Общие сведения об элементе управления приложениями для бизнеса и AppLocker
Примечание.
Некоторые возможности управления приложениями для бизнеса доступны только в определенных версиях Windows. Дополнительные сведения о доступности функций управления приложениями.
Windows 10 и Windows 11 включают две технологии, которые можно использовать для управления приложениями в зависимости от конкретных сценариев и требований вашей организации: Управление приложениями для бизнеса и AppLocker.
Управление приложениями для бизнеса
Элемент управления приложениями появился с Windows 10 и позволяет организациям контролировать, какие драйверы и приложения разрешено запускать на своих клиентах Windows. Он был разработан в качестве функции безопасности в соответствии с критериями обслуживания, определенными Центром реагирования на безопасность Майкрософт (MSRC).
Политики управления приложениями применяются к управляемому компьютеру в целом и затрагивают всех пользователей устройства. Правила управления приложениями можно определить на основе:
- Атрибуты сертификата codesigning, используемого для подписи приложения и его двоичных файлов
- Атрибуты двоичных файлов приложения, которые поступают из подписанных метаданных для файлов, таких как исходное имя файла и версия, или хэш файла
- Репутация приложения, определяемая корпорацией Майкрософт Intelligent Security Graph
- Удостоверение процесса, который инициировал установку приложения и его двоичных файлов (управляемый установщик)
- Путь к приложению или файлу на диске (начиная с Windows 10 версии 1903)
- Процесс, запускающий приложение или двоичный файл
Примечание.
Управление приложениями для бизнеса первоначально было выпущено в составе Device Guard и называлось настраиваемой целостностью кода. Термины Device Guard и настраиваемая целостность кода больше не используются в элементе управления приложениями, за исключением случаев развертывания политик с помощью групповая политика.
Требования к системе управления приложениями
Политики управления приложениями можно создавать и применять к любому клиентскому выпуску Windows 10, Windows 11, Windows Server 2016 и более поздних версий. Политики управления приложениями можно развернуть с помощью решения mobile Управление устройствами (MDM), например Intune; интерфейса управления, например Configuration Manager; или узла скриптов, например PowerShell. групповая политика также можно использовать для развертывания политик управления приложениями, но ограничивается политиками формата одной политики, которые работают в Windows Server 2016 и 2019.
Дополнительные сведения о том, какие отдельные функции управления приложениями доступны в вашей версии Windows, см. в разделе Доступность функций управления приложениями.
AppLocker
AppLocker появился в Windows 7 и позволяет организациям контролировать, какие приложения разрешено запускать на своих клиентах Windows. AppLocker помогает предотвратить запуск неутвержденного программного обеспечения конечными пользователями на своих компьютерах, но не соответствует критериям обслуживания для функции безопасности.
Политики AppLocker могут применяться ко всем пользователям на компьютере или к отдельным пользователям и группам. Правила AppLocker можно определить на основе:
- Атрибуты сертификата codesigning, используемого для подписи приложения и его двоичных файлов.
- Атрибуты двоичных файлов приложения, которые поступают из подписанных метаданных файлов, таких как исходное имя файла и версия, или хэш файла.
- Путь к приложению или файлу на диске.
AppLocker также используется некоторыми функциями управления приложениями, включая управляемый установщик и граф интеллектуальной безопасности.
Требования к системе AppLocker
Политики AppLocker можно настроить и применять только к устройствам, работающим в поддерживаемых версиях и выпусках операционной системы Windows. Дополнительные сведения см. в разделе Необходимые условия для использования AppLocker. Политики AppLocker можно развернуть с помощью групповая политика или MDM.
Выбор времени использования элемента управления приложениями или AppLocker
Как правило, клиенты, которые могут реализовать управление приложениями с помощью управления приложениями, а не AppLocker, должны делать это. Элемент управления приложениями постоянно совершенствуется и получает дополнительную поддержку от платформ управления Майкрософт. Хотя AppLocker продолжает получать исправления безопасности, он не получает новых улучшений функций.
Однако в некоторых случаях AppLocker может быть наиболее подходящей технологией для вашей организации. AppLocker лучше всего использовать, когда:
- У вас есть смешанная среда операционной системы (ОС) Windows, и необходимо применить те же элементы управления политикой к Windows 10 и более ранним версиям ОС.
- Необходимо применять разные политики для разных пользователей или групп на общих компьютерах.
AppLocker также можно развернуть в качестве дополнения к элементу управления приложениями, чтобы добавить правила, зависящие от пользователей или групп, для сценариев с общими устройствами, где важно запретить некоторым пользователям запускать определенные приложения. Рекомендуется применить функцию управления приложениями на максимально возможном для вашей организации уровне, а затем использовать AppLocker для дальнейшей настройки ограничений.
Что следует прочитать дальше
Если вы хотите использовать элемент управления приложениями, одну из самых мощных функций безопасности в Windows, необходимо спланировать и подготовиться, если вы хотите добиться успеха. Начните с изучения руководства по проектированию элемента управления приложениями для бизнеса.
Если вы готовы перейти и приступить к созданию политик, вернитесь к разделу Управление интеллектуальными приложениями и используйте политику интеллектуального управления приложениями для создания собственной начальной политики.