通过

Windows 应用程序控制

注意

适用于企业的 App Control 的某些功能仅适用于特定 Windows 版本。 详细了解 应用控制功能可用性

组织的数据是其最有价值的资产之一...和对手想要它。 无论你对数据应用什么安全控制,都没有控件可以完全保护最易受攻击的目标:坐在键盘前的受信任用户。 当用户运行某个进程时,该进程与用户共享对数据的访问权限相同。 因此,当用户有意或无意地运行恶意软件时,很容易传输、修改、删除或加密敏感信息。 每天创建数千个新恶意文件,仅依赖防病毒 (AV) 解决方案等传统方法,就不足以抵御新的攻击。

应用程序控制将 Windows 从所有代码运行的位置更改为仅当策略如此说明时,所有代码运行的位置(除非 AV 解决方案可以自信地预测其错误)。 你面临的网络威胁会迅速变化,你的防御也需要改变。 政府和安全组织(如澳大利亚信号局)经常将应用程序控制作为解决可执行文件 (.exe、.dll 等 ) 威胁的最有效方法之一。 它与 AV 解决方案一起工作,通过限制用户可以运行的应用,甚至限制 System Core (内核) 中运行的代码,帮助缓解安全威胁。

重要提示

尽管应用程序控制可以显著强化计算机免受恶意代码的侵害,但它不能替代防病毒软件。 应继续维护有效的防病毒解决方案和应用控制,以全面实现企业安全组合。

尽管我们称之为应用程序控制,但在系统上运行的代码并不总是应用。 应用程序控制扩展到应用之外,还涵盖脚本和Microsoft安装程序, (MSI) 、命令行批处理文件,甚至以约束语言模式运行的Windows PowerShell的交互式会话。

Windows 包括两种应用程序控制技术,你可以根据组织的特定方案和要求使用:

  • 适用于企业的应用控制 (应用控制) ;和
  • AppLocker

应用控件和智能应用控件

从 Windows 11 版本 22H2 开始,智能应用控制为消费者和一些具有更简单应用组合的小型企业带来了可靠的应用程序控制。 智能应用控制确保只有已签名的代码运行,或者我们的智能云安全服务预测为安全的代码。 如果代码未签名,并且服务无法自信地预测它是安全的运行时,我们将阻止它。 随着时间的推移,代码的信誉可能会随着服务处理它收到的新信号而改变。 同时,始终会阻止确定不安全的代码。

虽然智能应用控制是为消费者设计的,但我们相信它是大多数组织的理想起点。 由于我们完全基于适用于企业的 App Control 构建,因此可以创建一个与智能应用控制相同的安全性和兼容性的策略,该策略还信任组织所需的业务线 (LOB) 应用。 智能应用控制用于预测哪些代码可安全运行的服务在适用于企业的 App Control 中也可用,并称为智能安全图 (ISG) 。

智能应用控制在评估模式下启动,并在 48 小时内关闭企业托管设备,除非用户先将其打开。 如果要跨组织的终结点主动关闭智能应用控制,请将 DWORD (DWORD) 注册表值下设置 VerifiedAndReputablePolicyStateHKLM\SYSTEM\CurrentControlSet\Control\CI\Policy 如下表所示。 更改注册表值后,必须运行 CiTool.exe -r 才能使更改生效。

描述
0 关闭
1 施行
2 评估

重要提示

关闭智能应用控制后,如果不重置或重新安装 Windows,则无法将其打开。

用于智能应用控制的应用控制策略与应用控制向导策略创作工具捆绑在一起,在 %windir%/schemas/CodeIntegrity/ExamplePolicies/SmartAppControl.xml也作为示例策略找到。 若要将此示例策略用作你自己的策略的起点,请参阅 使用智能应用控制策略构建自己的基本策略。 使用智能应用控制示例策略作为你自己的自定义策略的基础时,必须删除 选项 Enabled:Conditional Windows Lockdown Policy ,以便它已准备好用作适用于企业的应用控制策略。

Windows 版本和许可要求

下表列出了支持适用于企业的 App Control 的 Windows 版本:

Windows 专业版 Windows 企业版 Windows 专业教育版/SE Windows 教育版

应用控制许可证权利由以下许可证授予:

Windows 专业版/专业教育版/SE Windows 企业版 E3 Windows 企业版 E5 Windows 教育版 A3 Windows 教育版 A5

有关 Windows 许可的详细信息,请参阅 Windows 许可概述