В этой статье рассмотрим механизм AppLocker, который позволяет блокировать запуск определенных приложений для некоторых групп пользователей.
Теория
Механизм AppLocker впервые появился в Windows 8.1 и Windows Server 2012 и позволил:
- блокировать запуск приложений;
- работать в режиме аудита, при этом приложения будут запускаться но в журнале будут появляться записи.
AppLocker позволяет блокировать запуск следующих типов файлов:
- исполняемые (.exe, .com);
- установщики (.msi, .msp, .mst);
- сценарии (.ps1, .bat, .cmd, .vbs, .js);
- упакованные приложения (.appx);
- DLL-файлы (.dll, .ocx) — не включена по умолчанию.
AppLocker предоставляет простой GUI-механизм на основе правил для определения того, каким приложениям разрешено запускаться конкретными пользователями и группами. Эта технология использует два типа правил:
- разрешить запуск конкретных файлов, запретив всё остальное;
- запретить запуск конкретных файлов, разрешив всё остальное.
У каждого правила может быть список исключений. Например можно создать правило «Разрешить запускать всё в каталогах C:\Windows и C:\ProgramFiles, за исключением Regedit.exe».
AppLocker может идентифицировать приложения по:
- сертификату приложения. Например разрешить запускаться только программам подписанным определенным сертификатом;
- пути к каталогу с приложениями. Например разрешить запускаться только из определенного каталога;
- хешу файла. Интересный вариант, так как если приложение будет изменено, например вирусом, то хеш его изменится и оно не запустится. Но если приложение изменится в ходе обновления, то оно тоже не запустится.
Практика
На локальном компьютере правила AppLocker могут быть определены с помощью «Локальной политики безопасности (secpol.msc)». А в домене правила можно распространять групповой политикой безопасности.
Если нажать «Настроить применения правил«, то можно выбрать к каким типам файлов применять правила. А также нужно будет указать: применять правила или вести аудит:
Если нажать на какой-нибудь типе файлов, то вы перейдете в раздел, где сможете создать правила для этого типа файлов:
Давайте создадим правила «по умолчанию» и посмотрим на них:
Появились три правила, которые разрешают:
- всем пользователям запускать приложения из Programm Files;
- всем пользователям запускать приложения из Windows;
- только администраторам запускать приложения из любых мест.
Точно также можно добавлять правила и для других типов файлов.
Правила для DLL-библиотек
Включить коллекцию DLL-правил можно перейдя на вкладку «Дополнительно». Установите флажок «Включить коллекцию правил DLL» и нажмите кнопку ОК:
Условия работы AppLocker
Для работы AppLocker нужна работающая служба «Удостоверения приложений (AppIDSvc)»:
