应用程序控制策略AppLocker

一、什么是AppLocker?

AppLocker 是 Windows Server 2008 R2 和 Windows 7 中的新功能,是一款用于替代软件限制策略功能的全新系统管理工具。可提升软件限制策略的特性和功能。AppLocker 包含新的功能和扩展,可用于创建规则,从而根据文件的唯一标识符允许或拒绝应用程序运行,还可以指定哪些用户或组可以运行这些应用程序。

AppLocker存在于 Windows Server 2008 R2 的所有版本以及 Windows 7 旗舰版 和 Windows 7 企业版中。在 Windows 7 专业版 中,可以创建 AppLocker 规则,但 AppLocker 规则无法在运行 Windows 7 专业版 的计算机上强制执行。

 

使用AppLocker,可以控制以下类型的应用程序:

  • 可执行文件(.exe 和 .com)

  • 脚本(.js、.ps1、.vbs、.cmd 和 .bat)

  • Windows Installer 文件(.msi 和 .msp)

  • DLL 文件(.dll 和 .ocx)

 

使用 AppLocker,我们可以做到:

基于派生自数字签名的文件属性(包括发布者、产品名称、文件名和文件版本)来定义规则。例如,可以基于更新过程中永久保留的发布者属性来创建规则,也可以针对文件的特定版本来创建规则。

向安全组或单个用户分配规则。

为规则创建例外。例如,可以创建一个规则,该规则允许运行除注册表编辑器 (Regedit.exe) 之外的所有 Windows 进程。

使用仅审核模式部署策略,并在强制执行该策略之前了解其影响。

导入和导出规则。导入和导出会影响整个策略。例如,如果导出策略,则将导出所有规则集合中的所有规则,包括这些规则集合的强制设置。 如果导入策略,则将覆盖现有策略中的所有条件。

使用 Windows PowerShell cmdlet 来简化 AppLocker 规则的创建和管理。

二、AppLocker 和软件限制策略比较

功能

软件限制策略

AppLocker

规则作用域

所有用户

特定用户或组

提供的规则条件

文件哈希、路径、证书、注册表路径和 Internet 区域

文件哈希、路径和发布者

提供的规则类型

由安全级别定义:

  • 不允许

  • 基本用户

  • 无限制

允许和拒绝

默认规则操作

无限制

隐式拒绝

仅审核模式

一次可创建多个规则的向导

策略导入或导出

规则集合