Управление приложением для Windows

Примечание.

Некоторые возможности управления приложениями в Защитнике Windows доступны только в определенных версиях для Windows. Узнайте больше о доступности функции управления приложениями в Защитнике Windows.

С тысячами новых вредоносных файлов, создаваемых каждый день, использование традиционных методов, таких как обнаружение на основе сигнатур антивирусных решений для борьбы с вредоносными программами, обеспечивает неадекватную защиту от новых атак.

В большинстве организаций информация является наиболее ценным ресурсом, и необходимо обеспечить доступ к этой информации только утвержденным пользователям. Однако если пользователь запускает процесс, этот процесс имеет тот же уровень доступа к данным, что и у пользователя. В результате конфиденциальные сведения могут быть без труда удалены или переданы за пределы организации, если пользователь намеренно или случайно запускает вредоносное ПО.

Управление приложениями может помочь устранить эти типы угроз безопасности, ограничив приложения, которые пользователи могут запускать, и код, выполняемый в System Core (ядро). Политики управления приложениями также могут блокировать неподписанные скрипты и MSIS, а также ограничивать выполнение Windows PowerShell в режиме ограниченного языка.

Управление приложениями — это важная линия защиты предприятий с учетом сегодняшнего ландшафта угроз, и она имеет неотъемлемое преимущество по сравнению с традиционными антивирусными решениями. В частности, управление приложениями переходит от модели доверия приложений, в которой все приложения считаются надежными, к модели, где приложения должны получать доверие для запуска. Многие организации, такие как Австралийское управление сигналов, понимают важность управления приложениями и часто ссылаются на управление приложениями в качестве одного из наиболее эффективных средств для устранения угрозы вредоносных программ на основе исполняемых файлов (.exe, .dll и т. д.).

Примечание.

Хотя управление приложениями может значительно повысить защиту компьютеров от вредоносного кода, рекомендуется продолжать поддерживать корпоративное антивирусное решение для хорошо продуманного портфеля корпоративных систем безопасности.

Windows 10 и Windows 11 включают две технологии, которые можно использовать для управления приложениями в зависимости от конкретных сценариев и требований вашей организации:

  • Защитник Windows управление приложениями (WDAC); и
  • AppLocker

WDAC и интеллектуальное управление приложениями

Начиная с Windows 11 версии 22H2 управление интеллектуальными приложениями обеспечивает управление приложениями для потребителей. Управление интеллектуальными приложениями основано на WDAC, что позволяет корпоративным клиентам создавать политику, которая обеспечивает такую же безопасность и совместимость с возможностью настройки для запуска бизнес-приложений (LOB). Чтобы упростить реализацию этой политики, приведен пример политики . Пример политики включает параметр Enabled:Conditional Windows Lockdown Policy , который не поддерживается для корпоративных политик WDAC. Это правило необходимо удалить перед использованием примера политики. Чтобы использовать этот пример политики в качестве отправной точки для создания собственной политики, см. статью Создание настраиваемой базовой политики с помощью примера базовой политики WDAC.

Интеллектуальное управление приложениями доступно только при чистой установке Windows 11 версии 22H2 или более поздней и запускается в режиме оценки. Управление интеллектуальными приложениями автоматически отключается для корпоративных управляемых устройств, если пользователь не включил его первым. Чтобы отключить управление интеллектуальными приложениями в конечных точках организации, можно задать значение реестра VerifiedAndReputablePolicyState (DWORD) в разделе HKLM\SYSTEM\CurrentControlSet\Control\CI\Policy , как показано в следующей таблице. После изменения значения реестра необходимо либо перезапустить устройство, либо использовать CiTool.exe -r , чтобы изменения вступили в силу.

Значение Описание
0 Отключено
1 Применять
2 Оценка

Важно.

После отключения интеллектуального управления приложениями его нельзя будет включить без сброса или переустановки Windows.

Блоки управления интеллектуальными приложениями

Элемент управления интеллектуальными приложениями обеспечивает применение рекомендуемых Майкрософт правил блока драйверов и правил блоков, рекомендуемых Корпорацией Майкрософт, за некоторыми исключениями для обеспечения совместимости. Следующее не блокируется интеллектуальным элементом управления приложениями:

  • Infdefaultinstall.exe
  • Microsoft.Build.dll
  • Microsoft.Build.Framework.dll
  • Wslhost.dll

Требования к выпуску и лицензированию Windows

В следующей таблице перечислены выпуски Windows, поддерживающие управление приложениями Защитник Windows (WDAC):

Windows Pro Windows Корпоративная Windows Pro для образовательных учреждений/SE Windows для образовательных учреждений
Да Да Да Да

Права на лицензии Защитник Windows Application Control (WDAC) предоставляются следующими лицензиями:

Windows Pro/Pro для образовательных учреждений/SE Windows Корпоративная E3 Windows Корпоративная E5 Windows для образовательных учреждений A3 Windows для образовательных учреждений A5
Да Да Да Да Да

Дополнительные сведения о лицензировании Windows см. в статье Обзор лицензирования Windows.