AppLocker
本文提供 AppLocker 的描述,並可協助您決定組織是否可從部署 AppLocker 原則獲益。 AppLocker 可協助您控制使用者可執行哪些應用程式和檔案。 這些包含可執行檔檔案、指令碼、Windows Installer 檔案,動態連結程式庫 (DLL)、已封裝的應用程式,和已封裝的應用程式安裝程式。 商務用應用程控的某些功能也會使用AppLocker。
注意
AppLocker 是深層防禦的安全性功能,不被視為可防禦的 Windows 安全性功能。 當目標是要提供強大的威脅防護,而且預期沒有任何設計限制會阻止安全性功能達成此目標時,應該使用商務用應用程控。
注意
根據預設,AppLocker 原則僅適用於在用戶內容中啟動的程序代碼。 在 Windows 10、Windows 11 和 Windows Server 2016 或更新版本上,您可以將 AppLocker 原則套用至非用戶進程,包括以 SYSTEM 身分執行的進程。 如需詳細資訊,請參閱 AppLocker規則集合延伸模組。
AppLocker 可以協助您:
- 根據檔案屬性定義規則,讓所有應用程式持續更新,例如發行者名稱 (由簽章衍生)、產品名稱、檔案名稱和檔案版本等。 您也可以根據檔案路徑和雜湊建立規則。
- 指派規則給安全性群組或個別使用者。
- 建立規則的例外狀況。 例如,您可以建立一個規則,允許所有使用者執行除了登錄編輯程式 (Regedit.exe) 以外的所有 Windows 二進位檔。
- 使用僅稽核模式來部署原則,並在強制執行原則之前先瞭解其效果。
- 在暫存伺服器上建立規則、測試,接著將規則匯出到您的實際執行環境,並將它們匯入到群組原則物件。
- 使用 Windows PowerShell 建立和管理 AppLocker 規則。
AppLocker 可協助防止使用者執行未經核准的應用程式。 AppLocker 可解決下列應用程控案例:
- 應用程式清查:AppLocker 能夠在僅限稽核模式中套用其原則,其中允許所有應用程式啟動活動,但在事件記錄檔中註冊。 這些事件可收集供進一步的分析。 Windows PowerShell Cmdlets 也可以協助您以程式設計方式分析這項資料。
- 防止垃圾軟體:當您從允許的應用程式清單中排除應用程式時,AppLocker 能夠拒絕應用程式執行。 在生產環境中強制執行AppLocker規則時,任何未包含在允許規則中的應用程式都會遭到封鎖而無法執行。
- 授權一致性:AppLocker 可協助您建立規則,防止未經授權的軟體執行,並將授權的軟體限制為授權的使用者。
- 軟體標準化:AppLocker 原則可以設定為只允許支援或核准的應用程式在商務群組內的計算機上執行。 這個設定允許更統一的應用程式部署。
使用 AppLocker 的時機
在許多組織中,資訊是最寶貴的資產,因此必須確保只有核准的使用者才能存取該資訊。 存取控制技術例如 Active Directory Rights Management Services (AD RMS) 和存取控制清單 (ACL),有助於控制允許哪些使用者存取。
不過,在使用者執行處理程序時,該處理程序與使用者使用相同的資料存取層級。 因此,如果使用者執行未經授權的軟體,包括惡意代碼,敏感性資訊便可輕易地從組織中刪除或傳輸。 AppLocker 會限制允許使用者或群組執行的檔案,以協助減輕這些類型的安全性問題。 因為 AppLocker 可以控制 DLL 和腳本,所以控制誰可以安裝和執行 ActiveX 控制件也很有用。
AppLocker 極適合目前使用群組原則管理其電腦的組織。
以下是可使用 AppLocker 的案例範例:
- 您組織的安全性原則規定只能使用授權軟體,因此您必須防止使用者執行未授權的軟體,並限制只有授權的使用者可以使用授權軟體。
- 組織已不再支援某個應用程式,因此您必須讓所有人都無法使用這個應用程式。
- 垃圾軟體進入環境的機率很高,因此您必須降低此威脅。
- 您組織中的應用程式授權已撤銷或過期,因此您必須防止每個人都使用該應用程式。
- 新應用程式或新版的應用程式已經部署,您必須防止使用者使用舊版本。
- 組織內不允許特定軟體工具,或只有特定使用者可以存取這些工具。
- 單一使用者或使用者小組必須使用所有其他使用者或群組無法存取的特定應用程式。
- 組織中需要不同軟體的某些人員會共享計算機,而您需要保護特定應用程式。
- 除了其他措施之外,您還必須透過應用程式使用情形來控制敏感資料的存取。
AppLocker 可協助您保護組織內的數位資產、降低惡意軟體進入環境的威脅,以及改進應用程式控制的管理和應用程式控制原則的維護。
安裝 AppLocker
AppLocker 隨附於所有版本的 Windows,但 Windows 10 1809 版或更早版本除外。 您可以為單一電腦或一組電腦編寫 AppLocker 規則。 對於單一電腦,您可以使用本機安全性原則編輯器 (secpol.msc) 來編寫規則。 對於電腦群組,您可以使用群組原則管理主控台 (GPMC) 編寫群組原則物件 (GPO) 的規則。
注意
GPMC 僅透過安裝遠端伺服器管理工具,才能在執行 Windows 的用戶端電腦中使用。 在執行 Windows Server 的電腦上,您必須安裝群組原則管理功能。
在 Server Core 上使用 AppLocker
不支援 Server Core 上的 AppLocker 安裝。
虛擬考量
您可以使用符合前述所有系統需求的虛擬 Windows 執行個體來管理 AppLocker 原則。 您也可以在虛擬執行個體中執行群組原則。 不過,如果虛擬化實例已移除或失敗,您可能會遺失您所建立和維護的原則。
安全性考量
應用程式控制原則會指定允許在本機電腦上執行的程式。 惡意軟體各式各樣的偽裝形式,讓使用者難以區分什麼是安全的程式。 惡意軟體啟用後會損壞硬碟上的內容、以大量要求癱瘓網路因而導致拒絕服務 (DoS) 攻擊、將機密資訊傳送到網際網路或是危害電腦安全性。
因應措施是為組織中計算機上的應用程控原則建立健全的設計。 AppLocker 可以成為應用程式控制策略的一部份,因為您可以控制允許在電腦上執行的軟體。
有缺陷的應用程式控制原則實作可能會停用必要的應用程式,或者是允許惡意軟體或垃圾軟體執行。 在生產環境中部署原則之前,您應該先徹底測試實驗室環境中的原則。 組織也必須投入足夠的資源來管理和疑難解答這類原則的實作。
如需特定安全性問題的詳細資訊,請參閱 AppLocker 的安全性考慮。 使用 AppLocker 建立應用程式控制原則時,應注意下列幾項安全性考量:
- 誰有權限設定 AppLocker 原則?
- 如何確認原則是否已強制執行?
- 應稽核哪些事件?
下表提供安裝了 AppLocker 功能的用戶端電腦的基準設定,做為您規劃安全性時的參考:
設定 | 預設值 |
---|---|
建立的帳戶 | 無 |
驗證方法 | 不適用 |
管理介面 | 可以使用 Microsoft Management Console 嵌入式管理單元、群組原則管理以及 Windows PowerShell 來管理 AppLocker |
開啟的連接埠 | 無 |
需要的最低權限 | 本機電腦上的系統管理員;網域管理;或允許您建立、編輯或散佈群組原則物件的任一組權限。 |
使用的通訊協定 | 不適用 |
排定的工作 | 會將 Appidpolicyconverter.exe 放在排定的工作中,以便應要求執行。 |
安全性原則 | 無必要。 AppLocker 會建立安全性原則。 |
需要的系統服務 | 應用程式識別服務 (appidsvc) 會在 LocalServiceAndNoImpersonation 底下執行。 |
認證儲存區 | 無 |
本節內容
文章 | 描述 |
---|---|
管理 AppLocker | 本文適用於 IT 專業人員,提供管理 AppLocker 原則時所要使用之特定程序的連結。 |
AppLocker 設計指南 | 本文適用於 IT 專業人員,介紹使用 AppLocker 部署應用程控原則所需的設計和規劃步驟。 |
AppLocker 部署指南 | 本文適用於 IT 專業人員,介紹概念,並說明部署 AppLocker 原則所需的步驟。 |
AppLocker 技術參考 | 本適用於 IT 專業人員的概觀文章提供技術參考中文章的連結。 |