Applocker что это
Перейти к содержимому

Applocker что это

Что такое AppLocker?

Некоторые возможности управления приложениями в Защитнике Windows доступны только в определенных версиях для Windows. Узнайте больше о доступности функции управления приложениями в Защитнике Windows.

В этом разделе для ИТ-специалистов описывается, что такое AppLocker и чем его функции отличаются от политики ограничения программного обеспечения.

AppLocker усовершенствовает функции управления приложениями и функциональные возможности политик ограничения программного обеспечения. AppLocker содержит новые возможности и расширения, которые позволяют создавать правила, позволяющие или отказывать приложениям в работе на основе уникальных удостоверений файлов, а также указывать, какие пользователи или группы могут запускать эти приложения.

С помощью AppLocker можно:

  • Управление следующими типами приложений: исполняемыми файлами (.exe и .com), скриптами (.js, .ps1, .vbs, .cmd и .bat), файлами установки Windows (mst, .msi и .msp) и DLL-файлами (.dll и .ocx), а также упакованными приложениями и установщиками упакованных приложений (appx).
  • Определите правила на основе атрибутов файлов, полученных из цифровой подписи, включая издателя, имя продукта, имя файла и версию файла. Например, можно создавать правила на основе атрибута издателя, который является устойчивым с помощью обновлений, или можно создавать правила для определенной версии файла.
  • Назначение правил группе безопасности или определенному пользователю.
  • Создание исключений из правил. Например, можно создать правило, которое позволяет запускать все Windows, кроме редактора реестра (Regedit.exe).
  • Использование режима только аудита для развертывания политики и определения ее влияния до непосредственного применения.
  • Правила импорта и экспорта. Импорт и экспорт влияют на всю политику. Например, при экспорте политики экспортируются все правила из всех коллекций правил, включая параметры правоприменения для коллекций правил. При импорте политики все критерии существующей политики перезаписаны.
  • Упрощение создания и управления правилами AppLocker с помощью Windows PowerShell-

AppLocker помогает сократить административные расходы и снизить затраты организации на управление вычислительными ресурсами за счет уменьшения количества вызовов службы поддержки, которые являются результатом работы пользователей с неодобренными приложениями.

Сведения о сценариях управления приложениями, адресовам appLocker, см. в приложении AppLocker policy use scenarios.

Какие функции отличаются между политиками ограничения программного обеспечения и AppLocker?

Отличия функций

В следующей таблице сравнивает AppLocker с политиками ограничения программного обеспечения.

Различия функций управления приложениями

В следующей таблице сравнивают функции управления приложениями политик ограничения программного обеспечения (SRP) и AppLocker.

Ограничиваем доступ к упакованным приложениям

Все мы знаем, что с выходом Windows 8 корпорация Microsoft решила полностью изменить представление пользователей о десктопных приложениях. Упакованные приложения, они же Metro-приложения, отличаются единообразием, обновленным упрощенным внешним видом и новым взаимодействием с пользователем. В этих приложениях минимизированы отвлекающие факторы, удалены практически все графические эффекты, включая Windows Aero, над которыми Microsoft трудилась несколько последних лет, для всех приложений используются единая цветовая гамма, шрифты и прочее. Не будем сейчас останавливаться на том, хорошо ли поступили Microsoft, что решили возвращаться к приложениям в стиле Windows 3.1, однако, с этим придется смириться и предпринимать какие-то действия по обслуживанию таких приложений.
Как известно практически каждому, начиная с таких операционных систем, как Windows 7, специально для выполнения задач, связанных с ограничением доступа пользователей к конкретным файлам или приложениям, в дополнение к политикам SRP Microsoft создали новую технологию, которую они назвали AppLocker. Политика AppLocker представляет собой набор из правил AppLocker, включающих в себя различные настройки, предназначенные для принудительного применения. Как свойственно объектам групповой политики, каждое правило сохраняется в конкретной политике, а сами политики уже распространяются согласно вашей иерархии объектов групповой политики.
В отличие от классических приложений, у всех упакованных приложений есть общие атрибуты ­– это имя издателя, имя продукта и его версия. Поэтому всеми приложениями можно управлять с помощью одного типа правил. В операционных системах Windows Server 2012 и Windows 8 правила AppLocker для упакованных приложений можно создавать отдельно от классических приложений, то есть для них специально была выделена отдельная коллекция. Одно правило AppLocker для упакованного приложения может контролировать как установку, так и работу приложения. Поскольку все упакованные приложения подписаны, AppLocker поддерживает только правила издателей для упакованных приложений. Давайте посмотрим, каким образом можно ограничивать доступ к упакованным приложениям.
Хотелось бы сразу отметить, что обязательным требованием является наличие таких приложений на компьютере, где будут создаваться правила, так что придется нам сейчас установить такие приложения.
Перейдем в Windows Marketplace и найдем какие-то стандартные приложения, например, пусть это будут такие стандартные приложения как Microsoft Zune Music, Microsoft Zune Video, Microsoft Bing News, Microsoft Bing Maps, Microsoft Bing Travel и Microsoft Bing Sports. Установим эти приложения на компьютер. Как они выглядят и какое их основное назначение, вы и так знаете, в чем я более чем уверен. Установка некоторых упакованных приложений отображена на следующей иллюстрации:


Рис. 1. Установка четырех упакованных приложений из Windows Marketplace
Опять же, обязательно обратите внимание на тот момент, что на целевом компьютере, на который будут распространяться правила AppLocker, должна быть запущена служба «Удостоверение приложения» (Application Identity). Этот момент вы можете как мониторить вручную непосредственно из оснастки служб каждого компьютера, так и централизовано настроить такую службы средствами специального расширения клиентской стороны групповой политики, что, по моему мнению, намного логичнее. По умолчанию у нее тип запуска «Вручную», так что вам в любом случае придется предпринять какие-то меры.
Теперь уже можно переходить к правилам AppLocker.

Создание правила AppLocker

  1. Для начала мы, естественно, создадим в оснастке «Управление групповой политикой» новый объект групповой политики, так как лучше всего, если правила, предназначенные для ограничения приложений, будут расположены в отдельном объекте GPO, и назовем его, скажем, «Правила AppLocker». После этого нужно будет связать такой объект с подразделением, в которое входят учетные записи компьютеров, на которые и должны распространяться создаваемые нами правила. Например, в моем случае привязка идет для всего домена, но в реальной среде идеальным вариантом будет распределение целевых компьютеров по конкретным подразделениям. Последней задачей предварительного этапа будет, понятное дело, открытие самого редактора управления групповыми политиками;
  2. Теперь в отобразившейся оснастке следует развернуть узел Конфигурация компьютера\Политики\Конфигурация Windows\Параметры безопасности\Политики управления приложениями и перейти к узлу, который называется AppLocker (Computer Configuration\Policies\Windows Settings\Security Settings\Application Control Policies\AppLocker). Сейчас переходим к последней коллекции, которая называется «Правила упакованных приложений», что на английском звучит как «Packaged app Rules». Находясь внутри этой коллекции, создадим наше правило, то есть, следует выбрать опцию «Создать новое правило» (Create New Rule);
  • Использовать для примера установленное упакованное приложение (Use an installed packaged app as a reference). В этом случае вам следует выбрать приложение, которое уже установлено на компьютере. При создании правила будет использоваться издатель, имя пакета, а также версия этого приложения;
  • Использовать для примера установщик упакованного приложения (Use a packaged app installer as a reference). Остановившись же на этом варианте, вам нужно будет указать установочный файл упакованного приложения с расширением appx. Как и в предыдущем случае, для определения правила будут также использоваться издатель, имя пакета и его версия. Этот вариант приемлем в том случае, если пользователи будут устанавливать такие приложения вручную, скажем, при помощи PowerShell.
  • Любой издатель (Any Publisher). Это свойство отвечает за всех издателей для выбранной вами категории файлов. Например, если вы изначально выбираете значение «Разрешить», то в таком случае это правило будет в дальнейшем запрещать выполнение неподписанных приложений. Либо, само собой, вы можете раз и навсегда запретить использование любых упакованных приложений;
  • Издатель (Publisher name). При помощи этого управляющего элемента вы можете указать, что под область действия правила должны попадать все файлы, которые подписаны издателем с определенным именем;
  • Имя пакета (Package name). Данное свойство правила позволяет вам помимо данных об издателе еще и добавить в правило наименование самого пакета упакованного приложения. В данном случае это Microsoft.BingSports;
  • Версия пакета (Package version). Это самое гибкое свойство создаваемого правила. Здесь вы можете определить версию управляемого вами приложения. Например, чтобы указать конкретную версию упакованного приложения, вы, как и в случае с обычными exe-файлами или динамическими библиотеками, можете установить флажок на опции с пользовательскими значениями, а затем уже указать вручную номер версии и выбрать, хотите ли, чтобы правило применялось к приложениям, версия которых выше указанного вами значения, ниже его, либо чтобы правило применялось только лишь на конкретную версию программного продукта.


Рис. 7. Проверка выполненных действий

Блокировка установки/запуска приложений с помощью AppLocker

Рассмотрим ситуацию: У Вас есть «терминальный» сервер, на котором сидят люди с тонких клиентов. Мы для них все настроили, в том числе и браузер, и хотим, чтобы они все пользовались 1 браузером. Но они начинают ставить себе Хром, Яндекс, и упаси Боже — Амиго. А они ставятся не в Program Files, а в профиль пользователю.

В данной статье рассмотрим, как же можно стандартными средствами Windows запретить пользователю устанавливать приложения, которые ставятся в папку с профилем пользователя, такие как Yandex браузер, Амиго, спутник Mail и т.п.

Для начала идем в «Панель управления» во вкладку «Администрирование»

Открываем «Службы» и находим службу «Удостоверение приложения»

Открываем свойства данной службы

По «умолчанию» она остановлена и стоит «Запуск — вручную»

Нам необходимо установить «Запуск — автоматически» и нажать кнопку «Запустить»

Теперь снова возвращаемся в «Администрирование» и открываем «Локальная политика безопасности»

В открывшемся окне идем в «Политики управления приложениями -> AppLocker -> Исполняемые правила»

У Вас «по умолчанию» там будет пусто

Справа в свободном месте нажимаем правой кнопкой мыши и выбираем «Создать правило. »

Нас приветствует «Мастер создания новых правил», Нажимаем «Далее«

Выбираем, что мы хотим сделать, разрешить или запретить. Выбираем «Запретить«.

Далее можем оставить по умолчанию «Все», или выбрать конкретную группу или пользователя.

После нажимаем «Далее«

В данном окне есть несколько типов правил, я пользуюсь правилом «Издатель» и нажимаем «Далее«

Тут выбираем файл, установщик которого мы хотим запретить

Для примера я выбрал установщик Яндекс.Браузера

Слева видим ползунок, которым можно ограничивать, выполнять все условия или поднимая выше — уменьшать кол-во проверок. Поиграйтесь ползунком — поймете что он ограничивает.

После того, как выбрали подходящий Вам вариант — нажимаем «Далее«

Тут можно добавить исключение. Я им не пользовался.

Ну к примеру вы запретили установку любого ПО от производителя «Яндекс», но хотите чтобы было разрешено «Яндекс.Панель», тогда необходимо добавить его в исключение кнопкой «Добавить. «, как все сделали — нажимаем «Далее«

Теперь нам осталось только дать имя нашему правилу и его описание (не обязательно). После чего нажимаем кнопку «Создать«

Все! Наше правило готово. Чтобы оно немедленно вступило в силу — предлагаю обновить правила политики для ПК и Пользователя.

Для этого открываем командную строку (пуск -> выполнить -> cmd или PowerShell) и пишем gpupdate /force

Дожидаемся обновления политик и можем тестировать.

Так как я применял политику только на группу «Пользователи домена», на меня она не распространяется, но если запустить установку Яндекс.Браузера от имени обычного пользователя, то мы увидим вот такую ошибку:

Добавить комментарий

Ваш адрес email не будет опубликован.