Applocker windows server 2016 настройка

We can implement AppLocker rules using group policy in a Windows domain to limit the execution of arbitrary executable files. AppLocker takes the approach of denying all executables from running unless they have specifically been whitelisted and allowed.

AppLocker is available in Windows Server 2008 R2 and newer, and Windows 7 Enterprise edition or newer on the client side. Note that it’s only available for particular editions, for example in Windows 10 you need Enterprise edition to make use of AppLocker. The AppLocker requirements can be found here.

Note that before you implement AppLocker rules in a production environment it is important to perform thorough testing. AppLocker will not allow anything to run unless it has been explicitly whitelisted, which could cause problems in your environment if users are not able to run required software to do their job.

This post is part of our Microsoft 70-744 Securing Windows Server 2016 exam study guide series. For more related posts and information check out our full 70-744 study guide.

Rule Types

Before proceeding let’s discuss the types of rules that we can create with AppLocker.

Executable Rules: These rules apply to executables, such as .exe and .com files.
Windows Installer Rules: These rules apply to files used for installing programs such as .msi, .mst and .msp files.
Script Rules: These rules apply to scripts such as .bat, .js, .vbs, .cmd, and .ps1 files.
Packaged App Rules: These rules apply to the Windows applications that may be downloaded through the Windows store with the .appx extension.

With each of these rules we can whitelist based on the publisher, path, or file hash.

Publisher: This method of whitelisting items is used when creating default rules as we’ll soon see, it works based on checking the publisher of the executable and allowing this. If the publisher, file name or version etc change then the executable will no longer be allowed to run.
Path: Executables can be whitelisted by providing a folder path, for example we can say that anything within C:\executables is allowed to be run by a specific active directory user group.
File Hash: While this may be the most secure option, it is inconvenient to work with and manage. If a file changes at all, for instance if an executable is updated, it will not be allowed to run as the allowed hash will have changed too.

Now we’ll actually implement AppLocker rules using group policy.

Implement AppLocker Rules

We’ll start by opening Server Manager, selecting Tools, followed by Group Policy Management.

From the Group Policy Management window that opens, we’ll select the group policy objects folder within the domain, right click and select new to create a new group policy object (GPO). In this case we’ll create one called AppLocker.

Once the base GPO has been created, right click it and select Edit. This will open the Group Policy Management Editor (GPME). From within GPME, select Computer Configuration > Policies > Windows Settings > Security Settings > AppLocker Control Policies > AppLocker.

From here we can view the main AppLocker interface where we can create executable, windows installer, script, and packaged app rules. We can get started with the default settings by clicking the “Configure rule enforcement” link on this screen which opens up the following window.

By default each of these four items is unticked and not enabled, we can tick the box next to “Configured” to enable it. This will set the rule to “Enforce rules” by default, however we can optionally click the drop down to change it to “Audit only” which will allow executable files to run and only log the action. In this case we’ll enable all items, leave them on enforcing, and click OK to save the settings.

Now that the rules are enforcing, we need to set the actual rules themselves. We’ll first create default AppLocker rules, followed by automatic AppLocker rules, and end with a custom AppLocker rule.

Default AppLocker Rules

We’ll first create the default rules, these are a baseline set of rules that still allow the operating system and built in applications to function normally. Right click the “Executable Rules” and select “Create Default Rules” as shown below.

We can see the default rules that have been created below.

These default rules allow all users to to execute files within the Program Files and Windows folders. Additionally, local administrators are able to execute anything anywhere, so it’s still important that administrator accounts only be used for administrative tasks, while standard user accounts are used everywhere else. If any of these actions are not desirable for you, simply delete or modify the rule.

We can also right click “Windows Installer”, “Script Rules”, and “Packaged App Rules” and create default rules there as well. With these default rules in place, if a non administrative user attempts to execute anything that is not within the directories specified above, they will receive an error.

Automatically Generate AppLocker Rules

While these default rules are a good starting point, ideally we should further customize the rules as per your organizational requirements. We can right click these items, and again we’ll select “Executable Rules”. Rather than “Create Default Rules” as shown previously select “Automatically Generate Rules”.

Note that this will generate custom rules based on the computer that you’re generating them on, in this case our domain controller where GPME is open. Ideally you would want to create AppLocker rules on a SOE image so that common elements that are deployed to all machines can have rules created for them.

From the Folder and Permissions window, we’ll just leave the defaults shown below and click next to proceed.

Next on the rule preferences screen we’ll leave the default and create publisher rules for files that are digitally signed. While using hashes is considered quite secure, it is also pretty inconvenient as new hashes would be required every time a file is updated or modified.

Finally on the review rules window, we can check the rules that will be created. Click the create button to proceed.

We’ll see an AppLocker warning advising that we should first create the default rules, select yes if you have not already created them as shown previously.

We can now see that our rules have been created.

Once the executable rules have been created for Executable Rules, we can do the same for Windows Installer Rules, Script Rules, and Packaged App Rules.

Custom AppLocker Rules

We can also create complete custom rules by right clicking any of the 4 rule items and selecting “Create Rule”.

On the before you begin page, click next.

On the permissions page, select if you want to allow or deny access and to the user or group in which it should apply.

On the conditions page, select if we want to allow or deny based on publisher, path, or file hash as discussed previously.

In this example I’ve selected path, so after clicking the browse folders button I can browse to the folder that I want to allow.

We can optionally add exclusions here, for instance we may want to allow a user to execute everything on their desktop except for a specified file.

Finally we can give our custom rule a name and description, by default the name will be automatically populated.

We can now see a summary of our custom rule below the default rules that we created earlier, confirming that it’s now active.

In order for AppLocker rules to work correctly, the client must be running the AppIDSvc service. Even if we implement AppLocker rules with group policy if the service is not actually running they will not be enforced.

Summary

We have used group policy to implement AppLocker rules within our Windows environment, preventing untrusted executable files from running which will help defend against a lot of security threats in Windows.

This post is part of our Microsoft 70-744 Securing Windows Server 2016 exam study guide series. For more related posts and information check out our full 70-744 study guide.

Источник

Время на прочтение
6 мин

Количество просмотров 27K

Предисловие

В первой части мы успешно развернули роль «терминальный сервер Windows» и приступили к его конфигурированию. Разобрались в методах организации хранения данных пользователей и определились что из этого мы будем использовать. Давайте приступим к настройке.

Конфигурирование хранения персональных данных пользователей

Для активации дисков профилей пользователя необходимо перейти в Службы удаленных рабочих столов > в разделе Свойства открываем меню Задачи > изменить свойства > Диски профилей пользователя

Ставим флаг напротив «Включить диски профилей пользователей».

Указываем путь до каталога на файловом сервере, где будут храниться VXDX диски профилей, и указываем размер 1 гб (Больше места нам не нужно, так как в диске будет храниться совсем мало данных но и меньше 1 гб сделать нельзя) и нажимаем применить

В результате в указанном каталоге будет создан базовый диск на основе которого будут создаваться диски профилей

Устраняем проблему с хромом

При использовании дисков профилей в Google Chrome возникает ошибка Error COULD NOT GET TEMP DIRECTORY, это связанно с тем что хром не может получить доступ к общей папке TEMP, потому переместим ее в другое место и дадим на нее права

Вам нужно настроить объект групповой политики, который выполняет две функции:

Для каждого пользователя, который входит в систему, создает личную папку в папке C: TEMP Изменить переменные среды TEMP и TMP Есть две настройки, которые можно применить на уровне пользователя.

1 — Создание личной папки в папке TEMP:

2 — Модификация переменных окружения:

Далее нам необходимо настроить миграцию профилей

Открываем «Управление групповой политикой «

Создаем объект Групповой политики и связываем его с Подразделением в котором расположены пользователи терминального сервера

Далее переходим Конфигурация пользователя > политики > Конфигурация Windows > Перенаправление папки

По каждому из представленных каталогов ПКМ > Свойства

В окне выбираем пункты

Перенаправлять папки для всех пользователей в одно расположение.
Создать папку для каждого пользователя на корневом пути
Указываем корневой путь (!Важно: данный путь должен быть доступен пользователям на запись)

На вкладке параметры снимаем все галочки и выбираем «После удаления политики оставить папку в новом расположении»

В результате данной настройки в указанном корневом пути будут создаваться каталоги с правами для своего владельца на изменение а для других с запретом чтения

Настройка политики ограниченного использования программ

Одним из важнейших аспектов настройки сервера является его безопасность . Потому нам необходимо ограничить список функций и программ которые имеет право использовать пользователь на сервере.

Спрячем логические диски от пользователей

Конфигурация пользователя > политики > Административные шаблоны > Компоненты windows > Проводник > выбираем политику Скрыть выбранные диски из окна мой компьютер > ставим включено и выбираем Ограничить доступ ко всем дискам

Убираем все лишнее с рабочих столов пользователей

Для этого создадим следующие групповые политики

Ограничение функционала проводника
Очищаем меню пуск

Ограничение функционала проводника

Идем Конфигурация пользователя > Политики > Административные шаблоны > Компоненты Windows > Проводник и включаем следующие политики

Запрашивать подтверждение при удалении файлов
Отключить возможности библиотеки Windows, использующие данные индексированных файлов
Запретить изменение видеоэффектов для меню
Скрыть значок «Вся сеть» в папке «Сеть»
Удалить меню «Файл» из проводника Удалить вкладку «Оборудование»
Скрыть команду «Управление» из контекстного меню проводника
Удалить «Общие документы» из окна «Мой компьютер»
Удалить команды «Подключить сетевой диск» и «Отключить сетевой диск»
Удалить ссылку «Повторить поиск» при поиске в Интернете
Удалить вкладку «Безопасность» Удалить кнопку «Поиск» из проводника

Набор правил Определяется в зависимости от ваших потребностей. Данные правила выбраны как хорошо зарекомендовавшие себя для нагруженного терминального сервера

Очищаем меню пуск

Идем Конфигурация пользователя > Политики > Административные шаблоны > Меню «Пуск» и панель задач

В данном разделе, все зависит от ваших потребностей. как показывает практика рядовой пользователь меню пуск особо не пользуется, так что зачем ему оставлять лишние кнопки, посему можно запретить все.

Запрет запуска программ

Для решения данной задачи есть 2 способа

1-й способ

При помощи политики «Выполнять только указанные приложения Windows» Указать список всех exe приложений которые будут доступны»

Данный метод проще в настройке, и однозначно блокирует все приложения кроме указанных (те что относятся к windows тоже)

У данного метода есть несколько недостатков

сложность администрирования, так как не всегда удается указать все необходимые EXE для корректной работы приложения (например с CryptoPro, или публикациями приложений и т.д)
назовем их «Энтузиасты » , которые пытаются запускать приложения переименовав их исполнительный файл в один из разрешенных
Проблема с обновлением приложений (Зачем же разработчикам ПО оставлять старые названия своих exe, и правда Зачем? )
Отсутствие какого либо журнала заблокированных политикой приложений

Настраивается следующим образом

Идем Конфигурация пользователя > Административные шаблоны > Система > Находим политику «Выполнять только указанные приложения Windows»

Включаем политику > Нажимаем кнопку «Показать» > В таблицу вносим разрешенное приложение. Крайне рекомендую для каждого приложения делать отдельную политику, для облегчения администрирования.

Далее нам Желательно на рабочем столе разместить ярлыки запуска приложения

Идем Конфигурация пользователя > Настройка > Конфигурация Windows > Ярлыки > Создать > Ярлык

После чего задаем параметры. !ВАЖНО на вкладке «Общие параметры поставить «Выполнять в контексте….»

Ура политика создана

Так как не всем пользователям нужны одни и те-же программы и права, то нацеливаем политику на группу безопасности В фильтрах безопасности удаляем группу «Прошедшие проверку» а на ее место добавляем группу в которую включены все пользователи данного приложения»

после чего ВАЖНО не забыть на вкладке Делегирование добавить группе «Прошедшие проверку» право на чтение политики (Иначе работать не будет)

2-й способ

Используем функцию AppLocker

Важно применять эту политику на подразделение где лежит ваш терминальный сервер. это позволит вам более оперативно редактировать список разрешенных приложений, так же когда она настроена работать под пользователем возникают непонятные баги. в данный момент я полностью перешел на использование данного метода для большинства внедрений

Создаем Групповую политику и связываем ее с подразделением, где лежит ваш терминальный сервер

идем Конфигурация компьютера > Конфигурация Windows > Параметры безопасности > Политики управления приложениями >applocker > Исполняемые правила > Создать правила по умолчанию

после чего идем Конфигурация компьютера > Конфигурация Windows > Параметры безопасности > Политики управления приложениями >applocker и тыкаем «Настроить применение правил»

в свойствах ставим настроено и выбираем только аудит для правил исполняемых файлов

в результате при заходе пользователя и попытке запуска программ в журнале просмотра событий на терминальном сервере расположенном

Журналы приложений и служб > Microsoft > Windows > AppLocker > EXE и DLL будут появляется события содержащие сведения о запускаемых приложениях, которые мы будем использовать для дальнейшей настройки политики

Вернемся в исполняемые правила и создадим правило на основе отчета журнала событий

ПКМ > Новое правило

выберем действие Разрешить, и в данном случае мы хотим чтобы под всеми пользователями данное приложение могло быть запущенно, но так же мы можем создать в домене группу безопасности в которую включим пользователей для которых данное правило будет применяться, тогда на этом шаге следует ее указать

Выберем условие Путь

Скопируем путь из отчета о событии

в исключения мы добавлять ничего не будем так что далее > Создать

Шаги следует повторить для каждого события из журнала, отсеивая те которые мы хотим запретить

После чего в свойствах applocker следует переключить «Только аудит» на «Принудительное применение правил»

В результате данных действий мы имеем эффективное хранение данных пользователей, и первично настроенную безопасность терминального сервера

И вновь у меня закончились буквы) продолжим в следующей части, рассмотрим настройку 1с , разграничения доступа к базам, поднимем производительность 1с на терминальном сервере фактически в двое, в обще продолжим в следующей части

Источник

AppLocker — это инструмент для управления доступом к приложениям в операционной системе Windows Server 2016. Он позволяет администраторам устанавливать ограничения на запуск приложений в сети. Благодаря этому, они могут защитить свою инфраструктуру от вредоносного программного обеспечения и потенциальных угроз безопасности.

Однако, настройка и использование AppLocker может вызвать определенные сложности для пользователей, особенно для тех, кто только начинает использовать этот инструмент. В этой статье мы предоставим некоторые лучшие практики и полезные советы по настройке и использованию AppLocker в Windows Server 2016.

Прежде всего, перед использованием AppLocker необходимо провести анализ приложений, установленных на сервере. Это поможет вам понять, какие из них должны быть разрешены, а какие — запрещены. Рекомендуется создать список разрешенных приложений, а затем установить ограничения на запуск остальных.

Важно учитывать, что настройка AppLocker может потребовать определенного времени и тщательной проверки. Поэтому рекомендуется проводить тестирование в контролируемой среде перед применением настроек на продуктивных серверах.

Содержание

Основные концепции AppLocker
Установка и настройка AppLocker
Создание и управление правилами AppLocker
Аудит и мониторинг в AppLocker
Лучшие практики использования AppLocker
Решение проблем с AppLocker

Основные концепции AppLocker

Правила: AppLocker использует набор правил для определения, какие программы могут быть запущены на конкретном устройстве. Правила могут базироваться на различных факторах, таких как имя файла, издатель или путь к файлу. Администраторы могут создавать правила для различных типов файлов, включая исполняемые файлы, скрипты, установочные пакеты и библиотеки DLL.
Группы правил: AppLocker позволяет комбинировать правила в группы, которые можно назначать на устройства. Группы правил облегчают управление политикой безопасности и позволяют гибко настраивать правила для различных групп пользователей или компьютеров.
Типы правил: AppLocker поддерживает несколько типов правил, включая правила запрета и правила разрешения. Правила запрета указывают, какие программы нельзя запускать, в то время как правила разрешения определяют, какие программы допустимы. Комбинирование этих типов правил позволяет точно настроить политику безопасности AppLocker.
Уровни применения: AppLocker позволяет настроить уровни применения для правил, которые могут различаться для разных групп устройств. Например, можно настроить более строгие правила для серверов и более мягкие правила для рабочих станций.
Аудит: AppLocker позволяет записывать информацию о попытках выполнения программ, которые не соответствуют правилам безопасности. Аудит позволяет администраторам контролировать события и выявлять потенциальные нарушения безопасности.

В целом, AppLocker предоставляет мощный механизм для контроля запуска программ и обеспечения безопасности в Windows Server 2016. Правильное использование основных концепций AppLocker может значительно повысить уровень безопасности в организации и защитить системы от вредоносных программ и несанкционированного выполнения исполняемых файлов и скриптов.

Установка и настройка AppLocker

Для установки AppLocker необходимо выполнить следующие шаги:

Запустите «Серверный менеджер» на сервере Windows Server 2016.
Выберите «Добавить роли и компоненты» в главном окне «Серверный менеджер».
Пройдите мастер установки ролей и компонентов до шага выбора ролей.
Выберите «Файловые и хранения информации» в списке доступных ролей для установки.
В появившемся списке компонентов выберите «AppLocker» в «Подкомпоненты файловой службы Windows».
Продолжайте мастер установки, нажимая «Далее» и «Установить», пока не завершите установку.

После установки AppLocker вы можете приступить к его настройке:

Запустите «Серверный менеджер» на сервере Windows Server 2016.
Перейдите в «Локальные политики» и выберите «Рабочие станции и серверы».
Щелкните правой кнопкой мыши по «Политика безопасности» и выберите «Свойства».
В разделе «Дополнительно» выберите «Управление приложениями».
В разделе «AppLocker» выберите «Настроить правила и опции» и нажмите «Далее».
Создайте правила для блокировки или разрешения доступа к приложениям, используя графический интерфейс AppLocker.
Сохраните изменения.

После настройки AppLocker вам следует протестировать его работу, убедившись, что правила применяются, как ожидалось, и не блокируют необходимые приложения. В случае возникновения проблем вы можете проверить журнал событий или обратиться за помощью к профессионалам в области безопасности Windows Server.

Создание и управление правилами AppLocker

Для создания и управления правилами AppLocker в Windows Server 2016, вы можете следовать следующим шагам:

Откройте «Панель управления» и выберите «Система и безопасность».
Выберите «AppLocker» в списке доступных параметров безопасности.
Выберите «Настройка правил AppLocker» и нажмите «Создать новое правило».
Выберите тип правила, которое вы хотите создать. Например, вы можете создать правило для блокировки определенных программ или правило для разрешения запуска только определенных программ.
Укажите путь к программе, к которой вы хотите применить правило, или выберите путь к файлам с помощью средств, предоставленных AppLocker.
Нажмите «Далее» и установите дополнительные параметры правила, такие как условия применения и типы действий, которые будут приняты, если правило будет соответствовать.
После завершения настройки правила, нажмите «Готово» и сохраните правило.

Правила AppLocker могут быть построены на основе различных параметров, таких как имя файла, имя публикации, хеш-код файла и т. д. Вы можете создать несколько правил и установить их в соответствии с требованиями вашей организации.

Управление правилами AppLocker также включает возможность редактирования, удаления и экспорта правил для дальнейшего использования. Вы можете легко вносить изменения в правила AppLocker и адаптировать их под изменяющиеся потребности вашей сети.

Аудит и мониторинг в AppLocker

AppLocker в Windows Server 2016 предоставляет возможности для аудита и мониторинга приложений и скриптов. Эти функции позволяют администраторам отслеживать попытки запуска или доступа к запрещенным приложениям, а также мониторить все события, связанные с AppLocker.

Для настройки аудита в AppLocker необходимо выполнить следующие шаги:

Шаг	Описание
Шаг 1	Откройте групповую политику «Локальная групповая политика» или «Групповая политика домена», в зависимости от того, настроен ли AppLocker локально или на уровне домена.
Шаг 2	Перейдите к разделу «Конфигурация компьютера» -> «Настройки Windows» -> «Политики безопасности» -> «Политика приложений».
Шаг 3	Откройте подраздел «Конфигурация запрещенных приложений» или «Конфигурация разрешенных приложений», в зависимости от того, к какому разделу применяется аудит.
Шаг 4	Щелкните правой кнопкой мыши на пустом месте в правой части окна и выберите «Аудит настройки политики».
Шаг 5	Выберите нужные параметры аудита (например, «Успешное выполнение политики» или «Несоответствие политики») и нажмите «OK».

Теперь AppLocker будет аудитировать все события, связанные с запретом или разрешением приложений.

Для просмотра и анализа событий аудита в AppLocker можно использовать стандартные инструменты администрирования Windows, такие как «Журнал событий». В «Журнале событий» можно найти записи о событиях аудита AppLocker и проанализировать их для выявления потенциальных угроз или нарушений политики безопасности.

Аудит и мониторинг в AppLocker представляют собой важные инструменты для обеспечения безопасности и контроля над приложениями. Регулярное мониторирование событий аудита позволит своевременно обнаружить и предотвратить несанкционированный доступ к запрещенным приложениям и скриптам в среде Windows Server 2016.

Лучшие практики использования AppLocker

1. Правильно настроить политику безопасности:

Прежде чем начать использовать AppLocker, необходимо правильно настроить политику безопасности. Убедитесь, что включена политика «Application Identity» и «Application Control Policies». Дополнительно может потребоваться настройка других политик безопасности в зависимости от ваших потребностей.

2. Создайте различные правила для разных групп пользователей:

Разные группы пользователей могут иметь различные требования в отношении доступа к программам. Создание разных правил для разных групп пользователей поможет установить точный уровень доступа к программам и обеспечить безопасность данных.

3. Регулярно обновляйте правила AppLocker:

Новые программы постоянно появляются, поэтому важно регулярно обновлять правила AppLocker, чтобы быть в курсе всех новых приложений, которые ваши пользователи могут использовать. Это поможет избежать блокировки необходимых программ и обеспечит более точную защиту.

4. Тестирование перед внедрением:

Перед внедрением AppLocker на реальных компьютерах, важно провести тестирование на тестовой среде. Проверьте, что все правила работают корректно и не блокируют разрешенные программы. Тестирование поможет избежать возможных проблем и снизит риск блокировки необходимых приложений.

5. Мониторинг и анализ:

После внедрения AppLocker важно постоянно мониторить и анализировать логи событий, чтобы выявить любую подозрительную активность. Это поможет обнаружить попытки нарушения безопасности и предпринять необходимые меры.

Сводка лучших практик

Практика	Описание
Правильно настроить политику безопасности	Убедитесь, что включены необходимые политики безопасности для использования AppLocker
Создайте различные правила для разных групп пользователей	Установите точный уровень доступа к программам для каждой группы пользователей
Регулярно обновляйте правила AppLocker	Обновляйте правила AppLocker, чтобы быть в курсе новых программ
Тестирование перед внедрением	Проведите тестирование на тестовой среде перед использованием AppLocker на реальных компьютерах
Мониторинг и анализ	Мониторинг логов событий и анализ подозрительной активности

Следуя этим лучшим практикам, вы сможете эффективно использовать AppLocker и обеспечить безопасность программ на компьютерах, работающих на Windows Server 2016.

Решение проблем с AppLocker

Проблема 1: Приложение не запускается после настройки правил AppLocker. Если после настройки правил AppLocker приложение не запускается, в первую очередь стоит проверить правильность конфигурации правил. Убедитесь, что правила позволяют запуск нужных приложений. Также, убедитесь, что размер исполняемого файла не превышает максимально допустимое значение (по умолчанию 20 МБ).
Проблема 2: Bloсk уровень не блокирует нежелательные приложения. Если приложение, которое должно быть заблокировано на уровне Bloсk, все равно запускается, возможно, оно запускается из недоступной области (например, съемного устройства или сетевой папки). Дополнительно проверьте системной журнал событий на предмет появления ошибок с AppLocker.
Проблема 3: Все приложения блокируются после включения AppLocker. Если после включения AppLocker все приложения стали недоступными для запуска, возможно, вы настроили правила неправильно. Убедитесь, что правила позволяют доступ к нужным приложениям. Также, убедитесь, что активирована возможность использования папки с исполняемыми файлами для разрешения запуска приложений.
Проблема 4: Правила AppLocker неправильно работают после обновления операционной системы. Если после обновления операционной системы правила AppLocker перестали работать, рекомендуется проверить, что все настройки и правила правильно передались в новую версию системы. Возможно, при обновлении произошли изменения, которые повлияли на конфигурацию AppLocker.

Если вы не можете самостоятельно решить возникшие проблемы с AppLocker, рекомендуется обратиться к документации Windows Server 2016 или к специалистам технической поддержки.

Источник

This post is part of our Microsoft 70-744 Securing Windows Server 2016 exam study guide series. For more related posts and information check out our full 70-744 study guide.

Rule Types

Before proceeding let’s discuss the types of rules that we can create with AppLocker.

Executable Rules: These rules apply to executables, such as .exe and .com files.
Windows Installer Rules: These rules apply to files used for installing programs such as .msi, .mst and .msp files.
Script Rules: These rules apply to scripts such as .bat, .js, .vbs, .cmd, and .ps1 files.
Packaged App Rules: These rules apply to the Windows applications that may be downloaded through the Windows store with the .appx extension.

With each of these rules we can whitelist based on the publisher, path, or file hash.

Publisher: This method of whitelisting items is used when creating default rules as we’ll soon see, it works based on checking the publisher of the executable and allowing this. If the publisher, file name or version etc change then the executable will no longer be allowed to run.
Path: Executables can be whitelisted by providing a folder path, for example we can say that anything within C:executables is allowed to be run by a specific active directory user group.
File Hash: While this may be the most secure option, it is inconvenient to work with and manage. If a file changes at all, for instance if an executable is updated, it will not be allowed to run as the allowed hash will have changed too.

Now we’ll actually implement AppLocker rules using group policy.