AppLocker - это новая функция в Windows 7 и Windows Server 2008 R2, которая заменяет компонент «Политики ограниченного использования программ». AppLocker содержит новые возможности и расширения, которые сокращают затраты на администрирование и помогают администраторам определять, какие пользователи могут получать доступ и работать с такими файлами, как исполняемые файлы, сценарии, файлы установщика Windows и библиотеки DLL. При помощи AppLocker можно выполнять следующие действия.
- Определять правила в зависимости от атрибутов файлов, полученных из цифровой подписи, включая издателя, имя продукта, имя файла и версию файла. Например, можно создать правила в соответствии с атрибутом издателя, который сохраняется в процессе обновления, или создать правила для определенной версии файла.
- Назначать правило группе безопасности или отдельному пользователю.
- Создавать исключения из правил. Например, можно создать правило, разрешающее выполнять все процессы Windows, кроме редактора реестра (Regedit.exe).
- Использовать режим «Только аудит» для развертывания политики и проведения анализа ее влияния до применения.
- Импортировать и экспортировать правила. Импорт и экспорт влияют на политику в целом. Например, при экспорте политики экспортируются все правила, содержащиеся во всех коллекциях правил, включая параметры применения для коллекций правил. При импорте политики она переопределяет существующую политику.
- Упростить создание правил AppLocker и управление ими при помощи командлетов AppLocker PowerShell.
Дополнительные сведения о правилах AppLocker см. в разделе Общие сведения о правилах AppLocker.
Что изменилось?
В следующей таблице приводится сравнение AppLocker с компонентом «Политики ограниченного использования программ».
Возможность | Политики ограниченного использования программ | AppLocker |
---|---|---|
Область действия правила | Все пользователи | Указанный пользователь или группа |
Заданные условия для правила |
Хэш файла, путь, сертификат, путь реестра и правила для зон Интернета |
Хэш файла, путь и правила издателя |
Заданные типы правил | Разрешающие и запрещающие | Разрешающие и запрещающие |
Действие правила по умолчанию | Разрешить или запретить | Запретить |
Режим «Только аудит» |
Нет |
Да |
Мастер одновременного создания нескольких правил |
Нет |
Да |
Импорт и экспорт политик |
Нет |
Да |
Коллекция правил |
Нет |
Да |
Поддержка PowerShell | Нет | Да |
Настраиваемые сообщения об ошибках | Нет | Да |
Требования AppLocker
AppLocker доступен во всех версиях Windows Server 2008 R2, а также в Windows 7 Максимальная и Windows 7 Корпоративная. Для использования AppLocker требуются следующие компоненты.
- Компьютер под управлением Windows Server 2008 R2, Windows 7 Максимальная, Windows 7 Корпоративная или Windows 7 Профессиональная для создания правил AppLocker. Windows 7 Профессиональная можно использовать для создания правил, но правила нельзя применять на компьютере под управлением Windows 7 Профессиональная. Компьютер может быть контроллером домена.
- Для развертывания групповой политики - хотя бы один компьютер с установленными консолью управления групповыми политиками (GPMC) или средствами удаленного администрирования сервера (RSAT) для размещения правил AppLocker.
- Компьютеры под управлением Windows Server 2008 R2, Windows 7 Максимальная или Windows 7 Корпоративная для применения созданных правил AppLocker.