Applocker与软件限制策略

Question

目的是防止用户在终端服务器上运行不需要的程序。

我读过许多来自微软和其他人的文章，说新的Applocker功能比旧的软件限制策略好100%，并被推荐作为后者的替代品。

除了内核模式执行之外，我不确定理解Applocker的真正优势。它的大部分功能可以通过软件限制策略来再现。

同时，它有一个很大的缺点，使它变得非常无用:它是不可扩展的，而且您不能添加您想要限制的自定义文件扩展名。

与SRP相比，Applocker有哪些优点，您对软件控制有什么建议？

Answer 1

我同意SRP有一些额外的特性，AppLocker确实可以从中受益。

尽管如此，我认为AppLocker的巨大好处(如这种比较所记录的)是：

• AppLocker规则可以针对特定用户或用户组，而SRP则在整个计算机上强制执行。
• AppLocker支持审核模式，以便在执行之前可以在生产中测试规则。SRP没有等效的纯日志模式。

Answer 2

我在我的公司里使用Applocker。我们使用的策略是:拒绝一切作为基线(实际上: Applocker默认设置)，然后执行建议:制定一条只允许签名应用程序(office、adobe、wintools、ax等)的规则。大多数，也许所有的恶意软件都是没有签名的软件，所以不会执行。这几乎不是任何维护。我只需要允许3个额外的遗留应用程序。

此外，我不能确认不能使用UNC路径。在一些额外的安全拒绝规则中，我成功地使用了UNC路径。陷阱在于使用环境变量:它们不适用于Applocker。使用*通配符。我在Windows2008 R2和Windows2012 R2上使用它。

我非常喜欢它:几乎没有什么表演--失败。如文档所述: Applocker依赖于应用程序标识服务(确保它自动启动)。

Answer 3

对我来说，最大的优势是能够通过发布者对签名的可执行文件进行白名单。看看这个http://technet.microsoft.com/en-us/library/ee460943(v=ws.10).aspx