Applocker windows 10 что это такое
Обновлено: 21.11.2024
В Windows всегда было несколько важных приложений, которые мы обожаем. А с появлением Windows 10 и ее платформы универсальных приложений количество приложений для Windows 10 растет в геометрической прогрессии. Появились даже популярные приложения для чата и социальных сетей, такие как Facebook, Twitter, WhatsApp и т. д. Это означает, что вам нужно лучше защищать свои данные, поскольку ноутбук или компьютер, как правило, используются совместно членами семьи. Хотя Windows 10 предлагает встроенную службу App Locker, она ограничена версиями Windows Enterprise и Education. Если вы используете любую другую версию Windows, не беспокойтесь — вот как вы можете заблокировать приложения в Windows 10 и Windows 11.
Блокировка определенных приложений в Windows 10
В этой статье мы упомянули 4 различных метода блокировки приложений в Windows 10. Все эти методы работают как в Windows 10 Home, так и в Pro. Вы можете использовать оглавление ниже, чтобы перейти к нужному разделу.
Примечание. Большинство этих приложений должны работать с Windows 11, когда она станет доступна. Поэтому, если вы хотите заблокировать приложения в Windows 11, вы можете использовать для этого эти приложения.
Блокировать приложения в Windows 10 с помощью My Lockbox
<р>1. Вы можете использовать программное обеспечение My Lockbox для блокировки приложений в Windows 10. Итак, сначала вам нужно будет загрузить и установить программное обеспечение на свой компьютер. <р>2. Когда вы впервые откроете My Lockbox, программа попросит вас установить пароль, который будет использоваться для блокировки приложений на вашем ПК. Вы также можете добавить подсказку для пароля и идентификатор электронной почты, которые помогут вам восстановить пароль, если вы его забудете.<р>3. Затем вы можете выбрать папку для защиты и нажать «ОК». Здесь вы можете выбрать папку, в которой установлено приложение или программное обеспечение, которое вы хотите заблокировать. Программное обеспечение Windows обычно устанавливается в C:/Program Files или Program Files (x86), так что вы можете просто перейти и найти программное обеспечение, которое хотите заблокировать. Вы даже можете выбрать папку Program Files, чтобы заблокировать все приложения внутри нее.
<р>4. После этого папка и программное обеспечение будут заблокированы. Таким образом, когда вы пытаетесь получить доступ к приложению из любой точки Windows, вы получите сообщение о том, что у вас нет соответствующих разрешений.
<р>5. Чтобы разблокировать приложение, вы можете перейти на панель управления My Lockbox и нажать кнопку «Разблокировать». Вам нужно будет ввести пароль, чтобы открыть приложение My Lockbox, поэтому не каждый сможет получить к нему доступ. Кроме того, программа требует пароль, даже когда вы пытаетесь ее удалить, что очень удобно.
My Lockbox доступен в бесплатной версии, но, к сожалению, он довольно ограничен, так как вы можете заблокировать только одну папку. Чтобы получить возможность блокировать неограниченное количество папок, вам придется купить полную версию (29,95 долларов США). Хотя My Lockbox работает довольно хорошо, вы также можете попробовать другие интересные программы для хранения приложений. Вот некоторые из лучших, кроме My Lockbox:
Другое программное обеспечение App Locker для Windows 10
1. Защита папки
Мы уже подробно говорили о Folder Guard, когда перечисляли способы защиты папок паролем в Windows 10, но и здесь он заслуживает упоминания. Это потому, что программное обеспечение также позволяет блокировать приложения. Как и My Lockbox, вы можете заблокировать папки, в которых установлено программное обеспечение, чтобы заблокировать доступ к нему с любого ярлыка. Кроме того, при попытке удалить его также требуется пароль, что делает его более безопасным. Некоторым людям может даже больше понравиться Folder Guard из-за его возможности устанавливать разные пароли для разных папок/приложений.
Folder Guard доступен для бесплатной 30-дневной пробной версии, после чего вам придется купить полную версию (39,95 долларов США).
2. GiliSoft EXE-блокировка
Как следует из названия, GiliSoft позволяет блокировать исполняемые программные файлы EXE, также известные как программное обеспечение и приложения. Программное обеспечение работает очень хорошо, потому что, в отличие от другого программного обеспечения, оно позволяет пользователям разблокировать приложение с помощью пароля, как только вы открываете приложение, вместо того, чтобы заходить в приложение шкафчика и разблокировать приложения там.Наряду с защитой паролем для программного обеспечения GiliSoft также защищает пользователей от вирусов, которые пытаются модифицировать систему.
Хотя GiliSoft EXE Lock доступен в бесплатной пробной версии, он практически бесполезен, поскольку имеет фиксированный пароль, который любой может легко просмотреть. Таким образом, если вы хотите использовать программу GiliSoft для блокировки приложений, вам придется купить полную версию (19,95 долларов США).
3. Smart-X AppLocker
Если вы ищете простой блокировщик приложений, чтобы заблокировать доступ к некоторым приложениям от детей, то программное обеспечение Smart-X AppLocker должно быть достаточно хорошим. Программное обеспечение довольно простое в использовании, и вы можете легко заблокировать приложения. В нем есть список приложений, которые вы можете заблокировать, но вы можете добавить больше, просто введя имя их EXE-файлов. Хотя он легко блокирует приложения, он не совсем безопасен, так как практически любой может удалить его или получить к нему доступ, чтобы разблокировать заблокированные приложения. В целом, мы рекомендуем это приложение только в том случае, если ваши потребности в блокировке несложны.
Использовать родительский контроль Windows 10
Если вы хотите заблокировать приложения (или веб-сайты) для учетной записи одного из членов вашей семьи, вы можете использовать для этого функцию родительского контроля Windows 10. Однако есть одна загвоздка, поскольку вы не можете заблокировать определенные приложения в учетной записи, пока пользователь уже не использует их. По сути, если у вас есть детская учетная запись пользователя и вы отслеживаете действия своих детей, вы можете видеть приложения и игры, которые они используют, а затем блокировать приложения, которые вы не хотите, чтобы они использовали. Если вас это устраивает, прочтите нашу статью о том, как установить и настроить родительский контроль в Windows 10, чтобы узнать все подробности.
Использование групповой политики для отключения приложений в Windows 10
- Нажмите Windows+R, введите gpedit.msc и нажмите Enter. Откроется редактор групповой политики.
- Перейдите в раздел «Конфигурация пользователя -> Административные шаблоны -> Система».
- Добавьте названия приложений, которые вы хотите заблокировать. Вы должны ввести имена исполняемых файлов.
Указанные вами приложения теперь будут отключены на вашем компьютере и не будут запускаться. Это не совсем блокировка приложений, но это встроенный метод, который вы можете использовать на своем ПК с Windows 10. Кроме того, если вы используете Windows 10 Home, gpedit не установлен. Однако вы можете легко включить редактор групповой политики в Windows 10.
Заблокируйте свои личные приложения в Windows 10!
Вышеупомянутое программное обеспечение должно достаточно хорошо справляться с вашими потребностями в блокировке приложений, и они должны гарантировать, что никто не сможет получить доступ к вашей личной информации или работать в других приложениях и программном обеспечении. В качестве альтернативы вы даже можете использовать родительский контроль Windows 10, но если вы хотите заблокировать приложения в своей учетной записи пользователя, это бесполезно. Итак, установите одно из этих приложений и сообщите нам, как они работают для вас. Выключите звук в разделе комментариев ниже.
Узнайте, как настроить устройство под управлением Windows 10 Корпоративная или Windows 10 для образовательных учреждений версии 1703 и более ранних, чтобы пользователи могли запускать только несколько определенных приложений. Результат похож на киоск, но с несколькими доступными приложениями. Например, вы можете настроить библиотечный компьютер так, чтобы пользователи могли выполнять поиск в каталоге и просматривать Интернет, но не могли запускать какие-либо другие приложения или изменять настройки компьютера.
Для устройств под управлением Windows 10 версии 1709 мы рекомендуем метод киоска с несколькими приложениями.
Вы можете ограничить доступ пользователей к определенному набору приложений на устройстве под управлением Windows 10 Корпоративная или Windows 10 для образовательных учреждений с помощью AppLocker. Правила AppLocker определяют, какие приложения разрешено запускать на устройстве.
Правила AppLocker организованы в коллекции на основе формата файла. Если правила AppLocker для определенной коллекции правил не существуют, все файлы с этим форматом разрешены для запуска. Однако при создании правила AppLocker для определенной коллекции правил разрешается запускать только те файлы, которые явно разрешены в правиле. Дополнительные сведения см. в разделе Как работает AppLocker.
В этом разделе описывается, как заблокировать приложения на локальном устройстве.Вы также можете использовать AppLocker для установки правил для приложений в домене с помощью групповой политики.
Установить приложения
Сначала установите нужные приложения на устройство для целевых аккаунтов пользователей. Это работает как для приложений единой платформы Windows (UWP), так и для классических приложений Windows. Для приложений UWP вы должны войти в систему как этот пользователь, чтобы установить приложение. Что касается настольных приложений, вы можете установить приложение для всех пользователей без входа в конкретную учетную запись.
Используйте AppLocker для установки правил для приложений
После установки нужных приложений настройте правила AppLocker, чтобы разрешить только определенные приложения и заблокировать все остальные.
Запустите локальную политику безопасности (secpol.msc) от имени администратора.
Перейдите в раздел "Параметры безопасности" > "Политики управления приложениями" > "AppLocker" и выберите "Настроить применение правил".
Проверьте настроено в разделе Правила для исполняемых файлов и нажмите кнопку ОК.
Щелкните правой кнопкой мыши Исполняемые правила и выберите Автоматически создавать правила.
Выберите папку, содержащую приложения, которые вы хотите разрешить, или выберите C:\, чтобы проанализировать все приложения.
Введите имя для идентификации этого набора правил, а затем нажмите "Далее".
На странице "Настройки правила" нажмите "Далее". Будьте терпеливы, создание правил может занять некоторое время.
На странице "Правила проверки" нажмите "Создать". Теперь мастер создаст набор правил, разрешающих установленный набор приложений.
Прочитайте сообщение и нажмите "Да".
(необязательно) Если вы хотите, чтобы правило применялось к определенному набору пользователей, щелкните правило правой кнопкой мыши и выберите "Свойства". Затем используйте диалоговое окно, чтобы выбрать другого пользователя или группу пользователей.
(необязательно) Если правила были созданы для приложений, которые не следует запускать, вы можете удалить их, щелкнув правило правой кнопкой мыши и выбрав Удалить.
Прежде чем AppLocker применит правила, необходимо включить службу идентификации приложений. Чтобы заставить службу идентификации приложения автоматически запускаться при сбросе, откройте командную строку и выполните:
Перезагрузите устройство.
Другие настройки, которые нужно заблокировать
Помимо указания приложений, которые могут запускать пользователи, вы также должны ограничить некоторые настройки и функции на устройстве. Для повышения безопасности рекомендуем внести следующие изменения в конфигурацию устройства:
Удалить все приложения.
Выберите Редактор групповой политики > Конфигурация пользователя > Административные шаблоны\Главное меню и панель задач\Удалить список всех программ из меню Пуск.
Скрыть функцию специальных возможностей на экране входа в систему.
Откройте Панель управления > Специальные возможности > Центр специальных возможностей и отключите все инструменты специальных возможностей.
Отключите аппаратную кнопку питания.
Перейдите в раздел "Электропитание" > выберите действие кнопки питания, измените параметр на "Ничего не делать", а затем "Сохранить изменения".
Отключить камеру.
Откройте "Настройки" > "Конфиденциальность" > "Камера" и отключите параметр "Разрешить приложениям использовать мою камеру".
Отключите уведомления приложений на экране блокировки.
Выберите Редактор групповой политики > Конфигурация компьютера > Административные шаблоны\Система\Вход в систему\Отключить уведомления приложений на экране блокировки.
Отключить съемные носители.
Выберите Редактор групповой политики > Конфигурация компьютера > Административные шаблоны\Система\Установка устройства\Ограничения установки устройства. Просмотрите параметры политики, доступные в разделе Ограничения на установку устройств, чтобы подобрать параметры, применимые к вашей ситуации.
Примечание. Чтобы эта политика не влияла на члена группы «Администраторы», в разделе «Ограничения на установку устройств» включите параметр «Разрешить администраторам переопределять политики ограничения на установку устройств».
Дополнительные сведения о блокировке функций см. в разделе Индивидуальные настройки для Windows 10 Корпоративная.
Настроить макет начального экрана для устройства (рекомендуется)
Настройте меню "Пуск" на устройстве так, чтобы плитки отображались только для разрешенных приложений. Вы внесете изменения вручную, экспортируете макет в XML-файл, а затем примените этот файл к устройствам, чтобы пользователи не могли вносить изменения. Инструкции см. в разделе Управление параметрами макета начального экрана Windows 10.
AppLocker — это функция управления приложениями, используемая в корпоративных версиях Windows. Инструмент позволяет вам управлять тем, какие приложения и файлы могут запускать пользователи. Windows AppLocker направлен на ограничение доступа к программному обеспечению и связанным с ним данным от определенных пользователей и бизнес-групп.Результатом этого является повышенная безопасность, сокращение административных издержек и меньшее количество обращений в службу поддержки.
Почему AppLocker, почему сейчас?
Это мир вредоносных программ. Новые штаммы вредоносного ПО появляются сегодня по всему миру, как сорняки в теплый весенний день. По данным Infosecurity Group, в 2017 году исследователи обнаружили более 360 000 новых вредоносных файлов. Это соответствует примерно четырем новым образцам вредоносных программ каждую секунду. Количество новых вредоносных эксплойтов, пусть и немалое, неудивительно. Злоумышленники используют автоматизацию для создания и распространения вариантов вредоносных программ. В результате сообщество по борьбе с вредоносным ПО с трудом успевает.
Microsoft AppLocker предоставляет готовые возможности внесения в белый список приложений (AWL), которые не позволяют пользователям запускать потенциально опасные приложения. Белые списки приложений (AWL) — это стратегия глубокоэшелонированной защиты, которая определяет авторизованные приложения для использования в компьютерной сети. Пользователи могут преднамеренно и непреднамеренно загрузить вредоносное ПО несколькими способами.
- Пользователь случайно щелкнул произвольный EXE-файл, сохраненный на его компьютере.
- Недовольный пользователь сознательно загрузил троянского коня
- Возможно, кто-то в организации подбросил файл
В конечном счете, когда вы используете Windows AppLocker для внесения приложений в белый список, вы точно указываете приложения и файлы .exe, которые могут открывать пользователи. Вредоносное ПО остается на расстоянии, потому что вы ограничиваете возможность конечного пользователя причинить вред. Прелесть AppLocker в том, что если расширения нет в белом списке, оно не открывается. Простота во всей красе, по крайней мере, в теории. На самом деле список авторизованных приложений на большинстве предприятий постоянно меняется. Это означает, что белые списки требуют постоянного обслуживания и модификации. Этот недостаток является присущей большинству решений для белых списков слабостью.
Преимущества AppLocker
AppLocker имеет несколько существенных преимуществ. Во-первых, Microsoft включает AppLocker в корпоративную версию Windows Server. В смысле, это не требует дополнительных затрат. Во-вторых, AppLocker является неотъемлемой частью групповой политики. Большинство администраторов Windows уже знакомы с групповой политикой, что делает работу с AppLocker удобной и естественной. В-третьих, вы можете импортировать любую политику AppLocker в Intune в виде XML-файла. Таким образом, вы получаете почти такой же контроль над приложениями для устройств, зарегистрированных в MDM, как и для локальных устройств, присоединенных к домену. Наконец, AppLocker автоматически добавляет в белый список внутренние приложения Windows, тем самым экономя ваше время и упрощая работу.
Минусы AppLocker
Тем не менее у AppLocker есть множество недостатков, которые снижают производительность и повышают риск. Во-первых, AppLocker, как и большинство решений для внесения в белый список, требует от вас постоянного обновления и настройки вашего индекса авторизованных приложений. По правде говоря, процесс ведения белого списка для всей компании долгий, трудный и требует значительного количества времени и усилий. Кроме того, любой, у кого есть права администратора на локальном устройстве, может нарушить политики AppLocker. В результате вы можете подвергнуть свою среду вредоносному ПО, несмотря на все ваши усилия по блокировке приложений.
Прежде всего, у AppLocker есть один вопиющий недостаток. Посмотрим, сможешь ли ты это понять. Ниже перечислены операционные системы Windows, которые поддерживает AppLocker.
- Выпуски Ultimate и Enterprise Windows 7
- Корпоративная версия Windows 8
- Выпуски Windows 10 для образовательных учреждений и предприятий
- Server 2008 R2, Server 2012, Server 2012 R2, Server 2016 и Server 2019
Если вы заметили, что выпуски Windows Professional отсутствуют в этом списке, значит, вы правильно догадались. При применении с групповой политикой AppLocker плохо работает с Windows 10 Professional. Это означает, что вам придется искать другие способы блокировки приложений на компьютерах, присоединенных к домену.
Альтернативы AppLocker
Прежде чем переходить на AppLocker, вы должны провести тщательный анализ альтернативных решений. Посмотрев в другом месте, вы лучше поймете конкурентную среду и сможете принять более взвешенное решение.
PolicyPak – это решение для управления конечными точками и обеспечения безопасности Windows, обеспечивающее больший контроль над настройками пользователей и компьютеров. Решение включает Least Privilege Manager, который обеспечивает блокировку всех разрешений, кроме тех, которые требуются пользователям для выполнения важных бизнес-функций. PolicyPak Least Privilege Manager позволяет обычным пользователям выполнять свою работу без прав локального администратора. Кроме того, PolicyPak защищает компьютеры Windows от вредоносных программ без ущерба для производительности. В отличие от AppLocker, PolicyPak предназначен для ускорения процесса внесения в белый список. Другими словами, у администраторов Windows гораздо больше времени для работы над критически важными задачами инфраструктуры. В отличие от AppLocker, PolicyPak работает с профессиональной версией Windows 7 и более поздних версий.Преимущества белого списка не ограничиваются несколькими избранными операционными системами.
AppLocker и PolicyPak
PolicyPak Least Privilege Manager несколько отличается от AppLocker. Во-первых, PolicyPak повышает привилегии обычного пользователя, когда ему что-то нужно. Например, графическому дизайнеру может потребоваться установить приложение для макета нового пользовательского интерфейса. В этом случае PolicyPak Least Privilege Manager разрешит им выполнить установку. В качестве другого примера рассмотрим удаленного сотрудника, которому нужно добавить принтер. PolicyPak Least Privilege позволит им обходить запросы UAC или предоставлять им доступ к назначенным апплетам панели управления. Во-вторых, PolicyPak включает SecureRun™, который позволяет пользователям запускать приложения только в том случае, если они «правильно установлены или санкционированы администратором». Как и AppLocker, PolicyPak интегрируется с групповой политикой и позволяет создавать, назначать и развертывать политики. См. пример процесса создания политики ниже.
Идея SecureRun™ проста. Кто-то владеет каждым приложением, исполняемым файлом, MSI, скриптом или JAR-файлом Java. Когда пользователи загружают файл из Интернета или копируют его с общего диска, он становится его владельцем. См. пример ниже:
Итак, приложение, которое было корректно установлено администратором или специалистом техподдержки, как всегда работает отлично. Приложение, загруженное и запущенное обычным пользователем, получает сообщение об отказе, показанное ниже.
Один из самых элегантных и удобных аспектов PolicyPak Least Privilege Manager заключается в том, что вам не нужно регулярно обновлять список утвержденных приложений. В отличие от AppLocker, PolicyPak не зависит от самих приложений. Вместо этого он использует роль администратора, которая предоставляет доступ к приложениям. Таким образом, приложения могут приходить и уходить, но группа администраторов остается постоянной. Вы можете посмотреть короткое видео, демонстрирующее процесс SecureRun™ и то, как он защищает рабочий стол, здесь.
Applocker — это функция Windows, которую можно использовать для блокировки запуска уже установленных приложений или предотвращения установки определенных приложений. Он был представлен в Windows 7 и Windows Server 2008R2 при замене политик ограниченного использования программ. Правила AppLocker намного мощнее и их очень легко реализовать, чем политики ограниченного использования программ
В Windows 10 AppLocker можно использовать только с выпусками Enterprise и Education. AppLocker можно использовать для управления следующими типами файлов.
- Исполняемые файлы: exe и com
- Скрипты: js, ps1, vbs, cmd и bat
- Файлы установщика Windows: MSI и MSP
- Библиотеки динамической компоновки: dll и ocx (этот набор правил должен быть включен, так как он не включен по умолчанию)
- Правила упакованного приложения: aappx (только для Windows 8 и 10)
Преимущества использования AppLocker
По данным Microsoft, с помощью AppLocker в вашей организации можно заархивировать следующие преимущества.
-
Инвентаризация приложений
AppLocker может применять свою политику в режиме только аудита, когда все действия по доступу к приложениям собираются в журналах событий для дальнейшего анализа. Также доступны командлеты Windows PowerShell, помогающие разобраться в использовании приложений и доступе к ним.
Реализация AppLocker
В Windows 10 AppLocker можно реализовать с помощью локальных политик безопасности или централизованно с помощью групповых политик Active Directory. В следующем примере я реализую AppLocker, используя локальные политики безопасности компьютера с Windows 10. Вы можете выполнить те же действия при реализации в среде Active Directory с помощью групповых политик.
AppLocker – очень мощный инструмент. Если вы неправильно наберете путь или выберете все исполняемые файлы, он может заблокировать все приложения на целевых компьютерах. Поэтому рекомендуется сначала протестировать конфигурации на тестовом компьютере, а затем публиковать только на рабочих компьютерах.
В следующем примере я блокирую приложение Mozilla Firefox из клиента Windows 10.
Централизованное управление правилами AppLocker
Как обсуждалось ранее, вы можете централизованно развернуть правила AppLocker с помощью групповых политик, создать объект групповой политики в контроллере домена и выполнить описанные выше шаги для создания правила. Обязательно протестируйте правило перед развертыванием для рабочих пользователей.
Если на целевых компьютерах служба идентификации приложений не запущена, возможно, вам придется запустить ее с помощью другого объекта групповой политики. Перейдите в «Настройки» — «Настройки панели управления» — «Службы» — «Создать» — «Служба», выберите службу «Идентификация приложения» и выберите тип запуска «Автоматически» и действие службы для запуска.
Разверните объект групповой политики на целевых машинах.
Применение правил — режим аудита
Не применяя правила сразу же, вы также можете проводить аудит/мониторинг действий. Как и в предыдущем примере с блокировкой Firefox, в режиме аудита вы можете видеть, кто использует приложение и частоту использования. Каждый раз, когда приложение используется, в журнале событий создается событие. Если вы не настроили принудительное применение правила, оно будет применяться по умолчанию.
Ссылки — Microsoft Technet
Надеюсь, этот пост окажется полезным
Асита Де Сильва
Асита Де Сильва
Консультант по облачным решениям
Эксперт по разработке и внедрению облачных инфраструктурных решений.
Читайте также: