applocker+


Предыдущая |

Область применения

В этой статье для ИТ – специалиста объясняется, что такое AppLocker и как ее функции отличаются от политик ограниченного использования программ.

AppLocker расширяет возможности и функциональные возможности элементов управления приложениями и функциональностью политик ограниченного использования программ. AppLocker включает новые возможности и расширения, позволяющие создавать правила для разрешения или отказа в выполнении приложений на основе уникальных идентификаторов файлов, а также для указания пользователей или групп, которые могут запускать эти приложения.

С помощью AppLocker вы можете выполнять следующие действия:

AppLocker помогает сократить затраты на администрирование и снизить стоимость управления вычислительными ресурсами компании, уменьшая количество звонков в службу поддержки, полученных в результате работы неутвержденных приложений.

Сведения о сценариях управления приложениями, в которых AppLocker рассматриваются адреса, приведены в разделе Использование политик AppLocker.

Какие функции отличаются в разных политиках ограниченного использования программ и AppLocker?

Различия в функциях

В следующей таблице приведено сравнение AppLocker с политиками ограниченного использования программ.

Функция Политики ограниченного использования программ AppLocker

Область правила

Все пользователи

Определенный пользователь или группа

Условия, указанные в правилах

Хэш файла, путь, сертификат, путь в реестре и зона Интернета

Хэш файла, путь и издатель

Доступные типы правил

Определяемые уровнями безопасности:

  • Disallowed

  • Основной пользователь

  • Неограниченный

Разрешение и запрет

Действие правила по умолчанию

Неограниченный

Неявный запрет

Режим "только аудит"

Нет

Да

Мастер создания нескольких правил за один раз

Нет

Да

Импорт и экспорт политики

Нет

Да

Коллекция правил

Нет

Да

Поддержка Windows PowerShell

Нет

Да

Пользовательские сообщения об ошибках

Нет

Да

Различия функций элемента управления приложением

В следующей таблице сравниваются функции управления приложениями для политик ограниченного использования программ (SRP) и AppLocker.

Функция управления приложением БЕЗОПАСНОСТИ AppLocker

Область действия операционной системы

Политики SRP можно применить ко всем операционным системам Windows, начиная с Windows XP и Windows Server 2003.

Политики AppLocker применяются только к тем поддерживаемым версиям операционной системы и выпускам, перечисленным в требованиях для использования AppLocker. Но эти системы также могут использовать набор исправлений безопасности.

Примечание.

Использование разных объектов групповой политики для правил SRP и AppLocker.

 

 

Поддержка пользователей

SRP позволяет пользователям устанавливать приложения от имени администратора.

Политики AppLocker поддерживаются с помощью групповой политики, и только администратор устройства может обновлять политику AppLocker.

AppLocker позволяет настраивать сообщения об ошибках, чтобы направить пользователей на веб-страницу справки.

Обслуживание политик

Политики SRP обновляются с помощью оснастки локальной политики безопасности или консоли управления групповыми политиками (GPMC).

Политики AppLocker обновляются с помощью оснастки локальной политики безопасности или консоли управления групповыми политиками.

AppLocker поддерживает небольшой набор командлетов PowerShell, помогающих в администрировании и обслуживании.

Инфраструктура управления политиками

Для управления политиками безопасности SRP используется групповая политика в домене и оснастка локальной политики безопасности для локального компьютера.

Для управления политиками AppLocker функция AppLocker использует групповую политику в домене и оснастку локальной политики безопасности для локального компьютера.

Блокировать вредоносные сценарии

Правила блокировки вредоносных сценариев предотвращают выполнение всех сценариев, связанных с сервером сценариев Windows, за исключением тех, которые имеют цифровую подпись Организации.

Правила AppLocker могут управлять следующими форматами файлов:. ps1,. bat,. cmd,. vbs и. js. Кроме того, вы можете настроить исключения, чтобы разрешить запуск определенных файлов.

Управление установкой программного обеспечения

Набор исправлений безопасности может препятствовать установке всех пакетов установщика Windows. Это позволяет установить MSI-файлы, которые подписаны вашей организацией цифровой подписью.

Коллекция правил установщика Windows — это набор правил, созданных для файлов установщика Windows (. MST,. msi и. MSP), которые позволят вам управлять установкой файлов на клиентских компьютерах и серверах.

Управление всеми программами на компьютере

Управление всеми программами осуществляется в одном из наборов правил. По умолчанию политика для управления всеми программами на устройстве запрещает все программы на устройстве's, за исключением программного обеспечения, которое установлено в папке Windows, папке Program Files или вложенных папках.

В отличие от SRP, каждая коллекция правил AppLocker действует как разрешенный список файлов. Только файлы, перечисленные в семействе правил, будут разрешены для выполнения. Такая конфигурация упрощает для администраторов определение того, что происходит при применении правила AppLocker.

Различные политики для разных пользователей

Правила применяются одинаково ко всем пользователям на определенном устройстве.

На устройстве, которое является общим для нескольких пользователей, администратор может указать группы пользователей, которые могут получать доступ к установленному программному обеспечению. С помощью AppLocker администратор может указать пользователя, которому нужно применить конкретное правило.