我有一百种方法帮你保护企业数据(持续更新中)
写在前面
hello 大家好我是菜白
这是我的一百种方法系列,这个系列我希望可以一直更新,给大家一些新鲜的insight。
本期主题企业信息保护,主要包括三个内容:BitLocker AppLocker和软件限制策略。
本文主要来源是Microsoft的官方文档,本文的价值在于总结了一些常见的数据保护的方法,属于总结非原创性文章。不喜请多多留言。
目录
写在前面
BitLocker
BitLocker是什么?
BitLoker如何保护数据?
BitLocker的发展
BitLocker 工作原理
Bitlocker配置
BitLocker升级
BitLocker部署和管理
AppLocker
AppLocker的功能
AppLocker的场景
AppLocker的安装与使用
AppLocker的常规要求
AppLocker的操作系统要求
AppLocker的部署要点
AppLocker的策略设计决策
AppLocker的发展
软件限制策略(SRP)
参考链接
BitLocker
BitLocker是什么?
BitLocker 驱动器加密是一项数据保护功能,它与操作系统集成,用于解决来自丢失、被盗或销毁不当的计算机的数据被盗或泄露的威胁。BitLocker就是一个用于磁盘加密的工具。
BitLoker如何保护数据?
在与受信任的平台模块 (TPM,Trust Platform Module) 版本 1.2 或更高版本一起使用时,BitLocker 提供最多保护。 TPM是计算机制造商安装在许多较新的计算机上的硬件组件。将其与BitLocker一起使用,不仅可帮助保护用户数据,还可确保计算机不会在系统离线时遭到篡改。
在没有 TPM 版本 1.2 或更高版本的计算机上,你仍可以使用 BitLocker 加密 Windows 操作系统驱动器。 但是,此实现将要求用户插入 USB 启动密钥以启动计算机或从休眠状态中恢复。 从 Windows8 开始,你可以在没有 TPM 的计算机上使用操作系统卷密码保护操作系统卷。 这两种选项均不提供带有 TPM 的由 BitLocker 提供的预启动系统完整性验证。
除了 TPM 外,BitLocker 也可以让用户选择锁定正常的启动过程,但前提是该用户提供了个人标识号 (PIN) 或插入了包含启动密钥的可移动设备,例如 U 盘。 这些额外的安全措施提供了多重身份验证,并确保计算机在提供正确 PIN 或启动密钥之前将不会启动或从休眠状态中恢复。
BitLocker的发展
Windows7时代和windows 10时代的数据保护
| Windows7 |
Windows 10 |
| 将 BitLocker 与 PIN 配合使用以保护启动时,无法远程重新启动电脑(如展台)。 |
当今的 Windows 设备会越来越多地受到 BitLocker 设备加密功能的保护,并支持 SSO 以无缝保护 BitLocker 加密密钥的冷启动攻击。 网络解锁允许电脑在连接到内部网络时自动启动。 |
| 启用 BitLocker 后,预配过程可能需要几个小时。 |
BitLocker 预配、加密硬驱和已用空间 "仅加密" 允许管理员在新计算机上快速启用 BitLocker。 |
| 不支持将 BitLocker 与自加密驱动器(SEDs)配合使用。 |
BitLocker 支持将加密硬驱卸载到加密的硬驱。 |
| 管理员必须使用单独的工具来管理加密的硬驱。 |
BitLocker 支持使用内置的板载加密硬件的加密硬驱,这允许管理员使用熟悉的 BitLocker 管理工具管理它们。 |
| 加密新的闪存驱动器可能需要超过20分钟。 |
BitLocker To Go 中的 "仅使用空间" 加密允许用户在数秒内加密可移动数据驱动器。 |
| BitLocker 可能要求用户在发生系统配置更改时输入恢复密钥。 |
只有当发生磁盘损坏或用户丢失 PIN 或密码时,BitLocker 才需要用户输入恢复密钥。 |
| 用户需要输入 PIN 才能启动电脑,然后输入密码以登录到 Windows。 |
当今的 Windows 设备将受到 BitLocker 设备加密的干扰,并支持 SSO,以帮助保护 BitLocker 加密密钥免受冷启动攻击。 |
BitLocker 工作原理
BitLocker 如何与操作系统驱动器协同工作
通过加密操作系统驱动器上的所有用户文件和系统文件(包括交换文件和休眠文件),并检查早期启动组件和引导配置数据的完整性,BitLocker 可用于减少丢失或被盗的计算机上未经授权的数据访问。
BitLocker 如何与固定和可移动数据驱动器协同工作
你可以使用 BitLocker 加密数据驱动器的全部内容。 你可以使用组策略要求在计算机将数据写入驱动器之前,先在驱动器上启用 BitLocker。 可以使用各种解锁方法为数据驱动器配置 BitLocker,并且数据驱动器支持多种解锁方法。
Bitlocker配置
1. 准备驱动器和文件加密
TPM 预配
在 Windows7 中,准备 TPM 以供使用有几个挑战:
- 你可以在 BIOS 中打开 TPM,这要求某人进入 BIOS 设置以将其打开或安装驱动程序,以便从 Windows 内部将其打开。
- 启用 TPM 时,可能需要一个或多个重启。
基本上,这是一种很大的麻烦。 如果 IT 人员为新电脑提供了新的功能,他们可以处理所有这一切,但是如果你想要将 BitLocker 添加到已存在于用户手中的设备,这些用户将面临技术挑战,并将其与技术挑战联系起来,或者仅保留 BitLocker 禁用。Microsoft 在 Windows10 中提供了可使操作系统完全管理 TPM 的工具。 无需进入 BIOS,已消除所有需要重启的方案。
2. 部署硬驱加密
BitLocker 能够加密整个硬盘,包括系统和数据驱动器。 BitLocker 预配可显著减少预配启用 BitLocker 的新电脑所需的时间。 通过 Windows10,管理员可以在安装 Windows 之前在 Windows 预安装环境中打开 BitLocker 和 TPM,也可以在无需任何用户交互的情况下在自动部署任务序列中启用 TPM。 结合使用的磁盘空间(仅限于已使用的磁盘空间)和大部分空驱动器(因为尚未安装 Windows),只需几秒钟即可启用 BitLocker。
3. BitLocker 设备加密
从 Windows 8.1 开始,Windows 会在支持新式待机的设备上自动启用 BitLocker 设备加密。 通过 Windows10,Microsoft 在更广泛的一系列设备(包括新式待机的设备和运行 Windows 10 家庭版的设备)上提供 BitLocker 设备加密支持。
Microsoft 建议在支持它的任何系统上启用 BitLocker 设备加密,但可通过更改以下注册表设置来阻止自动 BitLocker 设备加密过程:
子键: HKEY _LOCAL \ _MACHINE \system\currentcontrolset\control\bitlocker
Value: PreventDeviceEncryption 等于 True (1)
类型: REG \ _DWORD
管理员可以管理通过 Microsoft BitLocker 管理和监视(MBAM)启用 BitLocker 设备加密的加入域的设备。 在这种情况下,BitLocker 设备加密会自动使其他 BitLocker 选项可用。 不需要转换或加密,并且如果需要任何配置更改,MBAM 可以管理完整的 BitLocker 策略集。
4. 仅限使用的磁盘空间加密
为了减少加密时间,Windows10 中的 BitLocker 允许用户选择仅加密其数据。 此选项可减少超过99% 的加密时间,具体取决于驱动器上的数据量。 但是,如果加密的现有卷上的已用空间已被存储为未加密状态,则请务必小心,因为这些扇区可以通过磁盘恢复工具恢复,直到它们被新的加密数据覆盖。 相反,仅加密全新卷上的已用空间可能会显著减少部署时间,而不会产生安全风险,因为所有新数据将在写入磁盘时加密。
5. 预启动信息保护
Windows10 可以在新式设备上的预启动环境中启用真正的 SSO 体验,在某些情况下,即使在使用较旧的设备保护配置时也是如此。 处于隔离状态的 TPM 可以安全地在其处于静止状态时保护 BitLocker 加密密钥,并且可以安全地解锁操作系统驱动器。 当密钥在使用中,因此在内存中,硬件和 Windows 功能的组合可以保护密钥,并防止通过冷启动攻击进行未经授权的访问。
6. 管理密码和 Pin 码
当在系统驱动器上启用 BitLocker 且电脑具有 TPM 时,你可以选择要求用户先键入 PIN,然后 BitLocker 将解锁驱动器。 此类PIN要求可防止对电脑具有物理访问权限的攻击者甚至能够访问 Windows 登录,这使攻击者几乎无法访问或修改用户数据和系统文件。
Windows10 用户可以更新其 BitLocker Pin和密码,而无需管理员凭据。 此功能不仅可以降低支持成本,还可以提高安全性,因为它鼓励用户更频繁地更改其 Pin 和密码。此外,新式备用设备不需要 PIN 才能启动:它们设计为不经常启动,并且有其他缓解措施的其他缓解措施可进一步减少系统的受攻击面。 有关启动安全的工作方式以及 Windows10提供的对策的详细信息。
7. 配置网络解锁
某些组织具有特定于位置的数据安全要求。 这在高价值数据存储在电脑上的环境中最常见。 网络环境可能提供重要的数据保护并强制执行强制身份验证;因此,策略表明这些电脑不应离开建筑物或断开与公司网络的连接。 诸如物理安全锁和地理围栏之类的安全措施可帮助强制实施此策略作为被动控制。 除此之外,只有在电脑连接到公司网络时才会授予数据访问权限的主动安全控制。
网络解锁可使受 BitLocker 保护的电脑在连接到运行 Windows 部署服务的有线公司网络时自动启动。 只要电脑未连接到公司网络,用户必须键入 PIN 才能解锁驱动器(如果启用基于引脚的解锁)。 网络解锁需要以下基础结构:
- 具有统一可扩展固件接口(UEFI)固件版本2.3.1 或更高版本(支持动态主机配置协议(DHCP)的客户端 PC)
- 使用 Windows 部署服务角色至少运行 Windows Server 2012 的服务器
- 已安装 DHCP 服务器角色的服务器
8. Microsoft BitLocker 管理和监视
Microsoft 桌面优化包的一部分 MBAM 使 BitLocker 和 BitLocker 更易于管理和支持 bitlocker 和 BitLocker To Go。 MBAM 2.5 Service Pack 1 (最新版本)具有以下关键功能:
- 使管理员能够自动对企业内的客户端计算机上的卷进行加密的过程。
- 使安全监察官能够快速确定单个计算机或甚至企业本身的合规性状态。
- 通过 Microsoft Microsoft 终结点配置管理器提供集中报告和硬件管理。
- 减少了帮助台上的工作负荷,帮助最终用户完成 BitLocker 恢复请求。
- 使最终用户能够使用自助服务门户单独恢复加密的设备。
- 使安全监察官能够轻松审核对恢复密钥信息的访问权限。
- 使 Windows 企业用户能够在任何位置继续工作,确保其企业数据受到保护。
- 强制实施您为企业设置的 BitLocker 加密策略选项。
- 与现有管理工具(如 Microsoft 终结点配置管理器)集成。
- 提供 IT 可自定义的恢复用户体验。
- 支持 Windows10。
BitLocker升级
用户不需要任何操作的 BitLocker 就能将更新应用从 Microsoft,包括质量的 Windows 更新和功能更新。 对于下列各项等非 Microsoft 软件更新,用户需要暂停 BitLocker:
- 计算机制造商固件更新
- TPM 固件更新
- 修改启动组件的非 Microsoft 应用程序更新
如果您已暂停 BitLocker,则可以在安装升级或更新后恢复 BitLocker 保护。 在恢复保护后,BitLocker 将对加密密钥进行重新封装使其为测量的组件(已更改为升级或更新的一部分)的新值。 如果在没有暂停 BitLocker 情况下应用这些升级或更新类型,计算机将在重启时进入恢复模式,并且将需要恢复密钥或密码才能访问计算机。
BitLocker部署和管理
1. BitLocker对系统的开销
通常情况下,它将占用个位数百分比的性能开销。
2. BitLocker 初始加密时间
当启用 BitLocker 时,你还可以选择 BitLocker 是否应加密整个驱动器或仅加密驱动器的已使用空间。 在新的硬盘驱动器上,仅加密已使用空间可以比加密整个驱动器快得多。 当选择此加密选项时,BitLocker 会在保存数据时自动加密数据,确保无任何数据以未加密的形式存储。Windows10 中的 BitLocker 允许用户选择仅加密其数据。 尽管这不是加密驱动器的最安全方法,但此选项可以将加密时间减少超过99%,具体取决于需要加密的数据量。
3. BitLocker 加密状态
如果计算机处于关闭状态,或进入休眠状态,BitLocker 加密和解密过程将在下次 Windows 启动时从其停止的位置继续进行。
4. BitLocker 组策略
你可以将组策略设置配置为要求数据驱动器受 BitLocker 保护,然后才可将数据写入到受 BitLocker 保护的计算机。 有关详细信息,请参阅 BitLocker 组策略设置。 当启用这些策略设置时,受 BitLocker 保护的操作系统会将不受 BitLocker 保护的任何数据驱动器装载为只读。
5. Bitlocker 恢复模式
- 更改 BIOS 启动顺序从而先于硬盘驱动器启动其他驱动器。
- 添加或删除硬件,例如,将一张新卡(包括一些 PCMIA 无线卡)插入计算机。
- 删除、插入或完全耗尽便携式计算机智能电池上的电量
AppLocker
AppLocker 可帮助你控制用户可以运行的应用和文件。它们包括可执行文件、脚本、Windows 安装程序文件、动态链接库 (DLL)、应用包和应用包安装程序。所以AppLocker就是一款应用管理的工具。
AppLocker的功能
- 应用程序清单(审核日志)
AppLocker 能够强制其策略处于仅审核模式,这样所有应用访问活动都会在事件日志中注册。可以收集这些事件以供进一步分析。Windows PowerShell cmdlet 还帮助你以编程方式分析此数据。
- 防止不需要的软件(软件白名单)
AppLocker 支持在从允许列表中排除应用后拒绝运行这些应用。当在生产环境中实施 AppLocker 规则时,允许规则中不包含的任何应用都会被阻止运行。
- 许可一致性
AppLocker 可帮助你创建规则以防止未经许可的软件运行,并限制授权用户使用许可软件。
- 软件标准化(软件白名单分组)
可以配置 AppLocker 策略使其仅允许受支持或批准的应用在业务组内的计算机上运行。这样可以使应用部署更统一。
- 可管理性改进
与之前的软件限制策略相比,AppLocker 包括大量可管理性改进。导入和导出策略、从多个文件自动生成规则、仅审核模式部署以及 Windows PowerShell cmdlet 仅少量改进了软件限制策略。
AppLocker的场景
- 你组织的安全策略仅支持使用许可软件,因此你需要防止用户运行未经许可的软件,同时限制授权用户使用许可软件。
- 如果某个应用不再受组织的支持,你需要防止它被所有人使用。
- 在环境中引入不想要的软件的可能性比较大,因此你需要减少此威胁。
- 应用许可在组织中已被撤销或者已过期,所以你需要防止它被所有人使用。
- 新应用或新版本的应用已部署,因此需要防止用户运行旧版本。
- 组织内不允许使用特定的软件工具,或者只有特定用户才能访问这些工具。
- 单个用户或一小群用户需要使用被所有其他人拒绝的特定应用。
- 由于你组织内的某些计算机可能被具有不同软件使用需求的人共享,所以你需要保护特定应用。
- 除了其他措施,你还需要使用应用控制对敏感数据的访问。
AppLocker的安装与使用
AppLocker 随 Windows 企业级版本一起提供。你可以为一台计算机编写 AppLocker 规则,也可以为一组计算机编写。如果是为一台计算机编写规则,可以使用本地安全策略编辑器 (secpol.msc) 来编写。如果是为一组计算机编写规则,可以使用组策略管理控制台 (GPMC) 在组策略对象内编写。
注意
只有安装远程服务器管理工具,GPMC 才能在运行 Windows 的客户端计算机上使用。在运行 Windows Server 的计算机上,必须安装组策略管理功能。
AppLocker的常规要求
若要使用 AppLocker,你需要:
- 一台用于创建规则的运行受支持操作系统的设备。 计算机可以是域控制器。(域控制器)
- 对于组策略部署,至少有一台用于托管 AppLocker 规则的已安装组策略管理控制台 (GPMC) 或远程服务器管理工具 (RSAT) 的设备。(托管组策略的计算机)
- 多台用于强制执行所创建的 AppLocker 规则的运行支持的操作系统的设备。(被管理的设备)
注意
您可以将软件限制策略与 AppLocker 结合使用,但有一些限制。
AppLocker的操作系统要求
| 版本 |
可以配置 |
可以强制执行 |
适用规则 |
| Windows 10 |
是 |
是 |
Packagedapps |
| Windows Server 2019 |
是 |
是 |
Packagedapps |
注意
你可以在任何Windows10版本的上通过移动设备管理(MDM)配置AppLocker策略。 但是只能在Windows10 Enterprise、Windows10教育版和Windows Server2016 的设备上的通过组策略来管理 AppLocker。
具体哪些设备支持请参见下面的连接:
https://docs.microsoft.com/ZH-CN/windows/security/threat-protection/windows-defender-application-control/applocker/requirements-to-use-applocker
AppLocker的部署要点
规划AppLocker的部署
| 1. 决定如何实施AppLocker
|
2. 列出应用列表
|
3. 选择并创建规则
|
| 4. 定义组策略结构和规则执行
|
5. 创建一个管理规则的流程
|
6. 记录AppLocker计划
|
部署AppLocker
| 1. 在测试环境中测试规则 使用你记录的AppLocker计划
|
2. 测试并更新规则
|
3. 在生产环境中部署执行设置
|
| 4. 维护AppLocker策略
|
AppLocker的策略设计决策
1. 您需要在您的组织中控制哪些应用?
| 可能的答案 |
设计注意事项 |
| 控制所有应用(白名单) |
AppLocker 策略通过按文件类型创建允许的应用程序列表来控制应用程序。 还可能出现异常。 AppLocker 策略只能应用于运行受支持的 Windows 版本之一的计算机上安装的应用程序。 有关特定操作系统版本要求,请参阅使用 AppLocker 的要求。 |
| 控制特定应用程序(黑名单) |
创建 AppLocker 规则时,将创建允许的应用列表。 将允许运行该列表中的所有应用(例外列表中的应用除外)。 不在列表中的应用将被阻止运行。 AppLocker 策略仅可应用于运行任何支持的 Windows 版本的计算机上安装的应用。 |
| 仅控制经典 Windows 应用程序、仅控制通用 Windows 应用,或同时控制两者 |
AppLocker 策略通过按文件类型创建允许的应用列表来控制应用。 由于通用 Windows 应用按发布者条件分类,因此经典 Windows 应用程序和通用 Windows 应用可以一起进行控制。 适用于通用 Windows 应用的 AppLocker 策略只能应用于在支持 Microsoft Store 的电脑上安装的应用,但可以在所有支持的 Windows 版本上通过 AppLocker 控制经典 Windows 应用程序。 你当前为经典 Windows 应用程序配置的规则可以保留,你可以为通用 Windows 应用创建新规则。 |
| 按业务组和用户控制应用 |
AppLocker 策略可以通过组策略对象(GPO)应用到组织单元(OU)内的计算机对象。 可以将单个 AppLocker 规则应用于单个用户或用户组。 |
| 按计算机而不是用户控制应用 |
AppLocker 是基于计算机的策略实现。 如果您的域或网站组织结构不基于逻辑用户结构(如 OU),则可能需要在开始 AppLocker 计划之前设置该结构。 否则,你将必须标识用户、其计算机及其应用访问权限要求。 |
| 了解应用使用情况,但无需控制任何应用 |
AppLocker 策略可以设置为审核应用使用情况,以帮助你跟踪你的组织中使用的应用。 然后,你可以使用 AppLocker 事件日志创建 AppLocker 策略。 |
重要提示: 以下列表包含无法通过 AppLocker 管理的文件或文件类型:
- AppLocker 不会防止在 NT 虚拟 DOS 计算机(NTVDM)中运行16位 DOS 二进制文件。
- 不能使用 AppLocker 阻止代码在 Win32 子系统外部运行。
- AppLocker 只能控制 VBScript、JScript、.bat 文件、.cmd 文件和 Windows PowerShell 脚本。 它不控制在主机进程内运行的所有解释的代码,例如 Perl 脚本和宏。。
重要提示: 你应该为这些主机进程配置相应的安全设置(如果必须允许它们运行)。 例如,在 Microsoft Office 中配置安全设置以确保仅加载已签名和受信任的宏。
- AppLocker 规则允许或阻止应用启动。 AppLocker 在应用启动后不会控制应用的行为。 应用程序可以包含传递到函数的标志,这些函数可将 AppLocker 传递给信号来避开规则,并允许加载另一个 .exe 或 .dll 文件。
2. 您的组织中正在运行哪些 Windows 桌面和服务器操作系统?
如果你的组织支持多个 Windows 操作系统,应用控件策略规划将变得更加复杂。 初始设计决策应考虑在每个操作系统版本上安装的应用程序的安全和管理优先级。
3. 你的组织中是否存在需要自定义应用程序控制策略的特定组?
大多数企业组或部门都具有特定的安全要求,这些要求与数据访问和用于访问这些数据的应用程序相关。 在为整个组织部署应用程序控制策略之前,应考虑每个组的项目范围和组的优先级。
4. IT 部门是否有资源来分析应用程序使用情况并设计和管理策略?
可用于执行研究和分析的时间和资源可能会影响你的计划的详细信息和用于继续策略管理和维护的流程。
5. 您的组织是否有帮助台支持?
阻止用户访问已知、部署或个人应用程序最初会导致最终用户支持增加。 需要解决组织中的各种支持问题,以便遵守安全策略,并且不会妨碍业务工作流。
6. 您的组织是否已部署 SRP?
尽管 SRP 和 AppLocker 具有相同的目标,但 AppLocker 是 SRP 的主要修订版。
| 可能的答案 |
设计注意事项 |
| 是 |
无法使用 AppLocker 来管理 SRP 设置,但你可以使用 SRP 管理在要求中列出的任何受支持的操作系统上运行的计算机上的应用程序控制策略,以使用 AppLocker。 此外,如果在同一 GPO 中配置 AppLocker 和 SRP 设置,则仅在运行这些支持的操作系统的计算机上强制执行 AppLocker 设置。 |
| 否 |
为 AppLocker 配置的策略只能应用于运行受支持的操作系统的计算机,但也可以在这些操作系统上使用 SRP。 |
7. 实施应用程序控制策略时你的组织的优先级是什么?
某些组织将从应用程序控制策略中受益,如生产力或一致性的增加所示,其他组织将在履行其职责时阻碍。 对每个组的这些方面进行排序,使你能够评估 AppLocker 的有效性。
| 可能的答案 |
设计注意事项 |
| 工作效率:组织确保工具正常运行,并且可以安装所需的应用程序。 |
为了满足创新和生产效率目标,某些组需要能够从不同来源(包括他们开发的软件)安装和运行各种软件。 因此,如果创新和生产力为高优先级,则通过允许列表管理应用程序控制策略可能会非常耗时且有障碍。 |
| 管理:组织意识到并控制它支持的应用。 |
在某些业务组中,可以从一个中央控制点管理应用程序使用情况。 AppLocker 策略可以内置到 GPO 中以实现此目的。 这会将应用访问的负担转移到 IT 部门,但它还具有控制可运行的应用数和控制这些应用的版本的好处 |
| 安全性:组织必须确保仅使用已批准的应用,才能在部分中保护数据。 |
AppLocker 通过允许定义的一组用户访问访问数据的应用来帮助保护数据。 如果安全性是首要优先级,则应用程序控制策略将是最具限制性的。 |
8. Active Directory 域服务中的结构是否基于组织的层次结构?
基于已内置于 Active Directory 域服务(AD DS)的组织结构设计应用程序控制策略比将现有结构转换为组织结构更容易。 由于应用程序控制策略的有效性取决于更新策略的能力,因此请考虑在部署开始之前需要完成哪些组织工作。
| 可能的答案 |
设计注意事项 |
| 是 |
AppLocker 规则可以基于你的 AD DS 结构通过组策略开发和实现。 |
| 否 |
IT 部门必须创建一个方案来确定如何将应用程序控制策略应用到正确的用户或计算机。 |
AppLocker的发展
- 已向 New-AppLockerPolicy Windows PowerShell cmdlet 添加了一个新参数,该参数可使你选择可执行文件和 DLL 规则集合是否适用于非交互过程。若要启用此功能,请将“ServiceEnforcement”设置为“已启用”****。
- 已添加了新的 AppLocker 配置服务提供程序来允许你使用 MDM 服务器启用 AppLocker 规则。
- 你可以使用新的 AppLocker CSP管理 Windows 10 移动版设备*。
- 配置服务提供程序(CSP,Configuration service provider)是用于读取、设置、修改或删除设备上的配置设置的接口。 这些设置将映射到注册表项或文件。 某些配置服务提供程序支持 WAP 格式、某些支持 SyncML 以及某些支持。 SyncML 仅用于开放移动联盟设备管理(OMA DM),而 WAP 可用于 OMA 客户端预配,也可将其作为在启动期间安装的 provxml 文件包含在手机映像中。
软件限制策略(SRP)
注意
SRP 和 AppLocker 使用组策略进行域管理。 但是, 当由 SRP 和 AppLocker 生成的策略在同一域中存在, 并且通过组策略应用时, AppLocker 策略优先于运行支持的操作系统的计算机上由 SRP 生成的策略。重要提示: 最佳做法是使用单独的组策略对象来实现 SRP 和 AppLocker 策略。 若要减少故障排除问题, 请不要将它们合并到同一个 GPO 中。
策略执行优先级:AppLocker(组策略)> AppLocker(本地策略)>SRP
| 功能 |
软件限制策略 |
AppLocker |
| 规则范围 |
所有用户 |
特定用户或组 |
| 提供规则条件 |
文件哈希、路径、证书、注册表路径和 Internet 区域 |
文件哈希、路径和发布者 |
| 提供的规则类型 |
由安全级别定义:
|
允许和拒绝 |
| 默认规则操作 |
无限制 |
隐式拒绝 |
| 仅审核模式 |
否 |
是 |
| 一次创建多个规则的向导 |
否 |
是 |
| 策略导入或导出 |
否 |
是 |
| 规则集合 |
否 |
是 |
| Windows PowerShell 支持 |
否 |
是 |
| 自定义错误消息 |
否 |
是 |
| 应用程序控制函数 |
软件限制策略(SRP) |
AppLocker |
| 操作系统范围 |
SRP 策略可应用于从 Windows XP 和 Windows Server 2003 开始的所有 Windows 操作系统。 |
AppLocker 策略仅适用于在要求中列出的受支持的操作系统版本和使用 AppLocker的版本。 但这些系统也可以使用 SRP。 注意 |
| 用户支持 |
SRP 允许用户以管理员身份安装应用程序。 |
AppLocker 策略通过组策略进行维护, 并且只有设备管理员可以更新 AppLocker 策略。 AppLocker 允许自定义错误消息以将用户引导到网页以寻求帮助。 |
| 策略维护 |
通过使用本地安全策略管理单元或组策略管理控制台 (GPMC) 更新 SRP 策略。 |
AppLocker 策略通过使用本地安全策略管理单元或 GPMC 进行更新。 AppLocker 支持一组小型 PowerShell cmdlet, 以帮助管理和维护。 |
| 策略管理基础结构 |
若要管理 SRP 策略, SRP 使用域中的组策略和本地计算机的本地安全策略管理单元。 |
为了管理 AppLocker 策略, AppLocker 使用域内的组策略和本地计算机的本地安全策略管理单元。 |
| 阻止恶意脚本 |
阻止恶意脚本的规则可防止运行与 Windows 脚本宿主关联的所有脚本 (由你的组织进行数字签名除外)。 |
AppLocker 规则可以控制以下文件格式:. ps1、.bat、.cmd、.vbs 和 .js。 此外, 你可以设置例外以允许运行特定文件。 |
| 管理软件安装 |
SRP 可以阻止安装所有 Windows Installer 程序包。 它允许安装由你的组织进行数字签名的 .msi 文件。 |
Windows Installer 规则集合是为 Windows Installer 文件类型 (.mst、.msi 和 .msp) 创建的一组规则, 允许你控制客户端计算机和服务器上的文件安装。 |
| 管理计算机上的所有软件 |
所有软件都在一个规则集中进行管理。 默认情况下, 用于管理设备上的所有软件的策略不允许用户设备上的所有软件, 但安装在 Windows 文件夹、程序文件文件夹或子文件夹中的软件除外。 |
与 SRP 不同的是, 每个 AppLocker 规则集合都充当允许的文件列表。 将仅允许运行规则集合中列出的文件。 此配置使管理员能够更轻松地确定应用 AppLocker 规则时将发生的情况。 |
| 不同用户的不同策略 |
规则统一应用于特定设备上的所有用户。 |
在由多个用户共享的设备上, 管理员可以指定可访问已安装软件的用户组。 使用 AppLocker, 管理员可以指定要对其应用特定规则的用户。 |
参考链接
BitLocker:https://docs.microsoft.com/zh-cn/windows/security/information-protection/bitlocker/bitlocker-overview
AppLocker:https://docs.microsoft.com/zh-cn/windows/security/threat-protection/windows-defender-application-control/applocker/applocker-overview
软件限制策略:https://docs.microsoft.com/zh-cn/windows-server/identity/software-restriction-policies/software-restriction-policies