Nástroj AppLocker je novou funkcí v systémech Windows 7 a Windows Server 2008 R2, který nahrazuje funkci Zásady omezení softwaru. Nástroj AppLocker obsahuje nové možnosti a rozšíření, jež omezují správní režii a pomáhají správcům řídit přístup uživatelů k používání spustitelných souborů, skriptů, souborů instalační služby systému Windows a souborů DLL. Při použití nástroje AppLocker můžete:
- Definovat pravidla založená na atributech souboru odvozených z digitálního podpisu, k nimž náleží vydavatel, název produktu a verze produktu. Můžete například vytvořit pravidla založená na atributu vydavatel, který přetrvává při aktualizacích, nebo pravidla pro určitou verzi souboru.
- Přiřadit pravidlo skupině zabezpečení nebo individuálnímu uživateli.
- Vytvářet výjimky z pravidel. Můžete například vytvořit pravidlo, které povoluje spuštění všech procesů systému Windows s výjimkou Editoru registru (Regedit.exe).
- Používat k nasazení zásad režim pouze auditování, který pomáhá porozumět dopadu zásad před jejich vynucením.
- Importovat a exportovat pravidla. Import a export ovlivňuje celou zásadu. Jestliže například exportujete zásadu, exportují se všechna pravidla všech kolekcí pravidel, včetně nastavení vynucení pro kolekce pravidel. Jestliže zásadu importujete, existující zásada se přepíše.
- Zjednodušit tvoření a správu pravidel nástroje AppLocker pomocí rutin prostředí AppLocker PowerShell.
Další informace o pravidlech nástroje AppLocker naleznete v tématu Principy pravidel nástroje AppLocker.
Co se změnilo?
Následující tabulka obsahuje porovnání nástroje AppLocker se zásadami omezení softwaru.
Funkce | Zásady omezení softwaru | AppLocker |
---|---|---|
Obor pravidla | Všichni uživatelé | Určitý uživatel nebo skupina |
Podmínky pro pravidla |
Hodnota hash souboru, cesta, certifikát, cesta k registru a pravidla zón Internetu |
Pravidla hodnota hash souboru, cesta a vydavatel |
Typy pravidel | Povolit a zakázat | Povolit a zakázat |
Výchozí akce pravidla | Povolit nebo zakázat | Odmítnout |
Režim pouze auditování |
Ne |
Ano |
Průvodce pro vytváření více pravidel najednou |
Ne |
Ano |
Import nebo export zásad |
Ne |
Ano |
Kolekce pravidel |
Ne |
Ano |
Podpora prostředí PowerShell | Ne | Ano |
Vlastní chybové zprávy | Ne | Ano |
Požadavky nástroje AppLocker
Nástroj AppLocker je k dispozici ve všech vydáních systému Windows Server 2008 R2 a v systémech Windows 7 Ultimate a Windows 7 Enterprise. K používání nástroje AppLocker potřebujete:
- Počítač se systémem Windows Server 2008 R2, Windows 7 Ultimate, Windows 7 Enterprise nebo Windows 7 Professional k vytváření pravidel nástroje AppLocker. Systém Windows 7 Professional lze použít k vytváření pravidel, avšak pravidla nemohou být v počítačích se systémem Windows 7 Professional vynucena. Počítač může být řadičem domény.
- Pro nasazení zásad skupiny alespoň jeden počítač s nainstalovanou konzolou pro správu zásad skupiny (GPMC) nebo nástroji pro vzdálenou správu serveru (RSAT) jako hostitele pravidel nástroje AppLocker.
- Počítače se systémem Windows Server 2008 R2, Windows 7 Ultimate nebo Windows 7 Enterprise umožňující vynucení pravidel nástroje AppLocker, která vytvoříte.