這篇文章基於“ Microsoft Windows – Applocker Policy”以及針對系統管理員的主題,它為您的應用程序控制策略以及如何使用它們定義了AppLocker規則。
表中的內容
Applocker簡介
- 什么是Applocker政策?
- 誰應該使用AppLocker?
- 您的規則可以基於什么?
將Applocker配置為允許/拒絕執行某個應用程序
- 配置執行規則
- 創建默認規則
修改可執行默認規則以允許應用
- 規則條件
- 發行人
- 路徑
- 文件哈希
修改Windows Installer默認規則以允許應用
修改腳本默認規則以允許應用
創建新規則以阻止APP
Applocker簡介
什么是Applocker政策?
Windows Applocker是家庭Windows 7和Windows Server 2008 r2中引入的一項功能,它是一種限制使用不需要的程序的方法。Windows AppLocker使管理員可以控制拒絕或允許運行哪些可執行文件。使用此策略,管理員可以基於文件名,發布者或文件位置(基於文件的唯一標識)生成規則,並指定哪些用戶或組可以執行那些應用程序。
您的規則可以基於什么?
AppLocker控制台按順序排列到規則集合中,其中包括可執行文件,腳本,Windows Installer文件,打包的應用程序和打包的應用程序安裝程序以及DLL文件。這些集合使您可以輕松區分不同類型的應用程序的規則。下表列出了每個規則集合中包含的文件格式。
誰應該使用AppLocker?
對於需要完成以下任何一項工作的組織,AppLocker是很有價值的:
- 檢查允許哪些應用程序在公司網絡內運行。
- 檢查允許哪些用戶使用許可程序。
- 提供有關客戶端正在運行哪種應用程序的審核日志。
- 防止時尚用戶為每個用戶安裝軟件。
將Applocker配置為允許/拒絕執行某個應用程序
在“ 計算機配置”>“ Windows設置”>“安全性設置”>“應用程序控制策略”>“ AppLocker”中的組策略對象編輯器中,存在Windows AppLocker設置。
配置執行規則
對每個集合使用實施設置將其配置為“ 實施規則”,對規則集合實施規則,並審核所有事件。
- 選中要編輯的規則集合的“已 配置”復選框,然后驗證是否選擇了“ 強制實施規則”。
- 單擊確定。
打開“ 高級”選項卡,然后啟用DLL規則收集。
創建默認規則
AppLocker包括每個規則集合的默認規則。這些規則旨在幫助確保AppLocker規則集合中允許Windows正常運行所需的文件。
- 打開AppLocker控制台。
- 右鍵單擊要為其自動生成默認規則的適當規則類型。您可以自動創建可執行規則,Windows Installer規則,腳本規則和打包的應用程序規則。
- 單擊創建默認規則。
可執行的默認規則類型包括:
- 允許本地Administrators 組的成員 運行所有應用程序。
- 允許Everyone 組的成員 運行Windows文件夾中的應用程序。
- 允許Everyone 組的成員 運行位於Program Files文件夾中的應用程序。
修改可執行默認規則以允許應用
可以將規則配置為使用允許或拒絕操作:
- 允許:您可以指定允許在您的環境中運行哪些文件,以及哪些用戶或用戶組。
- 拒絕:您可以指定哪些文件 沒有 允許在您的環境中運行,以及哪些用戶或用戶組。
如上所述配置默認規則后,您可以根據需要對其進行修改。例如,如果要修改規則:“ 允許Everyone 組的成員 運行位於Program Files文件夾中的應用程序 ”,以使特定用戶或組可以執行特定的程序文件,然后右鍵單擊以獲取其屬性。遵循該規則,然后執行以下步驟。
選擇此規則應影響的文件或文件夾路徑。星號(*)可以用作路徑規則中的通配符。例如,%ProgramFiles%\ *表示該路徑內的所有文件和子文件夾。
規則條件
規則的條件是AppLocker標識規則適用的應用程序的條件。三個主要規則是文件的發布者,路徑和哈希。
發行人
標識基於數字簽名的應用程序。數字簽名包含有關創建應用程序的公司(發布者)的信息。
根據以下規范,通配符可以用作發布者規則字段中的值:
優點:
- 不需要頻繁更新。
- 您可以在證書中應用不同的值。
- 您可以使用一個規則來允許一個完整的產品套件。
- 在發布者規則內,您可以使用星號(*)通配符指定任何值都應匹配。
缺點:
- 雖然可以使用一條規則來允許一個完整的產品套件,但是套件中的所有文件都必須進行統一簽名。
路徑
通過計算機文件系統或網絡上的位置來標識該應用程序。對於程序文件和Windows之類的知名路徑,AppLocker使用自定義路徑變量。
優點:
- 可以輕松控制多個文件夾或單個文件。
- 星號(*)可以用作路徑規則中的通配符。例如,%ProgramFiles%\ Microsoft Office \ *表示該規則將影響Microsoft Office文件夾中的所有文件和子文件夾。
壞處:
- 如果組織為使用文件夾路徑的規則包含本地用戶可寫的子文件夾,則可能會有危險。
文件哈希
表示計算出的已識別文件的加密哈希系統。對於非數字簽名文件,文件哈希規則比路徑規則更安全。
優勢:
- 由於每個文件都有唯一的哈希,因此文件哈希條件僅適用於一個文件。
壞處:
- 每當文件更新(例如安全更新或升級)時,文件的哈希都會更改。因此,您必須手動更新文件哈希規則。
修改Windows Installer默認規則以允許應用
Windows Installer默認規則類型包括:
- 允許本地Administrators 組的成員 運行所有Windows Installer文件。
- 允許Everyone 組的成員 運行所有經過數字簽名的Windows Installer文件。
- 允許Everyone 組的成員 運行Windows \ Installer文件夾中的所有Windows Installer文件。
同樣,如果要修改Windows Install默認規則,請重復上述步驟。
根據以下規范,通配符可以用作發布者規則字段中的值:
發布者:本身使用的星號(*)表示任何發布者。
產品名稱:本身使用的星號(*)字符代表任何產品名稱。
文件名:自己使用的星號(*)或問號(?)字符代表任何和所有文件名。
文件版本:本身使用的星號(*)字符表示任何文件版本。如果要將文件版本限制為特定版本或作為起點,可以聲明文件版本,然后使用以下選項應用限制:
- 沒錯。該規則僅適用於此版本的應用
- 及以上。該規則適用於此版本和所有更高版本。
- 及以下。該規則適用於此版本和所有早期版本。
打開例外,然后再次選擇發布者。
修改腳本默認規則以允許應用
腳本默認規則類型包括:
- 允許本地Administrators 組的成員 運行所有腳本。
- 允許Everyone 組的成員 運行位於Program Files文件夾中的腳本。
- 允許Everyone 組的成員 運行Windows文件夾中的腳本。
同樣,如果要修改腳本默認規則,請重復上述步驟。
選擇此規則應影響的文件或文件夾路徑。
打開例外,然后再次選擇發布者。
這樣,您可以實施默認規則,並根據您的情況對可執行文件,腳本規則或Windows Installer文件進行修改。
創建新規則以阻止APP
如果您想制定自己的規則以允許或拒絕任何應用程序的操作,則可以選擇下面的選項“創建新規則”。假設我想創建一個新的可執行文件規則,以限制所有人的命令提示符執行。
然后,您將獲得一個向導,可幫助您創建一個Applocker規則,該規則將真正基於文件屬性,例如文件路徑和數字簽名。
注意:在此計算機上安裝要為其創建規則的應用程序。
現在,要使用的操作以及應應用此規則的用戶或組。一個拒絕行動阻止受感染的文件運行。
選擇您要創建的主要條件的類型。在這里,我們選擇了“ 發布者 ”選項。
瀏覽已簽名的文件以用作該規則的參考。在這里,我們瀏覽了cmd.exe,然后單擊下一步。
選擇發布者作為例外,然后單擊下一步。
最后,這將添加您的規則以限制cmd.exe。
將應用程序身份設置為自動模式:
然后通過“ 計算機配置”>“策略”>“ Windows設置”>“安全設置”>“系統服務”> “應用程序身份”,導航到“應用程序身份屬性” 。
然后啟用“ 自動 ”選項作為服務啟動模式。
現在,借助gpupdate命令更新組策略。
現在,當您嘗試打開命令提示符“ cmd.exe”時,將顯示服務限制提示,如下所示。
