В корпоративной среде и даже на личном компьютере критически важно контролировать, какие программы и скрипты могут быть запущены. Инструмент AppLocker — это мощное, встроенное в Windows решение для контроля приложений, которое позволяет администраторам создавать так называемый «белый список» (whitelist), разрешая запуск только доверенных файлов. Это ключевая мера защиты от вредоносного ПО, шифровальщиков и несанкционированного запуска неизвестных исполняемых файлов (.exe) и скриптов. В этой статье мы разберем, как правильно настроить AppLocker для максимальной безопасности.
Требования и принцип работы AppLocker
Доступность AppLocker
AppLocker, в отличие от своего предшественника Software Restriction Policies (SRP), более функционален и гибок.
— Поддерживаемые редакции: Полная поддержка и возможность применения политик GPO доступна в редакциях Windows Enterprise, Education и Server (начиная с Windows Server 2008 R2). В Windows 10/11 Pro можно настроить политики с помощью `secpol.msc` (Локальная политика безопасности), но в доменах AD для централизованного применения GPO обычно требуются Enterprise/Education.
Ключевой принцип: Белый список
AppLocker работает по принципу явного разрешения.
— По умолчанию: Если для определенной категории файлов (например, исполняемых) создано хотя бы одно правило разрешения, то все остальные файлы в этой категории, на которые не распространяется явное разрешающее правило, будут заблокированы.
— Приоритет: Явно запрещающие правила всегда имеют приоритет над разрешающими.
— Типы правил: AppLocker позволяет создавать правила для следующих категорий файлов:
1. Исполняемые файлы (*.exe, *.com).
2. Сценарии (*.ps1, *.bat, *.cmd, *.vbs, *.js).
3. Установщики Windows (*.msi, *.msp).
4. Упакованные приложения (приложения из Microsoft Store).
5. Библиотеки DLL (*.dll, *.ocx) — доступно с Windows Server 2012 R2.
Подготовка к настройке AppLocker
Перед созданием правил необходимо выполнить два критически важных шага.
Шаг 1: Активация службы «Удостоверение приложения»
Работа AppLocker зависит от службы «Удостоверение приложения» (AppIDSvc). Без нее правила не будут применяться.
— Откройте PowerShell от имени администратора.
— Установите автоматический тип запуска службы:
Set-Service -Name AppIDSvc -StartupType Automatic
— Запустите службу немедленно:
Start-Service AppIDSvc
Шаг 2: Создание объекта групповой политики (GPO)
Для централизованного управления в домене AD:
— Запустите консоль Управления групповыми политиками (gpmc.msc).
— Создайте новый GPO (например, «AppLocker_Policy») и свяжите его с OU, содержащей компьютеры, на которые вы хотите применить блокировку.
— Откройте созданный GPO для редактирования и перейдите:
Конфигурация компьютера -> Политики -> Конфигурация Windows -> Параметры безопасности -> Политики управления приложениями -> AppLocker.
Создание Правил по Умолчанию (Базовый белый список)
Начинать настройку AppLocker всегда следует с создания Правил по умолчанию (Default Rules). Это предотвратит моментальную блокировку всей системы, разрешив запуск файлов, необходимых для работы Windows.
Шаг 3: Генерация правил по умолчанию
— В консоли GPO, в разделе AppLocker, правой кнопкой мыши щелкните на «Исполняемые правила».
— Выберите «Создать правила по умолчанию» (Create Default Rules).
— Будут созданы три основных правила разрешения:
1. Разрешить членам группы «Все» запускать программы из папки %ProgramFiles% (Программные файлы).
2. Разрешить членам группы «Все» запускать программы из папки %WINDIR% (Системные папки Windows).
3. Разрешить членам группы «Администраторы» запускать все программы.
— Повторите эту процедуру для «Правил сценариев» и «Правил установщиков Windows».
Внимание: Эти правила по умолчанию разрешают запуск программ из папок, куда обычный пользователь не должен иметь права записи. Если пользователь имеет права записи в Program Files, он может обойти защиту, заменив разрешенный файл.
Создание Пользовательских Правил Блокировки
После настройки базового «белого списка» можно создавать специфические правила для блокировки или разрешения конкретных программ или скриптов, не попавших под действие правил по умолчанию.
Типы условий для правил AppLocker
При создании нового правила мастер предложит выбрать тип условия:
1. Правило хэша файла (File Hash)
— Принцип: Генерирует криптографический хэш файла.
— Плюсы: Самая надежная блокировка. Блокирует файл независимо от его имени, пути или версии.
— Минусы: Требует обновления правила при каждом обновлении файла. Идеально для блокировки конкретного вредоноса.
2. Правило пути (Path)
— Принцип: Блокирует или разрешает запуск файлов из указанного каталога (например, `C:\Users\*\Downloads\*`).
— Плюсы: Легко настроить, поддерживает переменные среды (%USERPROFILE%).
— Минусы: Легко обойти, если пользователь скопирует файл в разрешенный путь. Идеально для блокировки запуска из несистемных папок (Рабочий стол, Загрузки, USB-накопители).
3. Правило издателя (Publisher)
— Принцип: Использует цифровую подпись файла для идентификации издателя, продукта, имени файла и версии.
— Плюсы: Самое гибкое и удобное. Разрешает все обновления подписанного продукта без изменения правила. Рекомендуется для большинства сторонних приложений.
— Минусы: Работает только для приложений с действительной цифровой подписью.
Пример: Блокировка запуска скриптов с Рабочего стола
Для повышения безопасности необходимо запретить запуск скриптов и исполняемых файлов из папок, куда пользователь имеет право записи.
— В разделе «Правила сценариев» нажмите правой кнопкой мыши и выберите «Создать новое правило».
— Действие: Выберите «Запретить» (Deny).
— Пользователь/Группа: Выберите группу «Все» (Everyone).
— Условие: Выберите «Путь» (Path).
— Путь: Введите `*\%USERPROFILE%\Desktop\*` и `*\%USERPROFILE%\Downloads\*`.
Это правило явно запретит запуск любых скриптов из папок «Рабочий стол» и «Загрузки» для всех пользователей.
Принудительное применение правил AppLocker
Создание правил — это только половина дела. Чтобы AppLocker начал блокировать программы, его необходимо перевести из режима аудита в режим принудительного применения.
Шаг 4: Настройка принудительного режима (Скриншот 2: Свойства AppLocker, вкладка «Принудительное применение»)
— В консоли GPO, правой кнопкой мыши щелкните на «AppLocker» и выберите «Свойства».
— Перейдите на вкладку «Принудительное применение» (Enforcement).
— Для категорий, которые вы настроили (например, Исполняемые файлы и Сценарии), установите флажок «Настроено» и выберите «Принудительное применение правил» (Enforce rules).
— Важно: Всегда начинайте с режима «Только аудит» (Audit Only). В этом режиме AppLocker не блокирует файлы, а только регистрирует в Журнале событий (Event Log), какие файлы были бы заблокированы. Это позволяет отловить ложные срабатывания.
Шаг 5: Применение GPO и тестирование
— На компьютере, на котором применяется политика, выполните команду gpupdate /force.
— Попытайтесь запустить программу или скрипт, который должен быть заблокирован.
— При успешной блокировке пользователь увидит сообщение «Это приложение заблокировано вашим системным администратором».
— Проверьте Журнал событий (Event Viewer).
Журналы приложений и служб -> Microsoft -> Windows -> AppLocker. Ошибки с Event ID 8004 указывают на успешную блокировку.
Внедрение AppLocker является одной из самых эффективных стратегий для защиты конечных точек от вредоносных программ. Переход от «черного списка» (блокировка известных угроз) к «белому списку» (разрешение только известных программ) значительно снижает риск. Правильная настройка, включая создание правил по умолчанию и запрет запуска скриптов из пользовательских папок, является основой безопасной рабочей среды. Регулярно проверяйте журналы AppLocker для отслеживания попыток запуска неизвестного ПО.
