windows-defender-application-control/applocker/applocker-overview.md" sourcestartlinenumber="25" style="box-sizing: inherit;font-size: 2.5rem;padding: 0px;outline-color: inherit;line-height: 1.3;overflow-wrap: break-word;color: rgb(23, 23, 23);font-family: 'Segoe UI', SegoeUI, 'Helvetica Neue', Helvetica, Arial, sans-serif;white-space: normal;background-color: rgb(255, 255, 255)">https://docs.microsoft.com/zh-cn/windows/security/threat-protection/windows-defender-application-control/applocker/applocker-overview
AppLocker
适用范围
Windows 10
Windows Server
本主题提供 AppLocker 的描述,并且有助于你确定你的组织是否可以从部署 AppLocker 应用程序控制策略中受益。 AppLocker 可帮助你控制用户可以运行的应用和文件。 它们包括可执行文件、脚本、Windows 安装程序文件、动态链接库 (DLL)、应用包和应用包安装程序。
备注
AppLocker 无法控制在任何操作系统上的 system 帐户下运行的进程。
AppLocker 可以帮助你:
根据应用更新期间永久使用的文件属性来定义规则,例如:发布者名称(从数字签名派生)、产品名称、文件名和文件版本。 你还可以基于文件路径和哈希创建规则。
向安全组或单个用户分配规则。
创建规则异常。 例如,可以创建规则以允许所有用户运行除注册表编辑器 (regedit.exe) 之外的所有 Windows 二进制文件。
使用仅审核模式部署策略,并在强制执行它之前了解其影响。
在暂存服务器上创建规则并测试它们,然后将它们导出到生产环境,之后将其导入到组策略对象。
AppLocker 规则的创建和管理可通过使用 Windows PowerShell 来简化。
AppLocker 可以减少因用户运行未经批准的应用导致的帮助台呼叫的次数,从而降低管理开销并降低组织管理计算资源的成本。AppLocker 适用于以下应用安全场景:
应用程序清单
AppLocker 能够强制其策略处于仅审核模式,这样所有应用访问活动都会在事件日志中注册。 可以收集这些事件以供进一步分析。 Windows PowerShell cmdlet 还帮助你以编程方式分析此数据。
防止不需要的软件
AppLocker 支持在从允许列表中排除应用后拒绝运行这些应用。 当在生产环境中实施 AppLocker 规则时,允许规则中不包含的任何应用都会被阻止运行。
许可一致性
AppLocker 可帮助你创建规则以防止未经许可的软件运行,并限制授权用户使用许可软件。
软件标准化
可以将 AppLocker 策略配置为仅允许受支持或批准的应用在业务组内的计算机上运行。 这允许更为统一的应用部署。
可管理性改进
与之前的软件限制策略相比,AppLocker 包括大量可管理性改进。 导入和导出策略、从多个文件自动生成规则、仅审核模式部署和 Windows PowerShell cmdlet 只是相比 SRP 进行的多项改善中的少数几项。
何时使用 AppLocker
在许多组织中,信息是最有价值的资产,必须确保只有经过批准的用户才能访问这些信息。 访问控制技术(如 Active Directory Rights Management Services (ADRMS)和访问控制列表(Acl))可帮助控制允许哪些用户访问。
然而,当用户运行某个进程时,该进程的访问级别等同于用户具有的数据访问级别。 因此,如果用户有意或无意运行恶意软件时,敏感信息可能被轻松删除或发送。 AppLocker 可以通过限制用户或组可以运行的文件来减少这些类型的安全漏洞。 软件发布者开始创建更多可被非管理用户安装的应用。 这可能会危害组织的书面安全策略,并规避依赖于不可信用户安装应用的传统应用控制解决方案。通过创建已批准文件和应用的支持列表,AppLocker 可以帮助防止此类用户特定应用的运行。 由于 AppLocker 可以控制 DLL,它还可用来控制安装和运行 ActiveX 控件的用户。
AppLocker 是组织的理想选择,它目前使用组策略管理其电脑。
下面是可以使用 AppLocker 的应用场景的示例:
你组织的安全策略仅支持使用许可软件,因此你需要防止用户运行未经许可的软件,同时限制授权用户使用许可软件。
如果某个应用不再受组织的支持,你需要防止它被所有人使用。
在环境中引入不想要的软件的可能性比较大,因此你需要减少此威胁。
应用许可在组织中已被撤销或者已过期,所以你需要防止它被所有人使用。
新应用或新版本的应用已部署,因此需要防止用户运行旧版本。
组织内不允许使用特定的软件工具,或者只有特定用户才能访问这些工具。
单个用户或一小群用户需要使用被所有其他人拒绝的特定应用。
由于你组织内的某些计算机可能被具有不同软件使用需求的人共享,所以你需要保护特定应用。
除了其他措施,你还需要使用应用控制对敏感数据的访问。
备注
AppLocker 是纵深防御安全功能,而不是安全边界。 当目标为针对威胁提供强健的保护时,应使用Windows Defender 应用程序控件,因此不会受到任何设计限制,这些限制会妨碍安全功能实现此目标。
AppLocker 可以帮助你保护组织内的数字资源、降低环境中引入的恶意软件的威胁并改进应用程序控制的管理及应用程序控制策略的维护。
安装 AppLocker
AppLocker 随 Windows 企业级版本一起提供。 你可以为一台计算机编写 AppLocker 规则,也可以为一组计算机编写。 如果是为一台计算机编写规则,可以使用本地安全策略编辑器 (secpol.msc) 来编写。 如果是为一组计算机编写规则,可以使用组策略管理控制台 (GPMC) 在组策略对象内编写。
备注
只有通过安装远程服务器管理工具,GPMC 才可在运行 Windows 的客户端计算机上使用。 在运行 WindowsServer 的计算机上,必须安装组策略管理功能。
在服务器核心上使用 AppLocker
不支持服务器核心安装上的 AppLocker。
virtualization-considerations" style="box-sizing: inherit;padding: 0px 0px 0px 1.875rem;font-size: 1.1875rem;outline-color: inherit;line-height: 1.3;position: relative;color: rgb(23, 23, 23);font-family: 'Segoe UI', SegoeUI, 'Helvetica Neue', Helvetica, Arial, sans-serif;white-space: normal;background-color: rgb(255, 255, 255)">虚拟化注意事项
可以使用 Windows 的虚拟化实例来管理 AppLocker 策略,但是它必须满足之前列出的所有系统要求。 也可以在虚拟化实例中运行组策略。 但是,你创建的策略可能会丢失,而且如果虚拟化实例删除或失败,还需要维护。
安全注意事项
应用程序控制策略指定允许在本地计算机上运行的应用。
恶意软件的形式多种多样,这使得用户很难判断哪些软件可以安全地运行。 当恶意软件被激活时,可能会破坏硬盘驱动器上的内容、使网络内充斥可导致拒绝服务 (DoS) 攻击的请求、向 Internet 发送机密信息,或者危及计算机的安全。
解决方法是在组织内的计算机上创建适用的应用程序控制策略,然后在实验室环境中认真测试该策略,之后将策略部署到生产环境中。 AppLocker 可以包含在你的应用控制策略中,因为计算机上允许运行的软件是可控的。
有缺陷的应用程序控制策略实现可能会禁用需要的应用程序,或者允许恶意或非预期软件运行。 因此,组织需要投入充足的资源管理此类策略的实现并进行疑难解答,这至关重要。
有关特定安全问题的其他信息,请参阅 AppLocker 安全注意事项。
使用 AppLocker 创建应用程序控制策略时,应了解以下安全注意事项:
具有 AppLocker 策略设置权限的用户是谁?
如何验证策略是否已强制执行?
你应该审核的事件是什么?
有关安全规划的参考,可参见下表,其中标识了装有 AppLocker 的计算机的基线设置:
设置 | 默认值 |
---|---|
帐户已创建 | 无 |
身份验证方法 | 不适用 |
管理接口 | AppLocker 可以通过使用 Microsoft 管理控制台管理单元、组策略管理和 Windows PowerShell 来管理 |
端口已打开 | 无 |
所需的最小特权 | 本地计算机上的管理员;域管理或允许你创建、编辑和分配组策略对象的任何权利集。 |
协议已使用 | 不适用 |
计划任务 | Appidpolicyconverter.exe 已放入计划任务中以待按需运行。 |
安全策略 | 不需要任何信息。 AppLocker 将创建安全策略。 |
需要系统服务 | 应用程序标识服务 (appidsvc) 在 LocalServiceAndNoImpersonation 下运行。 |
凭据的存储 | 无 |
本节内容
主题 | 说明 |
---|---|
管理 AppLocker | 本主题面向 IT 专业人员提供了管理 AppLocker 策略时使用的特定步骤的链接。 |
AppLocker 设计指南 | 本主题面向 IT 专业人员介绍了使用 AppLocker 部署应用程序控制策略所需的设计和规划步骤。 |
AppLocker 部署指南 | 本主题面向 IT 专业人员介绍了概念并描述了部署 AppLocker 策略所需的步骤。 |
AppLocker 技术参考 | 本概述主题面向 IT 专业人员提供了指向技术参考中的主题的链接。 |
推荐本站淘宝优惠价购买喜欢的宝贝:
本文链接:https://hqyman.cn/post/1401.html 非本站原创文章欢迎转载,原创文章需保留本站地址!
休息一下~~