应用程序控制策略AppLocker
一、什么是AppLocker?
AppLocker 是 Windows Server 2008 R2 和 Windows 7 中的新功能,是一款用于替代软件限制策略功能的全新系统管理工具。可提升软件限制策略的特性和功能。AppLocker 包含新的功能和扩展,可用于创建规则,从而根据文件的唯一标识符允许或拒绝应用程序运行,还可以指定哪些用户或组可以运行这些应用程序。
AppLocker存在于 Windows Server 2008 R2 的所有版本以及 Windows 7 旗舰版 和 Windows 7 企业版中。在 Windows 7 专业版 中,可以创建 AppLocker 规则,但 AppLocker 规则无法在运行 Windows 7 专业版 的计算机上强制执行。
使用AppLocker,可以控制以下类型的应用程序:
- 可执行文件(.exe 和 .com)
- 脚本(.js、.ps1、.vbs、.cmd 和 .bat)
- Windows Installer 文件(.msi 和 .msp)
- DLL 文件(.dll 和 .ocx)
使用 AppLocker,我们可以做到:
基于派生自数字签名的文件属性(包括发布者、产品名称、文件名和文件版本)来定义规则。例如,可以基于更新过程中永久保留的发布者属性来创建规则,也可以针对文件的特定版本来创建规则。
向安全组或单个用户分配规则。
为规则创建例外。例如,可以创建一个规则,该规则允许运行除注册表编辑器 (Regedit.exe) 之外的所有 Windows 进程。
使用仅审核模式部署策略,并在强制执行该策略之前了解其影响。
导入和导出规则。导入和导出会影响整个策略。例如,如果导出策略,则将导出所有规则集合中的所有规则,包括这些规则集合的强制设置。 如果导入策略,则将覆盖现有策略中的所有条件。
使用 Windows PowerShell cmdlet 来简化 AppLocker 规则的创建和管理。
二、AppLocker 和软件限制策略比较
功能 |
软件限制策略 |
AppLocker |
规则作用域 |
所有用户 |
特定用户或组 |
提供的规则条件 |
文件哈希、路径、证书、注册表路径和 Internet 区域 |
文件哈希、路径和发布者 |
提供的规则类型 |
由安全级别定义:
|
允许和拒绝 |
默认规则操作 |
无限制 |
隐式拒绝 |
仅审核模式 |
否 |
是 |
一次可创建多个规则的向导 |
否 |
是 |
策略导入或导出 |
否 |
是 |
规则集合 |
否 |
时间: 2024-09-30 10:05:50