AppLocker Windows: обмеження запуску застосунків через правила

5 хв читання

Налаштування AppLocker для дозволу або блокування застосунків за підписом, шляхом або хешем. Правила для exe, скриптів і інсталяторів через PowerShell і GPO.

Поділитись:TelegramX

AppLocker контролює які застосунки можуть запускатись — за підписом видавця, шляхом або хешем.


Вимоги

  • Windows 10/11 Enterprise або Education
  • Служба Application Identity має бути запущена
Start-Service AppIDSvc
Set-Service AppIDSvc -StartupType Automatic

Типи правил

  • Виконувані файли — .exe, .com
  • Інсталятори — .msi
  • Скрипти — .ps1, .bat, .cmd, .vbs
  • Упаковані застосунки — Microsoft Store

Через GUI

Win + Rsecpol.mscПолитики управления приложениямиAppLocker

ПКМ → Автоматичне створення правил для генерації на основі встановленого ПЗ.


Через PowerShell

# Дозволити за підписом видавця
New-AppLockerPolicy -RuleType Publisher `
  -FileInformation (Get-AppLockerFileInformation -Path "C:\Program Files\Notepad++\notepad++.exe") `
  -User Everyone | Set-AppLockerPolicy -Merge

# Експортувати політику
Get-AppLockerPolicy -Effective -Xml | Out-File "C:\Backup\applocker.xml"

# Імпортувати
Set-AppLockerPolicy -XmlPolicy "C:\Backup\applocker.xml"

Режим аудиту (тест без блокування)

У secpol.msc: ПКМ на колекції правил → Властивості → Виконання → Тільки аудит

# Тест конкретного файлу
Test-AppLockerPolicy -Path "C:\Downloads\suspicious.exe" -User Everyone

Моніторинг подій

# Event ID 8004 = заблоковано
Get-WinEvent -FilterHashtable @{LogName='Microsoft-Windows-AppLocker/EXE and DLL'; Id=8004} `
  -MaxEvents 20 | Select-Object TimeCreated, Message

Часті питання

AppLocker працює на Windows 10 Pro?

Частково — правила можна створювати і переглядати в аудиті, але виконання вимагає Enterprise або Education.

AppLocker vs Windows Defender Application Control (WDAC)?

WDAC — сучасна заміна, виконується на рівні ядра (складніше обійти), працює на всіх редакціях. AppLocker простіший але менш захищений. Для нових розгортань — WDAC.


Резюме

AppIDSvc має бути запущений. Правила через secpol.msc або PowerShell. Правила за підписом — кращі (не залежать від версії). Завжди спочатку аудит. Моніторинг Event 8004.

Схожі статті

💬 Написати коментар

Коментарі проходять модерацію перед публікацією.

← Всі статті