AppLocker 技术概述
适用于: Windows 8.1,Windows Server 2012 R2,Windows Server 2012,Windows 8 Enterprise
本技术概述面向 IT 专业人员,对 AppLocker 进行了介绍。 此信息可帮助你决定组织是否可从部署 AppLocker 应用程序控制策略中受益。 AppLocker 可帮助管理员控制用户可以运行哪些应用程序和文件。 其中包括可执行文件、脚本、Windows Installer 文件、动态链接库 (DLL)、打包应用和打包应用安装程序。
提示
若要以数字方式保存或打印此库中的页面,请单击“导出”(页面右上角),然后按照说明操作。
AppLocker 有何功能?
通过使用 AppLocker,你可以:
根据在应用程序更新中保持原样的文件属性来定义规则,这些属性包括发布者名称(从数字签名中获得)、产品名称、文件名和文件版本等。 还可以创建基于文件路径和哈希的规则。
向安全组或单个用户分配规则。
为规则创建例外。 例如,可以创建这样一个规则:允许所有用户运行除注册表编辑器 (Regedit.exe) 之外的所有 Windows 二进制文件。
使用仅审核模式部署策略,并在强制执行该策略之前了解其影响。
在暂存服务器上创建规则、进行测试,再将其导出到生产环境,随后导入到组策略对象。
使用适用于 AppLocker 的 Windows PowerShell cmdlet 来简化创建和管理 AppLocker 规则。
通过减少因用户运行未经批准的应用程序而引起的技术支持呼叫次数,AppLocker 可帮助降低管理开销和组织管理计算资源的成本。 AppLocker 解决以下应用程序安全方案:
应用程序清单
AppLocker 可在仅审核模式下强制实施其策略,在这种模式下,将在事件日志中注册所有应用程序访问活动。 可收集这些事件以供将来分析。 Windows PowerShell cmdlet 还能帮助你以编程方式分析此数据。
针对不需要的软件提供保护
AppLocker 能够在你从允许的应用程序列表中派出应用程序时拒绝应用程序运行。 在生产环境中强制执行 AppLocker 规则后,允许规则未涵盖的任何应用程序都会被阻止运行。
授权一致性
AppLocker 可帮助你创建可阻止未授权软件运行并将授权软件限制在授权用户范围内的规则。
软件标准化
通过配置 AppLocker 策略,可以只允许受支持或经批准的应用程序在业务组中的计算机上运行。 这样可以实现更一致的应用程序部署。
可管理性改进
与其前身软件限制策略相比,AppLocker 包含对可管理性的多项改善。 导入和导出策略、从多个文件自动生成规则、仅审核模式部署和 Windows PowerShell cmdlet 只是相比 SRP 进行的多项改善中的少数几项。
何时使用 AppLocker
在许多组织中,信息是最有价值的资产,必须确保只有经过批准的用户才能访问这些信息。 Active Directory Rights Management Services (AD RMS) 和访问控制列表 (ACL) 等访问控制技术都可以帮助控制允许哪些用户访问。
但是,当用户运行进程时,进程拥有与用户同等级别的数据访问权限。 作为结果,如果敏用户有意或无意地运行恶意软件的话,感信息可能被轻易删除或传输到组织之外。 AppLocker 可通过限制允许用户或组运行的文件来帮助缓解这些类型的安全违反情况。
软件发布者开始创建更多可由非管理用户安装的应用程序。 这可能危害到组织的书面安全策略,而避开传统的应用程序控制解决方案依赖于用户无法安装应用程序的情况。 通过允许管理员创建允许的批准文件和应用程序列表,AppLocker 可帮助防止这类每用户应用程序运行。 由于 AppLocker 可以控制 DLL,因此它也有助于控制可以安装和运行 ActiveX 控件的人员。
如果组织目前使用组策略来管理基于 Windows 的计算机,则 AppLocker 是理想的选择。 由于 AppLocker 依赖组策略进行创作和部署,因此,如果打算使用 AppLocker,熟悉组策略将有所帮助。
下面是可以使用 AppLocker 的方案示例:
组织的安全策略可以只听写获授权软件的使用情况,所以你需要阻止用户运行未授权软件,还需要将授权软件限制在经授权用户范围内。
组织不再支持某一应用程序,需要阻止所有人使用该应用程序。
环境中很可能引入不需要的软件,需要减少这种威胁。
组织中某一应用程序的许可证已吊销或到期,因此,需要阻止所有人使用该应用程序。
部署了新应用程序或应用程序的新版本,并且你需要防止用户运行旧版本。
组织内不允许使用特定软件工具,或只有特定用户可以访问这些工具。
一个或一小部分用户需要使用对所有其他人拒绝的特定应用程序。
组织中部分计算机由具有不同软件使用需要的人员共享,并且你需要保护特定应用程序。
除了其他措施外,还需要通过应用程序使用情况对敏感数据的访问进行控制。
AppLocker 可以帮助你保护组织内的数字资产,减少向环境引入恶意软件威胁,还可以改进应用程序控制的管理以及应用程序控制策略的维护。
版本、交互以及功能区别
支持的版本和互操作性注意事项
只能在运行受支持的 Windows 操作系统版本的计算机上配置和应用 AppLocker 策略。 有关详细信息,请参阅 使用 AppLocker 的要求。
各版本间的功能区别
下表依据操作系统版本列出 AppLocker 每项主要功能之间的区别:
| 特性或功能 | Windows Server 2008 R2 和 Windows 7 | Windows Server 2012 R2、Windows Server 2012、Windows 8.1 和 Windows 8 |
|---|---|---|
| 设置打包应用和打包应用安装程序的规则的功能。 | 否 | 是 |
| AppLocker 策略通过组策略来维护,只有计算机管理员可以更新 AppLocker 策略。 | 是 | 是 |
| AppLocker 允许自定义错误消息,使管理员可以将用户定向到某一网页寻求帮助。 | 是 | 是 |
| 可与软件限制策略一起使用(运用单独的 GPO)的功能。 | 是 | 是 |
| AppLocker 支持通过一小部分 Windows PowerShell cmdlet 来帮助进行管理和维护。 | 是 | 是 |
| AppLocker 规则可以控制列出的文件格式: | - .exe - .com - .ps1 - .bat - .cmd - .vbs - .js - .msi - .msp - .dll - .ocx |
- .exe - .com - .ps1 - .bat - .cmd - .vbs - .js - .msi - .msp - .mst - .dll - .ocx - .appx |
有关比较软件限制策略和 AppLocker 中的应用程序控制功能以及结合使用这两项功能的信息,请参阅在同一个域中使用 AppLocker 和软件限制策略。
系统要求
只能在运行受支持的 Windows 操作系统版本的计算机上配置和应用 AppLocker 策略。 需要使用组策略分发包含 AppLocker 策略的组策略对象。 有关详细信息,请参阅 使用 AppLocker 的要求。
域控制器上可以创建 AppLocker 规则。
备注
Windows Server 2008 R2 和 Windows 7 不提供为打包应用和打包应用安装程序创作或强制执行规则的功能。
安装 AppLocker
AppLocker 是企业级版本的 Windows 所附带的。 你可为单独一台或一组计算机创作 AppLocker 规则。 对于单独一台计算机,可使用本地安全策略编辑器 (secpol.msc) 创作规则。 对于一组计算机,可使用组策略管理控制台 (GPMC) 在组策略对象内创作规则。
备注
GPMC 只能通过安装远程服务器管理工具用于运行 Windows 的客户端计算机。 在运行 Windows Server 的计算机上,必须安装组策略管理功能。
在服务器核心上使用 AppLocker
Windows PowerShell 可使用 AppLocker cmdlet 以及组策略 PowerShell cmdlet(如果在 GPO 内管理)在服务器核心安装上管理 AppLocker。 有关详细信息,请参阅 AppLocker PowerShell 命令参考。
虚拟化注意事项
你可以使用 Windows 的虚拟化实例管理 AppLocker 策略,前提是该实例符合前面列出的所有系统要求。 你也可在虚拟化实例中运行组策略。 但是,如果虚拟化实例被删除或出现故障,你就会有丢失自己创建和维护的策略的风险。
安全注意事项
应用程序控制策略指定允许哪些程序在本地计算机上运行。
恶意软件所用形式的多样性使用户难以知道运行哪些程序是安全的。 一旦激活,恶意软件就可破坏硬盘驱动器上的内容、通过请求淹没网络从而导致拒绝服务 (DoS) 攻击、发送机密信息到 Internet 或威胁计算机的安全。
对策就是在组织内最终用户计算机上为你的应用程序控制策略创建可靠的设计,然后在实验室环境中全面测试这些策略,再将它们部署到生产环境中。 AppLocker 可以是你应用程序控制策略的组成部分,因为你可控制允许什么软件在计算机上运行。
有缺陷的应用程序控制策略实现会禁用必需的应用程序或允许恶意或其他企图的软件运行。 因此,组织务必专门分配足够的资源来对此类策略的实现进行管理和疑难解答。
有关特定安全问题的其他信息,请参阅 AppLocker 安全注意事项。
使用 AppLocker 创建应用程序控制策略时,应了解以下安全注意事项:
谁拥有设置 AppLocker 策略的权限?
如何验证策略得到了强制执行?
应审核哪些事件?
作为安全计划的参考,下表确定了安装有 AppLocker 功能的客户端计算机的基准设置:
| 设置 | 默认值 |
|---|---|
| 创建的帐户 | 无 |
| 身份验证方法 | 不适用 |
| 管理界面 | 可使用 Microsoft 管理控制台管理单元、组策略管理和 Windows PowerShell 管理 AppLocker |
| 打开的端口 | 无 |
| 需要的最低权限 | 本地计算机上的管理员;域管理员或让你可以创建、编辑和分发 组策略对象 的任何权限集。 |
| 使用的协议 | 不适用 |
| 计划任务 | Appidpolicyconverter.exe 放置在一个按需运行的计划任务中。 |
| 安全策略 | 不需要。 AppLocker 创建安全策略。 |
| 需要的系统服务 | 应用程序标识服务 (appidsvc) 在 LocalServiceAndNoImpersonation 下运行。 |
| 凭据的存储 | 无 |
维护 AppLocker 策略
以下主题提供了有关 Applocker 策略维护的信息:
另请参阅
| 资源 | Windows Server 2008 R2 和 Windows 7 | Windows Server 2012 R2、Windows Server 2012、Windows 8.1 和 Windows 8 |
|---|---|---|
| 产品评估 | 常见问题 AppLocker 循序渐进指南 |
常见问题 AppLocker 循序渐进指南 |
| 过程 | AppLocker 操作指南 | 管理 AppLocker 使用 AppLocker 管理打包应用 |
| 编写脚本 | 使用 AppLocker Windows PowerShell Cmdlet | 使用 AppLocker Windows PowerShell Cmdlet |
| 技术内容 | AppLocker 技术参考 | AppLocker 技术参考 |
| 设计、计划和部署 | AppLocker 策略设计指南 AppLocker 策略部署指南 |
AppLocker 策略设计指南 AppLocker 策略部署指南 |