AppLocker позволяет запретить или разрешить запуск определенных приложений для определенных пользователей или групп пользователей.
AppLocker можно настроить с помощью
редактора групповых политик или в среде «PowerShell»
В Windows 11 процесс AppLocker’а запущен изначально, при отсутствии правил AppLocker не накладывает никаких ограничений. Ограничения начинают действовать только при наличии хотя бы одного правила и только относительно тех групп, в которых есть правила. Пример:
При вышеуказанной схеме настройки AppLocker будет накладывать ограничения на группы «Исполняемые правила» и «Правила упакованных приложений» в соответствии с созданными правилами. Для групп «Правила установщика Windows» и «Правила сценариев» не будет никаких ограничений.
Исключение - приложения могут не запускаться если в группе «Исполняемые правила» есть правила, а в группе «Правила упакованных приложений» нет правил.
При наличии правил по умолчанию в группе «Правила сценариев» сценарии могут не работать. Для работы сценариев необходимо группу «BUILTIN\Администраторы» заменить на конкретного пользователя
В редакторе групповых политик настройки AppLocker’а находятся по нижеуказанному пути.
«Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Политики управления приложениями\AppLocker»
(Computer Configuration\Windows Settings\Security Settings\Application Control Policies\AppLocker)
В разделе «AppLocker» можно указать политику применения правил:
В подразделах можно создать правила ограничения запуска приложений
Данный способ создания правил будет полезен при необходимости создать разрешения по белому списку.
Запустите среду «PowerShell» выполнив команду «powershell» с правами администратора.
Для создания новых правил или замены текущих правил на новые правила в среде «PowerShell» выполните команду с указанием полного пути к XML файлу с правилами
Set-AppLockerPolicy -XMLPolicy "Rules.xml"
Для добавления новых правил к уже существующим правилам добавьте параметр «Merge»
Для корректной работы параметра «Merge» необходимо использовать версию 22H2 со всеми обновлениями
Set-AppLockerPolicy -XMLPolicy "Rules.xml" -Merge
Для применения правил из данного раздела скопируйте необходимый набор правил, сохраните его в файле XML и примините правила к системе
<AppLockerPolicy Version="1">
<RuleCollection Type="Appx" EnforcementMode="NotConfigured">
<FilePublisherRule Id="a9e18c21-ff8f-43cf-b9fc-db40eed693ba" Name="(правило по умолчанию) Все подписанные упакованные приложения" Description="Разрешает участникам группы "Все" выполнять подписанные упакованные приложения." UserOrGroupSid="S-1-1-0" Action="Allow">
<Conditions>
<FilePublisherCondition PublisherName="*" ProductName="*" BinaryName="*">
<BinaryVersionRange LowSection="0.0.0.0" HighSection="*" />
</FilePublisherCondition>
</Conditions>
</FilePublisherRule>
</RuleCollection>
<RuleCollection Type="Dll" EnforcementMode="NotConfigured" />
<RuleCollection Type="Exe" EnforcementMode="NotConfigured">
<FilePathRule Id="921cc481-6e17-4653-8f75-050b80acca20" Name="(правило по умолчанию) Все файлы, расположенные в папке "Program Files"" Description="Разрешает группе "Все" запускать приложения, расположенные в папке "Program Files"." UserOrGroupSid="S-1-1-0" Action="Allow">
<Conditions>
<FilePathCondition Path="%PROGRAMFILES%\*" />
</Conditions>
</FilePathRule>
<FilePathRule Id="a61c8b2c-a319-4cd0-9690-d2177cad7b51" Name="(правило по умолчанию) Все файлы, расположенные в папке "Windows"" Description="Разрешает группе "Все" запускать приложения, расположенные в папке "Windows"." UserOrGroupSid="S-1-1-0" Action="Allow">
<Conditions>
<FilePathCondition Path="%WINDIR%\*" />
</Conditions>
</FilePathRule>
<FilePathRule Id="fd686d83-a829-4351-8ff4-27c7de5755d2" Name="(правило по умолчанию) Все файлы" Description="Разрешает локальным администраторам запускать любые приложения." UserOrGroupSid="S-1-5-32-544" Action="Allow">
<Conditions>
<FilePathCondition Path="*" />
</Conditions>
</FilePathRule>
</RuleCollection>
<RuleCollection Type="Msi" EnforcementMode="NotConfigured" />
<RuleCollection Type="Script" EnforcementMode="NotConfigured" />
</AppLockerPolicy>
<AppLockerPolicy Version="1">
<RuleCollection Type="Appx" EnforcementMode="NotConfigured">
<FilePublisherRule Id="6b583923-9626-4a05-bee0-42c2b0fc825d" Name="Все подписанные упакованные приложения" Description="Разрешает участникам группы "Администраторы" выполнять подписанные упакованные приложения." UserOrGroupSid="S-1-5-32-544" Action="Allow">
<Conditions>
<FilePublisherCondition PublisherName="*" ProductName="*" BinaryName="*">
<BinaryVersionRange LowSection="0.0.0.0" HighSection="*" />
</FilePublisherCondition>
</Conditions>
</FilePublisherRule>
</RuleCollection>
<RuleCollection Type="Exe" EnforcementMode="NotConfigured">
<FilePathRule Id="4ffca96a-79e4-437e-b671-d17bd376bc75" Name="Все файлы" Description="Разрешает участникам группы "Администраторы" запускать любые приложения." UserOrGroupSid="S-1-5-32-544" Action="Allow">
<Conditions>
<FilePathCondition Path="*" />
</Conditions>
</FilePathRule>
</RuleCollection>
</AppLockerPolicy>