AppLocker - это новая функция в Windows 7 и Windows Server 2008 R2, которая заменяет компонент «Политики ограниченного использования программ». AppLocker содержит новые возможности и расширения, которые сокращают затраты на администрирование и помогают администраторам определять, какие пользователи могут получать доступ и работать с такими файлами, как исполняемые файлы, сценарии, файлы установщика Windows и библиотеки DLL. При помощи AppLocker можно выполнять следующие действия.
- Определять правила в зависимости от атрибутов
файлов, полученных из цифровой подписи, включая издателя, имя
продукта, имя файла и версию файла. Например, можно создать правила
в соответствии с атрибутом издателя, который сохраняется в процессе
обновления, или создать правила для определенной версии файла.
- Назначать правило группе безопасности или
отдельному пользователю.
- Создавать исключения из правил. Например,
можно создать правило, разрешающее выполнять все процессы Windows,
кроме редактора реестра (Regedit.exe).
- Использовать режим «Только аудит» для
развертывания политики и проведения анализа ее влияния до
применения.
- Импортировать и экспортировать правила.
Импорт и экспорт влияют на политику в целом. Например, при экспорте
политики экспортируются все правила, содержащиеся во всех
коллекциях правил, включая параметры применения для коллекций
правил. При импорте политики она переопределяет существующую
политику.
- Упростить создание правил AppLocker и
управление ими при помощи командлетов AppLocker PowerShell.
Дополнительные сведения о правилах AppLocker см. в разделе Общие сведения о правилах AppLocker.
Что изменилось?
В следующей таблице приводится сравнение AppLocker с компонентом «Политики ограниченного использования программ».
Возможность | Политики ограниченного использования программ | AppLocker |
---|---|---|
Область действия правила |
Все пользователи |
Указанный пользователь или группа |
Заданные условия для правила |
Хэш файла, путь, сертификат, путь реестра и правила для зон Интернета |
Хэш файла, путь и правила издателя |
Заданные типы правил |
Разрешающие и запрещающие |
Разрешающие и запрещающие |
Действие правила по умолчанию |
Разрешить или запретить |
Запретить |
Режим «Только аудит» |
Нет |
Да |
Мастер одновременного создания нескольких правил |
Нет |
Да |
Импорт и экспорт политик |
Нет |
Да |
Коллекция правил |
Нет |
Да |
Поддержка PowerShell |
Нет |
Да |
Настраиваемые сообщения об ошибках |
Нет |
Да |
Требования AppLocker
AppLocker доступен во всех версиях Windows Server 2008 R2, а также в Windows 7 Максимальная и Windows 7 Корпоративная. Для использования AppLocker требуются следующие компоненты.
- Компьютер под управлением Windows
Server 2008 R2, Windows 7 Максимальная, Windows 7
Корпоративная или Windows 7 Профессиональная для создания правил
AppLocker. Windows 7 Профессиональная можно использовать для
создания правил, но правила нельзя применять на компьютере под
управлением Windows 7 Профессиональная. Компьютер может быть
контроллером домена.
- Для развертывания групповой политики - хотя
бы один компьютер с установленными консолью управления групповыми
политиками (GPMC) или средствами удаленного администрирования
сервера (RSAT) для размещения правил AppLocker.
- Компьютеры под управлением Windows
Server 2008 R2, Windows 7 Максимальная или Windows 7
Корпоративная для применения созданных правил AppLocker.