AppLocker jest nową funkcją w systemach Windows 7 i Windows Server 2008 R2, która zastępuje funkcję Zasady ograniczania oprogramowania. Funkcja AppLocker udostępnia nowe możliwości i rozszerzenia, które zmniejszają ilość pracy związanej z administracją i ułatwiają administratorom kontrolowanie sposobu uzyskiwania przez użytkowników dostępu i używania plików, takich jak pliki wykonywalne, skrypty, pliki Instalatora Windows i pliki DLL. Funkcja AppLocker umożliwia:
- Definiowanie reguł na podstawie atrybutów plików uzyskanych z podpisu cyfrowego, w tym wydawcy, nazwy produktu, nazwy pliku i wersji pliku. Można na przykładu utworzyć reguły na podstawie atrybutu wydawcy, który zachowuje trwałość po dokonaniu aktualizacji, lub utworzyć reguły dotyczące określonej wersji pliku.
- Przypisywanie reguły do grupy zabezpieczeń lub użytkownika.
- Tworzenie wyjątków od reguł. Można na przykład utworzyć regułę zezwalającą na uruchamianie wszystkich procesów systemu Windows z wyjątkiem Edytora rejestru (Regedit.exe).
- Użycie trybu Tylko inspekcja w celu wdrożenia i poznania wpływu zasady przed jej wymuszeniem.
- Importowanie i eksportowanie reguł. Importowanie i eksportowanie wpływa na całą zasadę. Jeśli na przykład zasada zostanie wyeksportowana, zostaną wyeksportowane wszystkie reguły ze wszystkich kolekcji reguł, w tym ustawienia wymuszania dla kolekcji reguł. Zaimportowanie zasady powoduje zastąpienie istniejącej zasady.
- Prostsze tworzenie i zarządzanie regułami zasad ograniczeń oprogramowania dzięki zastosowaniu apletów poleceń programu PowerShell dla zasad ograniczeń oprogramowania.
Aby uzyskać więcej informacji o regułach funkcji AppLocker, zobacz temat Opis reguł zasad ograniczeń oprogramowania.
Jakie wprowadzono zmiany?
Poniższa tabela zawiera porównanie funkcji AppLocker z zasadami ograniczania oprogramowania.
Funkcja | Zasady ograniczania oprogramowania | AppLocker |
---|---|---|
Zakres reguły | Wszyscy użytkownicy | Określony użytkownik lub grupa |
Podane warunki reguły |
Reguły skrótu pliku, certyfikatu, ścieżki rejestru i strefy internetowej |
Reguły skrótu pliku i wydawcy |
Podane typy reguł | Zezwalaj i odmawiaj | Zezwalaj i odmawiaj |
Domyślna akcja reguły | Zezwalaj lub odmawiaj | Odmawiaj |
Tryb Tylko inspekcja |
Nie |
Tak |
Kreator umożliwiający tworzenie wielu reguł jednocześnie |
Nie |
Tak |
Importowanie lub eksportowanie zasady |
Nie |
Tak |
Kolekcja reguł |
Nie |
Tak |
Obsługa środowiska PowerShell | Nie | Tak |
Niestandardowe komunikaty o błędach | Nie | Tak |
Wymagania zasad ograniczeń oprogramowania
Funkcja AppLocker jest dostępna we wszystkich wydaniach systemu Windows Server 2008 R2 i w systemach Windows 7 Ultimate oraz Windows 7 Enterprise. Wymagania w celu korzystania z funkcji AppLocker:
- Komputer z systemem Windows Server 2008 R2, Windows 7 Ultimate, Windows 7 Enterprise lub Windows 7 Professional w celu utworzenia reguł funkcji AppLocker. Do utworzenia reguł można użyć systemu Windows 7 Professional, ale reguły nie mogą być wymuszane na komputerach z systemem Windows 7 Professional. Komputer może być kontrolerem domeny.
- W celu wdrożenia zasady grupy niezbędny jest co najmniej jeden komputer, w którym zainstalowano Konsolę zarządzania zasadami grupy (GPMC) lub Narzędzia administracji zdalnej serwera (RSAT), służący do obsługi reguł funkcji AppLocker.
- Komputery z systemem Windows Server 2008 R2, Windows 7 Ultimate lub Windows 7 Enterprise w celu wymuszania utworzonych reguł funkcji AppLocker.