From Wikipedia, the free encyclopedia
AppLocker is an application whitelisting technology introduced with Microsoft’s Windows 7 operating system. It allows restricting which programs users can execute based on the program’s path, publisher, or hash,[1] and in an enterprise can be configured via Group Policy.
Summary
Windows AppLocker allows administrators to control which executable files are denied or allowed to execute. With AppLocker, administrators are able to create rules based on file names, publishers or file location that will allow certain files to execute. Unlike the earlier Software Restriction Policies, which was originally available for Windows XP and Windows Server 2003,[2] AppLocker rules can apply to individuals or groups. Policies are used to group users into different enforcement levels. For example, some users can be added to an ‘audit’ policy that will allow administrators to see the rule violations before moving that user to a higher enforcement level.
AppLocker availability charts
Starter | Home Basic | Home Premium | Professional | Enterprise | Ultimate |
---|---|---|---|---|---|
No | No | No | Create policies, but cannot enforce | Create and enforce policies | Create and enforce policies |
RT | (Core) | Pro | Enterprise |
---|---|---|---|
No | No | No | Yes |
Home | Pro | Enterprise | Education |
---|---|---|---|
Yes | Yes | Yes | Yes |
Bypass techniques
There are several generic techniques for bypassing AppLocker:
- Writing an unapproved program to a whitelisted location.
- Using a whitelisted program as a delegate to launch an unapproved program.[8][9][10][11]
- Hijacking the DLLs loaded by a trusted application in an untrusted directory.[12]
References
- ^ «AppLocker». Microsoft TechNet. Microsoft. Retrieved 23 August 2012.
- ^ «Using Software Restriction Policies to Protect Against Unauthorized Software». Microsoft TechNet. Microsoft. Retrieved 27 July 2017.
- ^ «Windows Versions That Support AppLocker». Microsoft. Retrieved 27 July 2017.
- ^ Visser, Erwin (18 April 2012). «Introducing Windows 8 Enterprise and Enhanced Software Assurance for Today’s Modern Workforce». Windows for your Business. Microsoft. Archived from the original on 25 December 2012. Retrieved 22 November 2012.
- ^ Dudau, Vlad (10 June 2015). «Microsoft shows OEMs how to market Windows 10; talks features and SKUs». Neowin. Neowin LLC. Retrieved 19 June 2015.
- ^ «Find out which Windows is right for you». Microsoft. Microsoft Inc. Retrieved 2 July 2015.
- ^ «Removal of Windows edition checks for AppLocker». Microsoft. Microsoft Inc. Retrieved 22 February 2023.
- ^ «AppLocker Bypass – InstallUtil». Penetration Testing Lab. 8 May 2017. Retrieved 27 July 2017.
- ^ «AppLocker Bypass Techniques». Evi1cg’s blog. Retrieved 27 July 2017.
- ^ «How to Bypass Windows AppLocker». Hacking Tutorial. 19 April 2017. Retrieved 27 July 2017.
- ^ «caseysmithrc/gethelp.cs». Github Gist. Archived from the original on 14 May 2019. Retrieved 14 May 2019.
- ^ «Bypassing Application Whitelisting». CERT/CC Blog. Retrieved 27 July 2017.
блокировка_запуска_приложений_win_10_iot_enterprise
Содержание
Ограничение запуска приложений
Информация в данном разделе актуальна для Windows 10: 1809.
AppLocker позволяет запретить или разрешить запуск определенных приложений для определенных пользователей или групп пользователей.
Настройки AppLocker’а находятся в локальной групповой политике
«Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Политики управления приложениями\AppLocker»
(Computer Configuration\Windows Settings\Security Settings\Application Control Policies\AppLocker)
В разделе «AppLocker» можно указать политику применения правил:
-
Не настроено
-
Аудит
-
Принудительное применение правил
В подразделах находятся разделы с настройками правил AppLocker’а.
Перед включением AppLocker’а необходимо создать правила по умолчанию или минимально необходимый набор правил для корректной работы системы.
Создание правил по умолчанию
Необходимо создать правила по умолчанию в разделах:
-
«Исполняемые правила» / (Executable Rules)
-
«Правила упакованных приложений» / (Packaged app Rules)
Для создания правил по умолчанию необходимо нажать правой кнопкой мыши на соответствующем разделе и выбрать пункт «Создать правила по умолчанию» / (Create Default Rules)
Без создания вышеуказанных правил система будет некорректно работать после включения AppLocker’а
Включение AppLocker’а
Для включения AppLocker’а необходимо перевести службу AppLocker’а в автоматический режим запуска и запустить ее. Для этого необходимо выполнить нижеуказанные команды в консоли, которая запущена с повышенными привилегиями:
sc config AppIDSvc start=auto net start AppIDSvc
AppLocker начнет работу НЕ сразу после запуска службы.
Узнать состояние работы AppLocker’а можно в просмотре событий.
«Просмотр событий \ Журналы приложений и служб \ Microsoft \ Windows \ AppLocker \ EXE и DLL»
(Event Viewer \ Application and Services Logs \ Microsoft \ Windows \ AppLocker \ EXE и DLL)
Ветка журнала «Журналы приложений и служб» / (Application and Services Logs) открывается не сразу, ее открытие может занять некоторое время.
AppLocker не будет работать до тех пор пока в разделе журнала «EXE и DLL» не появится сообщение о том, что политика AppLocker’а применена к системе – код события 8001.
В журнале нет автоматического обновления отображения содержимого, для обновления отображаемых данных в журнале необходимо нажать «F5»
Настройка правил
Правила по умолчанию позволяют всем пользователям запускать файлы исполнения, которые находятся в папках «Windows» и «Program Files». Запуск остальных файлов разрешен только группе «Администраторы». Запуск упакованных приложений разрешен всем пользователям.
Для настройки правил по белому списку — запрещено все, кроме того, что разрешено, необходимо настроить разрешения только для группы «Администраторы» или для учетной записи администратора.
Если вы не знаете какие разрешения необходимо установить для корректной работы пользователя, то можно включить режим аудита, при котором ограничения AppLocker’а не будут действовать, но будут записаны сообщения в журнал о том, что выполнение было бы запрещено, если бы действовали правила AppLocker’а
Для включения режима аудита выберите пункт «AppLocker» в редакторе локальной групповой политики по ранее указанному пути. В правой части редактора нажмите левой кнопкой мыши на пункте «Настроить применение правил» \ (Configure rule enforcement). В необходимом разделе поставьте флажок «Настроено» \ (Configured) и в выпадающем меню выберите пункт «Только аудит» \ (Audit only).
После включения режима аудита запустите все программы, которые будет запускать пользователь и посмотрите в журнале AppLocker’а запуск каких программ был бы запрещен.
Во время сбора сведений в режиме аудита необходимо входить в учетную запись пользователя так, как это будет делать пользователь. Т.е. если вход в учетную запись пользователя будет автоматический после загрузки системы, то загрузите систему со входом в учетную запись, не нужно просто переходить из одной учетной записи в другую.
По результатам аудита добавьте разрешения на запуск программ, необходимых для пользователя, а затем отключите режим аудита и проверьте работу системы.
Или можно автоматически создать правила на основании результатов аудита.
Автоматическое создание правил по результатам аудита
Пример для автоматического создания правил на основании результатов аудита с помощью PowerShell:
Get-ApplockerFileinformation -Eventlog -EventType Audited | New-ApplockerPolicy -RuleType Hash, Publisher -User (Имя пользователя) -RuleNamePrefix AuditBased | Set-ApplockerPolicy –Merge
В данном примере:
-
«Get-ApplockerFileinformation -Eventlog -EventType Audited» — получает события типа «Аудит»
-
«New-ApplockerPolicy» — создает новые правила
-
«-RuleType Hash, Publisher» — создает новые правила на основании «Hash», если не доступен «Hash», то правило будет создано на основе «Publisher». Если поменять значения местами, то изменится приоритет и первичным будет «Publisher».
-
«User» — В значении «User» необходимо указать SID пользователя или группы.
-
«RuleNamePrefix» — определяет строку, которая будет добавлена к названию создаваемого правила
-
-
«Set-ApplockerPolicy» — применяет правила к системе
-
«Merge» — параметр указывающий на то, что правила необходимо добавить к уже существующим, без данного ключа новые правила заменят существующие правила
-
Для уменьшения количества создаваемых правил можно использовать параметр «Optimize» для командлета «New-ApplockerPolicy», но это может ухудшить наглядное представление правил.
Описание команд AppLocker’а можно посмотреть здесь
Отключение AppLocker’а
Правила AppLocker’а будут действовать после остановки службы. Чтобы правила AppLocker’а перестали действовать необходимо из папки «С:\Windows\System32\AppLocker» удалить файлы:
-
Appx.AppLocker
-
Dll.AppLocker
-
Exe.AppLocker
-
Msi.AppLocker
-
Script.AppLocker
Для возобновления работы AppLocker’а необходимо вернуть файлы обратно в папку.
Чтобы изменения вступили в силу необходимо перезагрузить систему.
Проблемы и решения
Изменение параметров запуска службы AppLocker’а
При изменении параметров запуска службы AppLocker’а система может сообщить о том, что недостаточно прав. Изменить параметры запуска службы можно в реестре
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AppIDSvc
За тип запуска отвечает параметр «Start»:
-
2 — Автоматически
-
З – Вручную
Система не загружается после запечатывания в режиме OOBE
AppLocker запрещает запуск того, что явно разрешено
Проверьте, что служба «Удостоверение приложения» запущена. Статус работы службы можно узнать с помощью команды «Get-Service AppIDSvc».
Если служба остановлена запустите ее и переведите в автоматический режим запуска.
AppLocker разрешает запуск того, чего нет в разрешениях
-
Проверьте не установлен ли режим применения правил «Только аудит»
-
Переведите режим применения правил в «Принудительное применение правил»
-
Выполните команду «gpupdate /force»
Официальная документация
· Последние изменения: 2022/12/30 14:01 —
vladimir
Operating system security
What is AppLocker?
AppLocker is an application whitelisting feature which helps an organization to control what apps and files can be run by the user. AppLocker was first introduced with Windows 7 OS, Windows Server 2008 R2.
AppLocker provides a simple interface to prevent or block an application from running by unintended users. These include Windows Installer Files, executable files, dynamic-link libraries (DLLs), packaged app installers, scripts, packaged apps and so on.
Learn Windows 10 Host Security
Build your Windows skills with 13 courses covering Windows registry, services, processes, toolset and more.
AppLocker overview
AppLocker is inbuilt into Windows OS enterprise-level edition and needs no additional installation onto the system. For standalone systems, rules can be enforced using the Local Security Policy editor (secpol.msc). For a group of computers, it can be done using the Group Policy Management Console.
AppLocker rules
AppLocker is capable of blocking different file types. The following are the types of files AppLocker is capable of blocking.
- Executable files like .exe, .com
- Windows installer files like .mst, .msi and .msp
- Executable files like .bat, .ps1, .cmd, .js and .vbs
- DLL executables
- Packaged app installers like .appx
Creating AppLocker rules
The following are the steps to create a rule in AppLocker.
Type local security policy and click “Run as Administrator”.
Under Application Control Policies, right-click on Executable Rules under AppLocker as shown.
Click on Default Rules. Default Rules get created, as shown below.
Create New Rule by right-clicking Executable Rules, as shown.
Click Next. Select Deny for denying certain files from getting executed. By default, rules applies to everyone, you can select User or Group as per the need:
Select File Hash, as shown.
Select Browse Folders and navigate to the path for the executable/file you want to deny execution. We will deny Notepad++ from being executed, as shown.
Click OK. Notepad++ Files not allowed to execute get populated, as shown.
Click Next, give the name for the rule and click Create, as shown.
The rule to block Notepad++ gets created and users are not allowed to execute Notepad++ on the system. Now close Local Security Policy Editor.
That’s how simple it is to use AppLocker to block any file from getting executed.
Learn Windows 10 Host Security
Build your Windows skills with 13 courses covering Windows registry, services, processes, toolset and more.
Sources
- What Is AppLocker?, Microsoft
- Use AppLocker to create a Windows 10 kiosk that runs multiple apps, Microsoft
- AppLocker, Microsoft
- How to Use AppLocker to Allow or Block Executable Files from Running in Windows 10, Windows TenForums
- AppLocker in Windows 10 Enterprise, Michael Firsov (WordPress)
Nitesh Malviya
Nitesh Malviya is a Security Consultant. He has prior experience in Web Appsec, Mobile Appsec and VAPT. At present he works on IoT, Radio and Cloud Security and open to explore various domains of CyberSecurity. He can be reached on his personal blog — https://nitmalviya03.wordpress.com/ and Linkedin — https://www.linkedin.com/in/nitmalviya03/.
AppLocker — это мощный инструмент безопасности, доступный в операционной системе Windows 10 Home. Он предоставляет возможность ограничить доступ пользователей к определенным приложениям и скриптам, что повышает уровень защиты вашей системы и конфиденциальности данных.
В этой статье мы рассмотрим полезные советы и инструкции по использованию AppLocker в Windows 10 Home. Мы покажем вам, как настроить правила доступа, блокировать нежелательные приложения и предотвращать несанкционированный доступ к вашим данным.
Прежде чем начать использовать AppLocker, необходимо убедиться, что ваша операционная система поддерживает эту функцию. В Windows 10 Home она доступна только в версии Pro и выше. Если у вас установлена версия Home, вы можете обновить ее до более продвинутой версии, чтобы воспользоваться всеми возможностями AppLocker.
В дальнейшем мы рассмотрим, как установить и настроить AppLocker на вашей системе, создавать правила доступа и управлять списками разрешенных и запрещенных приложений. Мы также поделимся рекомендациями по использованию AppLocker для повышения безопасности вашего компьютера.
Содержание
- Установка и настройка AppLocker
- Создание политик безопасности
- Разрешение или запрещение запуска приложений
- Управление доступом к файлам и папкам
- Аудит изменений в настройках системы
- Использование правил исключений
- Резервное копирование и восстановление настроек
Установка и настройка AppLocker
- Откройте «Панель управления» и выберите раздел «Программы».
- Щелкните по ссылке «Включить или отключить компоненты Windows».
- В открывшемся окне «Переключение компонентов Windows» найдите раздел «AppLocker».
- Убедитесь, что флажок рядом со «Службой управления приложениями AppLocker» установлен.
- Нажмите «ОК» и дождитесь завершения процесса установки.
После установки AppLocker вы можете начать настраивать ограничения на использование приложений. Вот некоторые полезные советы:
- Используйте групповые политики для настройки правил AppLocker.
- Установите ограничения на использование конкретных приложений или категорий приложений.
- Настройте правила для пользователей или групп пользователей.
- Проверьте, работает ли AppLocker правильно, попытавшись запустить ограниченные приложения.
- Обновляйте правила, когда это необходимо, чтобы отражать изменения в используемых приложениях.
Соблюдая эти рекомендации, вы сможете успешно установить и настроить AppLocker в Windows 10 Home.
Создание политик безопасности
AppLocker предоставляет функционал для создания и управления политиками безопасности, которые определяют правила доступа к приложениям и скриптам на вашем компьютере. В этом разделе вы узнаете, как создать политики безопасности с помощью AppLocker в Windows 10 Home.
Шаг 1: Откройте консоль управления политиками безопасности, нажав сочетание клавиш Win + R и введя команду «secpol.msc».
Шаг 2: В левой панели выберите «Polices», а затем «Application Control Policies».
Шаг 3: Щелкните правой кнопкой мыши по «AppLocker» и выберите «Properties».
Шаг 4: В окне «Properties» перейдите на вкладку «Executable Rules», чтобы создать правила доступа к исполняемым файлам.
Шаг 5: Щелкните правой кнопкой мыши в области «Executable Rules» и выберите «Create New Rule».
Шаг 6: В появившемся окне «Create Executable Rule» выберите тип правила, например, «Publisher» или «Hash». Затем укажите параметры правила, такие как издатель или хеш-сумму.
Шаг 7: Нажмите «Next» и выберите, к каким группам пользователей будет применяться это правило. Вы можете выбрать «Everyone» или определенные группы пользователей.
Шаг 8: Нажмите «Next» и укажите, каким приложениям следует применять это правило: всем или только определенным.
Шаг 9: Нажмите «Next» и укажите, как обработать файлы, не соответствующие этому правилу: запретить или разрешить.
Шаг 10: Нажмите «Next» и укажите имя и место сохранения правила. Затем нажмите «Create» для создания политики безопасности.
После создания политики безопасности она будет применяться к указанным приложениям и скриптам на вашем компьютере, обеспечивая дополнительный уровень защиты от нежелательных или вредоносных программ.
Создавайте политики безопасности с помощью AppLocker, чтобы защититься от угроз и обеспечить безопасное использование компьютера.
Разрешение или запрещение запуска приложений
AppLocker в Windows 10 Home позволяет пользователю контролировать, какие приложения можно запускать, а какие следует запретить. Это очень полезная функция, которая помогает защитить компьютер от потенциально вредоносных программ и ограничить доступ к ненужным или нежелательным приложениям.
Для разрешения или запрещения запуска приложений с помощью AppLocker в Windows 10 Home необходимо выполнить следующие шаги:
- Откройте панель управления и выберите «Система и безопасность».
- В разделе «Административные инструменты» выберите «AppLocker».
- В окне AppLocker выберите «Разрешить или запретить запуск файлов» и затем щелкните на «Создать новое правило».
- Выберите тип правила, которое вы хотите создать (например, «Разрешить все программы, кроме указанных» или «Запретить все программы, кроме указанных»).
- Выберите тип файлов, к которым применяется правило (например, исполняемые файлы, скрипты, установочные файлы и т. д.).
- Укажите путь к файлам, к которым будет применяться правило.
- Нажмите «Далее», чтобы перейти к настройке условий применения правила.
- Выберите условия, которые должны быть выполнены, чтобы правило сработало (например, пользователи, группы или компьютеры).
- Нажмите «Далее», чтобы перейти к настройке исключений правила (если необходимо).
- Просмотрите настройки правила в окне «Сводка» и нажмите «Готово», чтобы создать правило.
После создания правила AppLocker будет контролировать запуск указанных приложений в соответствии с установленными условиями. Вы также можете редактировать или удалять правила в любое время в окне AppLocker.
Управление разрешением или запрещением запуска приложений с помощью AppLocker позволяет повысить безопасность и эффективность работы вашего компьютера под управлением Windows 10 Home.
Управление доступом к файлам и папкам
AppLocker позволяет гибко настраивать доступ пользователей к файлам и папкам на компьютере с операционной системой Windows 10 Home. Эта функция особенно полезна, если вы хотите ограничить доступ к конфиденциальным данным или защитить системные файлы.
Если вам нужно установить ограничения на доступ к определенным файлам или папкам, вы можете воспользоваться следующими инструкциями:
- Запустите AppLocker, нажав комбинацию клавиш Win + R и введя команду «secpol.msc».
- Перейдите в раздел «Политики приложений» и выберите «Правила файла».
- Щелкните правой кнопкой мыши в области правил файла и выберите «Создать новое правило».
- Выберите тип правила, которое вы хотите создать. Например, вы можете ограничить доступ по пути, расширению файла или имени файла.
- Укажите параметры правила, такие как путь к файлу или папке, которую вы хотите ограничить.
- Выберите действие, которое должно применяться к файлу или папке. Вы можете разрешить доступ, запретить его или установить ограничение на выполнение файла.
- Подтвердите создание правила, нажав кнопку «Готово».
После создания правила, AppLocker будет автоматически применять его при попытке доступа к файлу или папке в соответствии с заданными параметрами. Это обеспечивает надежную защиту ваших данных и позволяет более точно контролировать доступ пользователей к файлам и папкам.
Важно: При настройке правил AppLocker следует быть осторожным, чтобы не заблокировать доступ к важным системным файлам или программам. Рекомендуется ознакомиться с документацией Microsoft или проконсультироваться с IT-специалистом перед внесением изменений в настройки доступа.
Аудит изменений в настройках системы
AppLocker в Windows 10 Home позволяет контролировать доступ пользователей к определенным приложениям и файлам. Однако иногда может возникнуть необходимость отслеживать изменения, вносимые в настройки системы. Для этого можно использовать аудит изменений.
Аудит изменений позволяет записывать события, связанные с изменением параметров настройки системы. Это может быть полезно для обнаружения попыток несанкционированного доступа или внесения изменений в систему.
Чтобы включить аудит изменений в настройках системы, необходимо выполнить следующие шаги:
- Откройте «Панель управления» через «Пуск».
- Выберите «Система и безопасность», а затем «Администрирование».
- В разделе «Локальная политика» выберите «Аудит либо безопасность» и «Локальная политика безопасности».
- Дважды щелкните «Аудит изменения объекта».
- Выберите «Успешное» или «Неуспешное» выполнение для нужных категорий событий.
- Нажмите «ОК», чтобы сохранить изменения.
После включения аудита изменений система будет записывать события в журнале аудита системы с соответствующими подробностями о внесенных изменениях.
Для просмотра журнала аудита изменений выполните следующие действия:
- Откройте «Меню Пуск» и введите «Просмотр событий».
- Выберите «Просмотр событий» в результате поиска.
- В левой панели выберите «Журналы Windows», затем «Безопасность».
- Выберите «Фильтр текущего журнала» из действий в правой панели.
- Выберите «Аудит изменения объекта» в списке «Выбор событий».
- Нажмите «ОК», чтобы применить фильтр.
Теперь вы сможете видеть записи о внесенных изменениях, включая информацию о пользователях, дате и времени изменений.
Аудит изменений в настройках системы в Windows 10 Home полезен для обеспечения безопасности и контроля изменений, которые могут повлиять на работу системы.
Использование правил исключений
AppLocker позволяет создавать правила блокировки и разрешения для различных типов файлов и приложений. Однако есть ситуации, когда требуется сделать исключение и разрешить доступ к определенному файлу или приложению, не нарушая общих правил безопасности. Для этого можно использовать правила исключений.
Чтобы создать исключение, необходимо выполнить следующие шаги:
- Откройте «Панель управления» и найдите раздел «Безопасность и обслуживание».
- Выберите «AppLocker» и перейдите в раздел «Внешнее правило».
- Нажмите на кнопку «Создать исключение» и выберите тип исключения (файл или приложение).
- Укажите путь к файлу или приложению, для которого нужно создать исключение, и сохраните изменения.
Исключение будет применяться к выбранному файлу или приложению, позволяя ему работать несмотря на настроенные правила блокировки.
Правила исключений могут быть полезны в различных ситуациях. Например, если у вас есть важный файл, который должен быть доступен для всех пользователей, независимо от правил безопасности. В этом случае можно создать исключение для этого файла и разрешить доступ к нему без ограничений.
Однако следует использовать правила исключений с осторожностью, так как они могут создавать возможности для злоумышленников обойти систему защиты. Рекомендуется создавать исключения только для проверенных и доверенных файлов и приложений, а также регулярно анализировать и обновлять правила безопасности в AppLocker.
Использование правил исключений в AppLocker может значительно упростить работу со встроенными правилами безопасности и позволить гибко настраивать доступ к файлам и приложениям в операционной системе Windows 10 Home.
Резервное копирование и восстановление настроек
Если вы настроили AppLocker на Windows 10 Home и хотите сделать резервную копию своих настроек или восстановить предыдущую конфигурацию, то у вас есть несколько вариантов.
Самым простым способом является использование встроенной в Windows утилиты «резервное копирование и восстановление». Для этого:
- Откройте панель управления и перейдите в раздел «Система и безопасность».
- Выберите «Резервное копирование и восстановление».
- В выпадающем меню выберите «Создать образ системы».
- Выберите место для сохранения образа системы, например, внешний жесткий диск или сетевую папку.
- Нажмите кнопку «Сохранить» и следуйте инструкциям на экране для завершения процесса резервного копирования.
Если вам необходимо восстановить резервную копию настроек AppLocker, выполните следующие действия:
- Откройте «Резервное копирование и восстановление» как описано выше.
- Выберите «Восстановление системы» и следуйте инструкциям на экране для восстановления резервной копии.
Обратите внимание, что восстановление системы может привести к потере некоторых изменений, произведенных после создания резервной копии.
Другим вариантом резервного копирования и восстановления настроек AppLocker является использование сторонних программных средств, предоставляемых разработчиками. Они обычно предлагают более гибкие настройки и возможность сделать резервную копию только конкретных настроек, а не всей системы в целом.
В этой статье рассмотрим механизм AppLocker, который позволяет блокировать запуск определенных приложений для некоторых групп пользователей.
Теория
Механизм AppLocker впервые появился в Windows 8.1 и Windows Server 2012 и позволил:
- блокировать запуск приложений;
- работать в режиме аудита, при этом приложения будут запускаться но в журнале будут появляться записи.
AppLocker позволяет блокировать запуск следующих типов файлов:
- исполняемые (.exe, .com);
- установщики (.msi, .msp, .mst);
- сценарии (.ps1, .bat, .cmd, .vbs, .js);
- упакованные приложения (.appx);
- DLL-файлы (.dll, .ocx) — не включена по умолчанию.
AppLocker предоставляет простой GUI-механизм на основе правил для определения того, каким приложениям разрешено запускаться конкретными пользователями и группами. Эта технология использует два типа правил:
- разрешить запуск конкретных файлов, запретив всё остальное;
- запретить запуск конкретных файлов, разрешив всё остальное.
У каждого правила может быть список исключений. Например можно создать правило «Разрешить запускать всё в каталогах C:\Windows и C:\ProgramFiles, за исключением Regedit.exe».
AppLocker может идентифицировать приложения по:
- сертификату приложения. Например разрешить запускаться только программам подписанным определенным сертификатом;
- пути к каталогу с приложениями. Например разрешить запускаться только из определенного каталога;
- хешу файла. Интересный вариант, так как если приложение будет изменено, например вирусом, то хеш его изменится и оно не запустится. Но если приложение изменится в ходе обновления, то оно тоже не запустится.
Практика
На локальном компьютере правила AppLocker могут быть определены с помощью «Локальной политики безопасности (secpol.msc)». А в домене правила можно распространять групповой политикой безопасности.
Если нажать «Настроить применения правил«, то можно выбрать к каким типам файлов применять правила. А также нужно будет указать: применять правила или вести аудит:
Если нажать на какой-нибудь типе файлов, то вы перейдете в раздел, где сможете создать правила для этого типа файлов:
Давайте создадим правила «по умолчанию» и посмотрим на них:
Появились три правила, которые разрешают:
- всем пользователям запускать приложения из Programm Files;
- всем пользователям запускать приложения из Windows;
- только администраторам запускать приложения из любых мест.
Точно также можно добавлять правила и для других типов файлов.
Правила для DLL-библиотек
Включить коллекцию DLL-правил можно перейдя на вкладку «Дополнительно». Установите флажок «Включить коллекцию правил DLL» и нажмите кнопку ОК:
Для работы AppLocker нужна работающая служба «Удостоверения приложений (AppIDSvc)»:
Вернуться к оглавлению
Сводка
Имя статьи
AppLocker
Описание
В этой статье рассмотрим механизм AppLocker, который позволяющий блокировать запуск определенных приложений для некоторых групп пользователей