Поделиться через

Общие сведения об элементе управления приложениями для бизнеса и AppLocker

  • Статья
  • Применяется к:
    Windows 11, ✅ Windows 10

Примечание.

Некоторые возможности управления приложениями для бизнеса доступны только в определенных версиях Windows. Дополнительные сведения о доступности функций управления приложениями.

Windows 10 и Windows 11 включают две технологии, которые можно использовать для управления приложениями в зависимости от конкретных сценариев и требований вашей организации: Управление приложениями для бизнеса и AppLocker.

Управление приложениями для бизнеса

Элемент управления приложениями появился с Windows 10 и позволяет организациям контролировать, какие драйверы и приложения разрешено запускать на своих клиентах Windows. Он был разработан в качестве функции безопасности в соответствии с критериями обслуживания, определенными Центром реагирования на безопасность Майкрософт (MSRC).

Политики управления приложениями применяются к управляемому компьютеру в целом и затрагивают всех пользователей устройства. Правила управления приложениями можно определить на основе:

  • Атрибуты сертификатов codesigning, используемых для подписи приложения и его двоичных файлов
  • Атрибуты двоичных файлов приложения, которые поступают из подписанных метаданных для файлов, таких как исходное имя файла и версия, или хэш файла
  • Репутация приложения, определяемая корпорацией Майкрософт Intelligent Security Graph
  • Удостоверение процесса, который инициировал установку приложения и его двоичных файлов (управляемый установщик)
  • Путь, с которого запускается приложение или файл (начиная с Windows 10 версии 1903).
  • Процесс, запускающий приложение или двоичный файл

Примечание.

Элемент управления приложениями первоначально был выпущен в составе Device Guard и назывался настраиваемой целостностью кода. Device Guard и настраиваемая целостность кода больше не используются, кроме как для поиска места развертывания политики управления приложениями с помощью групповая политика.

Требования к системе управления приложениями

Политики управления приложениями можно создавать и применять к любому клиентскому выпуску Windows 10, Windows 11, Windows Server 2016 и более поздних версий. Политики управления приложениями можно развернуть с помощью решения mobile Управление устройствами (MDM), например Intune; интерфейса управления, например Configuration Manager; или узла скриптов, например PowerShell. групповая политика также можно использовать для развертывания политик управления приложениями, но ограничивается политиками формата одной политики, которые работают в Windows Server 2016 и 2019.

Дополнительные сведения о том, какие отдельные функции управления приложениями доступны в определенных сборках элемента управления приложениями, см. в разделе Доступность функций управления приложениями.

AppLocker

AppLocker появился в Windows 7 и позволяет организациям контролировать, какие приложения разрешено запускать на своих клиентах Windows. AppLocker помогает предотвратить запуск неутвержденного программного обеспечения конечными пользователями на своих компьютерах, но не соответствует критериям обслуживания для функции безопасности.

Политики AppLocker могут применяться ко всем пользователям на компьютере или к отдельным пользователям и группам. Правила AppLocker можно определить на основе:

  • Атрибуты сертификатов codesigning, используемых для подписи приложения и его двоичных файлов.
  • Атрибуты двоичных файлов приложения, которые поступают из подписанных метаданных файлов, таких как исходное имя файла и версия, или хэш файла.
  • Путь, с которого запускается приложение или файл.

AppLocker также используется некоторыми функциями управления приложениями, включая управляемый установщик и граф интеллектуальной безопасности.

Требования к системе AppLocker

Политики AppLocker можно настроить и применять только к устройствам, работающим в поддерживаемых версиях и выпусках операционной системы Windows. Дополнительные сведения см. в разделе Необходимые условия для использования AppLocker. Политики AppLocker можно развернуть с помощью групповая политика или MDM.

Выбор времени использования элемента управления приложениями или AppLocker

Как правило, клиенты, которые могут реализовать управление приложениями с помощью управления приложениями, а не AppLocker, должны делать это. Элемент управления приложениями постоянно совершенствуется и получает дополнительную поддержку от платформ управления Майкрософт. Хотя AppLocker продолжает получать исправления безопасности, он не получает новых улучшений функций.

Однако в некоторых случаях AppLocker может быть наиболее подходящей технологией для вашей организации. AppLocker лучше всего использовать, когда:

  • У вас есть смешанная среда операционной системы (ОС) Windows, и необходимо применить те же элементы управления политикой к Windows 10 и более ранним версиям ОС.
  • Необходимо применять разные политики для разных пользователей или групп на общих компьютерах.
  • Вы не хотите применять управление приложениями для файлов приложений, таких как библиотеки DLL или драйверы.

AppLocker также можно развернуть в качестве дополнения к элементу управления приложениями, чтобы добавить правила, зависящие от пользователей или групп, для сценариев с общими устройствами, где важно запретить некоторым пользователям запускать определенные приложения. Рекомендуется применить функцию управления приложениями на максимально возможном для вашей организации уровне, а затем использовать AppLocker для дальнейшей настройки ограничений.