом;
  • пути к каталогу с приложениями. Например разрешить запускаться только из определенного каталога;
  • хешу файла. Интересный вариант, так как если приложение будет изменено, например вирусом, то хеш его изменится и оно не запустится. Но если приложение изменится в ходе обновления, то оно тоже не запустится.

Практика

На локальном компьютере правила AppLocker могут быть определены с помощью «Локальной политики безопасности (secpol.msc)». А в домене правила можно распространять групповой политикой безопасности.

Локальная политика безопасности / AppLocker

Если нажать “Настроить применения правил“, то можно выбрать к каким типам файлов применять правила. А также нужно будет указать: применять правила или вести аудит:

Внутреннее устройство Windows. AppLocker, изображение №2

Если нажать на какой-нибудь типе файлов, то вы перейдете в раздел, где сможете создать правила для этого типа файлов:

Внутреннее устройство Windows. AppLocker, изображение №3

Давайте создадим правила “по умолчанию” и посмотрим на них:

Внутреннее устройство Windows. AppLocker, изображение №4

Появились три правила, которые разрешают:

  • всем пользователям запускать приложения из Programm Files;
  • всем пользователям запускать приложения из Windows;
  • только администраторам запускать приложения из любых мест.

Точно также можно добавлять правила и для других типов файлов.

Правила для DLL-библиотек

Включить коллекцию DLL-правил можно перейдя на вкладку «Дополнительно». Установите флажок “Включить коллекцию правил DLL” и нажмите кнопку ОК:

Внутреннее устройство Windows. AppLocker, изображение №5

Условия работы AppLocker

Для работы AppLocker нужна работающая служба «Удостоверения приложений (AppIDSvc)»:


Все мы знаем, что с выходом Windows 8 корпорация Microsoft решила полностью изменить представление пользователей о десктопных приложениях. Упакованные приложения, они же Metro-приложения, отличаются единообразием, обновленным упрощенным внешним видом и новым взаимодействием с пользователем. В этих приложениях минимизированы отвлекающие факторы, удалены практически все графические эффекты, включая Windows Aero, над которыми Microsoft трудилась несколько последних лет, для всех приложений используются единая цветовая гамма, шрифты и прочее. Не будем сейчас останавливаться на том, хорошо ли поступили Microsoft, что решили возвращаться к приложениям в стиле Windows 3.1, однако, с этим придется смириться и предпринимать какие-то действия по обслуживанию таких приложений.
Как известно практически каждому, начиная с таких операционных систем, как Windows 7, специально для выполнения задач, связанных с ограничением доступа пользователей к конкретным файлам или приложениям, в дополнение к политикам SRP Microsoft создали новую технологию, которую они назвали AppLocker. Политика AppLocker представляет собой набор из правил AppLocker, включающих в себя различные настройки, предназначенные для принудительного применения. Как свойственно объектам групповой политики, каждое правило сохраняется в конкретной политике, а сами политики уже распространяются согласно вашей иерархии объектов групповой политики.
В отличие от классических приложений, у всех упакованных приложений есть общие атрибуты ­– это имя издателя, имя продукта и его версия. Поэтому всеми приложениями можно управлять с помощью одного типа правил. В операционных системах Windows Server 2012 и Windows 8 правила AppLocker для упакованных приложений можно создавать отдельно от классических приложений, то есть для них специально была выделена отдельная коллекция. Одно правило AppLocker для упакованного приложения может контролировать как установку, так и работу приложения. Поскольку все упакованные приложения подписаны, AppLocker поддерживает только правила издателей для упакованных приложений. Давайте посмотрим, каким образом можно ограничивать доступ к упакованным приложениям.
Хотелось бы сразу отметить, что обязательным требованием является наличие таких приложений на компьютере, где будут создаваться правила, так что придется нам сейчас установить такие приложения.
Перейдем в Windows Marketplace и найдем какие-то стандартные приложения, например, пусть это будут такие стандартные приложения как Microsoft Zune Music, Microsoft Zune Video, Microsoft Bing News, Microsoft Bing Maps, Microsoft Bing Travel и Microsoft Bing Sports. Установим эти приложения на компьютер. Как они выглядят и какое их основное назначение, вы и так знаете, в чем я более чем уверен. Установка некоторых упакованных приложений отображена на следующей иллюстрации:


Рис. 1. Установка четырех упакованных приложений из Windows Marketplace
Опять же, обязательно обратите внимание на тот момент, что на целевом компьютере, на который будут распространяться правила AppLocker, должна быть запущена служба «Удостоверение приложения» (Application Identity). Этот момент вы можете как мониторить вручную непосредственно из оснастки служб каждого компьютера, так и централизовано настроить такую службы средствами специального расширения клиентской стороны групповой политики, что, по моему мнению, намного логичнее. По умолчанию у нее тип запуска «Вручную», так что вам в любом случае придется предпринять какие-то меры.
Теперь уже можно переходить к правилам AppLocker.

Создание правила AppLocker

  1. Для начала мы, естественно, создадим в оснастке «Управление групповой политикой» новый объект групповой политики, так как лучше всего, если правила, предназначенные для ограничения приложений, будут расположены в отдельном объекте GPO, и назовем его, скажем, «Правила AppLocker». После этого нужно будет связать такой объект с подразделением, в которое входят учетные записи компьютеров, на которые и должны распространяться создаваемые нами правила. Например, в моем случае привязка идет для всего домена, но в реальной среде идеальным вариантом будет распределение целевых компьютеров по конкретным подразделениям. Последней задачей предварительного этапа будет, понятное дело, открытие самого редактора управления групповыми политиками;
  2. Теперь в отобразившейся оснастке следует развернуть узел Конфигурация компьютера\Политики\Конфигурация Windows\Параметры безопасности\Политики управления приложениями и перейти к узлу, который называется AppLocker (Computer Configuration\Policies\Windows Settings\Security Settings\Application Control Policies\AppLocker). Сейчас переходим к последней коллекции, которая называется «Правила упакованных приложений», что на английском звучит как «Packaged app Rules». Находясь внутри этой коллекции, создадим наше правило, то есть, следует выбрать опцию «Создать новое правило» (Create New Rule);

  • Использовать для примера установленное упакованное приложение (Use an installed packaged app as a reference). В этом случае вам следует выбрать приложение, которое уже установлено на компьютере. При создании правила будет использоваться издатель, имя пакета, а также версия этого приложения;
  • Использовать для примера установщик упакованного приложения (Use a packaged app installer as a reference). Остановившись же на этом варианте, вам нужно будет указать установочный файл упакованного приложения с расширением appx. Как и в предыдущем случае, для определения правила будут также использоваться издатель, имя пакета и его версия. Этот вариант приемлем в том случае, если пользователи будут устанавливать такие приложения вручную, скажем, при помощи PowerShell.
  • Любой издатель (Any Publisher). Это свойство отвечает за всех издателей для выбранной вами категории файлов. Например, если вы изначально выбираете значение «Разрешить», то в таком случае это правило будет в дальнейшем запрещать выполнение неподписанных приложений. Либо, само собой, вы можете раз и навсегда запретить использование любых упакованных приложений;
  • Издатель (Publisher name). При помощи этого управляющего элемента вы можете указать, что под область действия правила должны попадать все файлы, которые подписаны издателем с определенным именем;
  • Имя пакета (Package name). Данное свойство правила позволяет вам помимо данных об издателе еще и добавить в правило наименование самого пакета упакованного приложения. В данном случае это Microsoft.BingSports;
  • Версия пакета (Package version). Это самое гибкое свойство создаваемого правила. Здесь вы можете определить версию управляемого вами приложения. Например, чтобы указать конкретную версию упакованного приложения, вы, как и в случае с обычными exe-файлами или динамическими библиотеками, можете установить флажок на опции с пользовательскими значениями, а затем уже указать вручную номер версии и выбрать, хотите ли, чтобы правило применялось к приложениям, версия которых выше указанного вами значения, ниже его, либо чтобы правило применялось только лишь на конкретную версию программного продукта.



Рис. 7. Проверка выполненных действий

Подытожим


Из этой небольшой статьи вы узнали о том, каким образом можно ограничить доступ к одному из нововведений Microsoft в их последней операционной системе – к упакованным приложениям, которые чаще всего многие именуют Metro-приложениями. Было рассказано о том, как именно можно создать такие правила, на чем они основаны, а также об одном важном предварительном требовании, которое обязательно следует участь перед развертыванием таких правил. А вы у себя в компании используете упакованные приложения и планируете ли ограничивать пользователям доступ к каким-то APPX-файлам?

Читайте также: