这篇文章基于“ Microsoft Windows – Applocker Policy”以及针对系统管理员的主题,它为您的应用程序控制策略以及如何使用它们定义了AppLocker规则。
表中的内容
Applocker简介
- 什么是Applocker政策?
- 谁应该使用AppLocker?
- 您的规则可以基于什么?
将Applocker配置为允许/拒绝执行某个应用程序
- 配置执行规则
- 创建默认规则
修改可执行默认规则以允许应用
- 规则条件
- 发行人
- 路径
- 文件哈希
修改Windows Installer默认规则以允许应用
修改脚本默认规则以允许应用
创建新规则以阻止APP
Applocker简介
什么是Applocker政策?
Windows Applocker是家庭Windows 7和Windows Server 2008 r2中引入的一项功能,它是一种限制使用不需要的程序的方法。Windows AppLocker使管理员可以控制拒绝或允许运行哪些可执行文件。使用此策略,管理员可以基于文件名,发布者或文件位置(基于文件的唯一标识)生成规则,并指定哪些用户或组可以执行那些应用程序。
您的规则可以基于什么?
AppLocker控制台按顺序排列到规则集合中,其中包括可执行文件,脚本,Windows Installer文件,打包的应用程序和打包的应用程序安装程序以及DLL文件。这些集合使您可以轻松区分不同类型的应用程序的规则。下表列出了每个规则集合中包含的文件格式。
谁应该使用AppLocker?
对于需要完成以下任何一项工作的组织,AppLocker是很有价值的:
- 检查允许哪些应用程序在公司网络内运行。
- 检查允许哪些用户使用许可程序。
- 提供有关客户端正在运行哪种应用程序的审核日志。
- 防止时尚用户为每个用户安装软件。
将Applocker配置为允许/拒绝执行某个应用程序
在“ 计算机配置”>“ Windows设置”>“安全性设置”>“应用程序控制策略”>“ AppLocker”中的组策略对象编辑器中,存在Windows AppLocker设置。
配置执行规则
对每个集合使用实施设置将其配置为“ 实施规则”,对规则集合实施规则,并审核所有事件。
- 选中要编辑的规则集合的“已 配置”复选框,然后验证是否选择了“ 强制实施规则”。
- 单击确定。
打开“ 高级”选项卡,然后启用DLL规则收集。
创建默认规则
AppLocker包括每个规则集合的默认规则。这些规则旨在帮助确保AppLocker规则集合中允许Windows正常运行所需的文件。
- 打开AppLocker控制台。
- 右键单击要为其自动生成默认规则的适当规则类型。您可以自动创建可执行规则,Windows Installer规则,脚本规则和打包的应用程序规则。
- 单击创建默认规则。
可执行的默认规则类型包括:
- 允许本地Administrators 组的成员 运行所有应用程序。
- 允许Everyone 组的成员 运行Windows文件夹中的应用程序。
- 允许Everyone 组的成员 运行位于Program Files文件夹中的应用程序。
修改可执行默认规则以允许应用
可以将规则配置为使用允许或拒绝操作:
- 允许:您可以指定允许在您的环境中运行哪些文件,以及哪些用户或用户组。
- 拒绝:您可以指定哪些文件 没有 允许在您的环境中运行,以及哪些用户或用户组。
如上所述配置默认规则后,您可以根据需要对其进行修改。例如,如果要修改规则:“ 允许Everyone 组的成员 运行位于Program Files文件夹中的应用程序 ”,以使特定用户或组可以执行特定的程序文件,然后右键单击以获取其属性。遵循该规则,然后执行以下步骤。
选择此规则应影响的文件或文件夹路径。星号(*)可以用作路径规则中的通配符。例如,%ProgramFiles% *表示该路径内的所有文件和子文件夹。
规则条件
规则的条件是AppLocker标识规则适用的应用程序的条件。三个主要规则是文件的发布者,路径和哈希。
发行人
标识基于数字签名的应用程序。数字签名包含有关创建应用程序的公司(发布者)的信息。
根据以下规范,通配符可以用作发布者规则字段中的值:
优点:
- 不需要频繁更新。
- 您可以在证书中应用不同的值。
- 您可以使用一个规则来允许一个完整的产品套件。
- 在发布者规则内,您可以使用星号(*)通配符指定任何值都应匹配。
缺点:
- 虽然可以使用一条规则来允许一个完整的产品套件,但是套件中的所有文件都必须进行统一签名。
路径
通过计算机文件系统或网络上的位置来标识该应用程序。对于程序文件和Windows之类的知名路径,AppLocker使用自定义路径变量。
优点:
- 可以轻松控制多个文件夹或单个文件。
- 星号(*)可以用作路径规则中的通配符。例如,%ProgramFiles% Microsoft Office *表示该规则将影响Microsoft Office文件夹中的所有文件和子文件夹。
坏处:
- 如果组织为使用文件夹路径的规则包含本地用户可写的子文件夹,则可能会有危险。
文件哈希
表示计算出的已识别文件的加密哈希系统。对于非数字签名文件,文件哈希规则比路径规则更安全。
优势:
- 由于每个文件都有唯一的哈希,因此文件哈希条件仅适用于一个文件。
坏处:
- 每当文件更新(例如安全更新或升级)时,文件的哈希都会更改。因此,您必须手动更新文件哈希规则。
修改Windows Installer默认规则以允许应用
Windows Installer默认规则类型包括:
- 允许本地Administrators 组的成员 运行所有Windows Installer文件。
- 允许Everyone 组的成员 运行所有经过数字签名的Windows Installer文件。
- 允许Everyone 组的成员 运行Windows Installer文件夹中的所有Windows Installer文件。
同样,如果要修改Windows Install默认规则,请重复上述步骤。
根据以下规范,通配符可以用作发布者规则字段中的值:
发布者:本身使用的星号(*)表示任何发布者。
产品名称:本身使用的星号(*)字符代表任何产品名称。
文件名:自己使用的星号(*)或问号(?)字符代表任何和所有文件名。
文件版本:本身使用的星号(*)字符表示任何文件版本。如果要将文件版本限制为特定版本或作为起点,可以声明文件版本,然后使用以下选项应用限制:
- 没错。该规则仅适用于此版本的应用
- 及以上。该规则适用于此版本和所有更高版本。
- 及以下。该规则适用于此版本和所有早期版本。
打开例外,然后再次选择发布者。
修改脚本默认规则以允许应用
脚本默认规则类型包括:
- 允许本地Administrators 组的成员 运行所有脚本。
- 允许Everyone 组的成员 运行位于Program Files文件夹中的脚本。
- 允许Everyone 组的成员 运行Windows文件夹中的脚本。
同样,如果要修改脚本默认规则,请重复上述步骤。
选择此规则应影响的文件或文件夹路径。
打开例外,然后再次选择发布者。
这样,您可以实施默认规则,并根据您的情况对可执行文件,脚本规则或Windows Installer文件进行修改。
创建新规则以阻止APP
如果您想制定自己的规则以允许或拒绝任何应用程序的操作,则可以选择下面的选项“创建新规则”。假设我想创建一个新的可执行文件规则,以限制所有人的命令提示符执行。
然后,您将获得一个向导,可帮助您创建一个Applocker规则,该规则将真正基于文件属性,例如文件路径和数字签名。
注意:在此计算机上安装要为其创建规则的应用程序。
现在,要使用的操作以及应应用此规则的用户或组。一个拒绝行动阻止受感染的文件运行。
选择您要创建的主要条件的类型。在这里,我们选择了“ 发布者 ”选项。
浏览已签名的文件以用作该规则的参考。在这里,我们浏览了cmd.exe,然后单击下一步。
选择发布者作为例外,然后单击下一步。
最后,这将添加您的规则以限制cmd.exe。
将应用程序身份设置为自动模式:
然后通过“ 计算机配置”>“策略”>“ Windows设置”>“安全设置”>“系统服务”> “应用程序身份”,导航到“应用程序身份属性” 。
然后启用“ 自动 ”选项作为服务启动模式。
现在,借助gpupdate命令更新组策略。
现在,当您尝试打开命令提示符“ cmd.exe”时,将显示服务限制提示,如下所示。
