AppLocker - это новая функция в Windows 7 и Windows Server 2008 R2, которая заменяет компонент «Политики ограниченного использования программ». AppLocker содержит новые возможности и расширения, которые сокращают затраты на администрирование и помогают администраторам определять, какие пользователи могут получать доступ и работать с такими файлами, как исполняемые файлы, сценарии, файлы установщика Windows и библиотеки DLL. При помощи AppLocker можно выполнять следующие действия.

  • Определять правила в зависимости от атрибутов файлов, полученных из цифровой подписи, включая издателя, имя продукта, имя файла и версию файла. Например, можно создать правила в соответствии с атрибутом издателя, который сохраняется в процессе обновления, или создать правила для определенной версии файла.

  • Назначать правило группе безопасности или отдельному пользователю.

  • Создавать исключения из правил. Например, можно создать правило, разрешающее выполнять все процессы Windows, кроме редактора реестра (Regedit.exe).

  • Использовать режим «Только аудит» для развертывания политики и проведения анализа ее влияния до применения.

  • Импортировать и экспортировать правила. Импорт и экспорт влияют на политику в целом. Например, при экспорте политики экспортируются все правила, содержащиеся во всех коллекциях правил, включая параметры применения для коллекций правил. При импорте политики она переопределяет существующую политику.

  • Упростить создание правил AppLocker и управление ими при помощи командлетов AppLocker PowerShell.

Дополнительные сведения о правилах AppLocker см. в разделе Общие сведения о правилах AppLocker.

Что изменилось?

В следующей таблице приводится сравнение AppLocker с компонентом «Политики ограниченного использования программ».

Возможность Политики ограниченного использования программ AppLocker

Область действия правила

Все пользователи

Указанный пользователь или группа

Заданные условия для правила

Хэш файла, путь, сертификат, путь реестра и правила для зон Интернета

Хэш файла, путь и правила издателя

Заданные типы правил

Разрешающие и запрещающие

Разрешающие и запрещающие

Действие правила по умолчанию

Разрешить или запретить

Запретить

Режим «Только аудит»

Нет

Да

Мастер одновременного создания нескольких правил

Нет

Да

Импорт и экспорт политик

Нет

Да

Коллекция правил

Нет

Да

Поддержка PowerShell

Нет

Да

Настраиваемые сообщения об ошибках

Нет

Да

Требования AppLocker

AppLocker доступен во всех версиях Windows Server 2008 R2, а также в Windows 7 Максимальная и Windows 7 Корпоративная. Для использования AppLocker требуются следующие компоненты.

  • Компьютер под управлением Windows Server 2008 R2, Windows 7 Максимальная, Windows 7 Корпоративная или Windows 7 Профессиональная для создания правил AppLocker. Windows 7 Профессиональная можно использовать для создания правил, но правила нельзя применять на компьютере под управлением Windows 7 Профессиональная. Компьютер может быть контроллером домена.

  • Для развертывания групповой политики - хотя бы один компьютер с установленными консолью управления групповыми политиками (GPMC) или средствами удаленного администрирования сервера (RSAT) для размещения правил AppLocker.

  • Компьютеры под управлением Windows Server 2008 R2, Windows 7 Максимальная или Windows 7 Корпоративная для применения созданных правил AppLocker.