App lock for windows 10

Use AppLocker to create a Windows 10 kiosk that runs multiple apps

Applies to

Learn how to configure a device running WindowsВ 10 Enterprise or WindowsВ 10 Education, version 1703 and earlier, so that users can only run a few specific apps. The result is similar to a kiosk device, but with multiple apps available. For example, you might set up a library computer so that users can search the catalog and browse the Internet, but can’t run any other apps or change computer settings.

For devices running Windows 10, version 1709, we recommend the multi-app kiosk method.

You can restrict users to a specific set of apps on a device running WindowsВ 10 Enterprise or WindowsВ 10 Education by using AppLocker. AppLocker rules specify which apps are allowed to run on the device.

AppLocker rules are organized into collections based on file format. If no AppLocker rules for a specific rule collection exist, all files with that file format are allowed to run. However, when an AppLocker rule for a specific rule collection is created, only the files explicitly allowed in a rule are permitted to run. For more information, see How AppLocker works.

This topic describes how to lock down apps on a local device. You can also use AppLocker to set rules for applications in a domain by using Group Policy.

Install apps

First, install the desired apps on the device for the target user account(s). This works for both Unified Windows Platform (UWP) apps and Windows desktop apps. For UWP apps, you must log on as that user for the app to install. For desktop apps, you can install an app for all users without logging on to the particular account.

Use AppLocker to set rules for apps

After you install the desired apps, set up AppLocker rules to only allow specific apps, and block everything else.

Run Local Security Policy (secpol.msc) as an administrator.

Go to Security Settings > Application Control Policies > AppLocker, and select Configure rule enforcement.

Check Configured under Executable rules, and then click OK.

Right-click Executable Rules and then click Automatically generate rules.

Select the folder that contains the apps that you want to permit, or select C:\ to analyze all apps.

Type a name to identify this set of rules, and then click Next.

On the Rule Preferences page, click Next. Be patient, it might take awhile to generate the rules.

On the Review Rules page, click Create. The wizard will now create a set of rules allowing the installed set of apps.

Read the message and click Yes.

(optional) If you want a rule to apply to a specific set of users, right-click on the rule and select Properties. Then use the dialog to choose a different user or group of users.

(optional) If rules were generated for apps that should not be run, you can delete them by right-clicking on the rule and selecting Delete.

Before AppLocker will enforce rules, the Application Identity service must be turned on. To force the Application Identity service to automatically start on reset, open a command prompt and run:

Restart the device.

Other settings to lock down

In addition to specifying the apps that users can run, you should also restrict some settings and functions on the device. For a more secure experience, we recommend that you make the following configuration changes to the device:

Remove All apps.

Go to Group Policy Editor > User Configuration > Administrative Templates\Start Menu and Taskbar\Remove All Programs list from the Start menu.

Hide Ease of access feature on the logon screen.

Go to Control Panel > Ease of Access > Ease of Access Center, and turn off all accessibility tools.

Disable the hardware power button.

Go to Power Options > Choose what the power button does, change the setting to Do nothing, and then Save changes.

Disable the camera.

Go to Settings > Privacy > Camera, and turn off Let apps use my camera.

Turn off app notifications on the lock screen.

Go to Group Policy Editor > Computer Configuration > Administrative Templates\System\Logon\Turn off app notifications on the lock screen.

Disable removable media.

Go to Group Policy Editor > Computer Configuration > Administrative Templates\System\Device Installation\Device Installation Restrictions. Review the policy settings available in Device Installation Restrictions for the settings applicable to your situation.

NoteВ В To prevent this policy from affecting a member of the Administrators group, in Device Installation Restrictions, enable Allow administrators to override Device Installation Restriction policies.

To learn more about locking down features, see Customizations for Windows 10 Enterprise.

Customize Start screen layout for the device (recommended)

Источник

AppLocker

Applies to

This topic provides a description of AppLocker and can help you decide if your organization can benefit from deploying AppLocker application control policies. AppLocker helps you control which apps and files users can run. These include executable files, scripts, Windows Installer files, dynamic-link libraries (DLLs), packaged apps, and packaged app installers.

AppLocker is unable to control processes running under the system account on any operating system.

AppLocker can help you:

AppLocker helps reduce administrative overhead and helps reduce the organization’s cost of managing computing resources by decreasing the number of Help Desk calls that result from users running unapproved apps. AppLocker addresses the following app security scenarios:

Читайте также:  Ati radeon x2300 драйвера windows 7

Application inventory

AppLocker has the ability to enforce its policy in an audit-only mode where all app access activity is registered in event logs. These events can be collected for further analysis. Windows PowerShell cmdlets also help you analyze this data programmatically.

Protection against unwanted software

AppLocker has the ability to deny apps from running when you exclude them from the list of allowed apps. When AppLocker rules are enforced in the production environment, any apps that are not included in the allowed rules are blocked from running.

Licensing conformance

AppLocker can help you create rules that preclude unlicensed software from running and restrict licensed software to authorized users.

Software standardization

AppLocker policies can be configured to allow only supported or approved apps to run on computers within a business group. This permits a more uniform app deployment.

Manageability improvement

AppLocker includes a number of improvements in manageability as compared to its predecessor Software Restriction Policies. Importing and exporting policies, automatic generation of rules from multiple files, audit-only mode deployment, and Windows PowerShell cmdlets are a few of the improvements over Software Restriction Policies.

When to use AppLocker

In many organizations, information is the most valuable asset, and ensuring that only approved users have access to that information is imperative. Access control technologies, such as Active Directory Rights Management Services (ADВ RMS) and access control lists (ACLs), help control what users are allowed to access.

However, when a user runs a process, that process has the same level of access to data that the user has. As a result, sensitive information could easily be deleted or transmitted out of the organization if a user knowingly or unknowingly runs malicious software. AppLocker can help mitigate these types of security breaches by restricting the files that users or groups are allowed to run. Software publishers are beginning to create more apps that can be installed by non-administrative users. This could jeopardize an organization’s written security policy and circumvent traditional app control solutions that rely on the inability of users to install apps. By creating an allowed list of approved files and apps, AppLocker helps prevent such per-user apps from running. Because AppLocker can control DLLs, it is also useful to control who can install and run ActiveX controls.

AppLocker is ideal for organizations that currently use Group Policy to manage their PCs.

The following are examples of scenarios in which AppLocker can be used:

AppLocker is a defense-in-depth security feature and not a security boundary. Windows Defender Application Control should be used when the goal is to provide robust protection against a threat and there are expected to be no by-design limitations that would prevent the security feature from achieving this goal.

AppLocker can help you protect the digital assets within your organization, reduce the threat of malicious software being introduced into your environment, and improve the management of application control and the maintenance of application control policies.

Installing AppLocker

AppLocker is included with enterprise-level editions of Windows. You can author AppLocker rules for a single computer or for a group of computers. For a single computer, you can author the rules by using the Local Security Policy editor (secpol.msc). For a group of computers, you can author the rules within a Group Policy Object by using the Group Policy Management Console (GPMC).

The GPMC is available in client computers running Windows only by installing the Remote Server Administration Tools. On computer running Windows Server, you must install the Group Policy Management feature.

Using AppLocker on Server Core

AppLocker on Server Core installations is not supported.

Virtualization considerations

You can administer AppLocker policies by using a virtualized instance of Windows provided it meets all the system requirements listed previously. You can also run Group Policy in a virtualized instance. However, you do risk losing the policies that you created and maintain if the virtualized instance is removed or fails.

Security considerations

Application control policies specify which apps are allowed to run on the local computer.

The variety of forms that malicious software can take make it difficult for users to know what is safe to run. When activated, malicious software can damage content on a hard disk drive, flood a network with requests to cause a denial-of-service (DoS) attack, send confidential information to the Internet, or compromise the security of a computer.

The countermeasure is to create a sound design for your application control policies on PCs in your organization, and then thoroughly test the policies in a lab environment before you deploy them in a production environment. AppLocker can be part of your app control strategy because you can control what software is allowed to run on your computers.

A flawed application control policy implementation can disable necessary applications or allow malicious or unintended software to run. Therefore, it is important that organizations dedicate sufficient resources to manage and troubleshoot the implementation of such policies.

For additional information about specific security issues, see Security considerations for AppLocker.

When you use AppLocker to create application control policies, you should be aware of the following security considerations:

For reference in your security planning, the following table identifies the baseline settings for a PC with AppLocker installed:

Источник

AppLocker AppLocker

Относится к: Applies to

В этой статье содержится описание AppLocker. Кроме того, эта статья поможет вам понять, сможет ли ваша организация получить преимущества от развертывания политик управления приложениями AppLocker. This topic provides a description of AppLocker and can help you decide if your organization can benefit from deploying AppLocker application control policies. С помощью AppLocker можно контролировать, какие приложения и файлы могут запускать пользователи. AppLocker helps you control which apps and files users can run. Это относится к исполняемым файлам, сценариям, файлам установщика Windows, библиотекам DLL, упакованным приложениям и установщикам упакованного приложения. These include executable files, scripts, Windows Installer files, dynamic-link libraries (DLLs), packaged apps, and packaged app installers.

Читайте также:  Windows 10 очень тихий звук микрофона

AppLocker не может управлять процессами, работающими под системной учетной записью, в любой операционной системе. AppLocker is unable to control processes running under the system account on any operating system.

AppLocker обладает следующими возможностями. AppLocker can help you:

AppLocker позволяет снизить административные расходы, а также расходы на управление вычислительными ресурсами путем снижения числа звонков в службу поддержки, связанных с использованием неутвержденных приложений пользователями. AppLocker helps reduce administrative overhead and helps reduce the organization’s cost of managing computing resources by decreasing the number of Help Desk calls that result from users running unapproved apps. AppLocker поддерживает следующие сценарии безопасности приложений. AppLocker addresses the following app security scenarios:

Инвентаризация приложений Application inventory

AppLocker может применять свою политику в режиме только аудита, когда все действия по использованию приложений регистрируются в журналах событий. AppLocker has the ability to enforce its policy in an audit-only mode where all app access activity is registered in event logs. Эти события могут быть собраны для дальнейшего анализа. These events can be collected for further analysis. Командлеты Windows PowerShell также позволяют анализировать эти данные программным путем. Windows PowerShell cmdlets also help you analyze this data programmatically.

Защита от нежелательных программ Protection against unwanted software

AppLocker позволяет запретить выполнение приложений при исключении их из списка разрешенных приложений. AppLocker has the ability to deny apps from running when you exclude them from the list of allowed apps. Если правила AppLocker применяются в производственной среде, блокируется запуск любых приложений, не включенных в разрешенные правила. When AppLocker rules are enforced in the production environment, any apps that are not included in the allowed rules are blocked from running.

Соответствие требованиям лицензирования Licensing conformance

AppLocker позволяет создавать правила, которые препятствуют запуску нелицензионного ПО и разрешают использовать лицензионное ПО только авторизованным пользователям. AppLocker can help you create rules that preclude unlicensed software from running and restrict licensed software to authorized users.

Стандартизация программного обеспечения Software standardization

Политики AppLocker могут быть настроены для разрешения запуска на компьютерах бизнес-группы только поддерживаемых или утвержденных приложений. AppLocker policies can be configured to allow only supported or approved apps to run on computers within a business group. Такой подход обеспечивает более высокий уровень стандартизации развертывания приложений. This permits a more uniform app deployment.

Улучшение управляемости Manageability improvement

AppLocker включает ряд усовершенствований управляемости по сравнению с предшественником— политиками ограниченного использования программ. AppLocker includes a number of improvements in manageability as compared to its predecessor Software Restriction Policies. Импорт и экспорт политик, автоматическое создание правил на основе нескольких файлов, развертывание режима только аудита и командлеты Windows PowerShell — вот лишь несколько улучшений по сравнению с политиками ограниченного использования программ. Importing and exporting policies, automatic generation of rules from multiple files, audit-only mode deployment, and Windows PowerShell cmdlets are a few of the improvements over Software Restriction Policies.

Сценарии использования AppLocker When to use AppLocker

Во многих организациях информация является самым ценным активом, поэтому очень важно гарантировать, чтобы только авторизованные пользователи имели доступ к этой информации. In many organizations, information is the most valuable asset, and ensuring that only approved users have access to that information is imperative. Технологии управления доступом, например службы управления правами Active Directory (AD RMS) и списки управления доступом (ACL) позволяют контролировать, к чему пользователи могут получить доступ. Access control technologies, such as Active Directory Rights Management Services (AD RMS) and access control lists (ACLs), help control what users are allowed to access.

Однако если пользователь запускает процесс, этот процесс имеет тот же уровень доступа к данным, что и у пользователя. However, when a user runs a process, that process has the same level of access to data that the user has. В результате конфиденциальные сведения могут быть без труда удалены или переданы за пределы организации, если пользователь намеренно или случайно запускает вредоносное ПО. As a result, sensitive information could easily be deleted or transmitted out of the organization if a user knowingly or unknowingly runs malicious software. AppLocker позволяет устранить эти типы уязвимостей системы безопасности путем ограничения возможностей запуска файлов пользователями или группами. AppLocker can help mitigate these types of security breaches by restricting the files that users or groups are allowed to run. Издатели программного обеспечения начинают создавать все больше приложений, которые могут быть установлены пользователями, не являющимися администраторами. Software publishers are beginning to create more apps that can be installed by non-administrative users. Это может нарушить политику безопасности организации и позволит обойти традиционные решения по управлению приложениями, которые полагаются на невозможность установки приложений пользователями. This could jeopardize an organization’s written security policy and circumvent traditional app control solutions that rely on the inability of users to install apps. Благодаря созданию разрешенного списка утвержденных файлов и приложений AppLocker позволяет предотвратить запуск тем или иным пользователем этих приложений. By creating an allowed list of approved files and apps, AppLocker helps prevent such per-user apps from running. Так как AppLocker позволяет контролировать библиотеки DLL, важно также управлять тем, кто сможет устанавливать и запускать элементы ActiveX. Because AppLocker can control DLLs, it is also useful to control who can install and run ActiveX controls.

Читайте также:  Nvidia geforce 6200 драйвер windows xp

AppLocker идеально подходит для организаций, которые в настоящее время используют групповую политику для управления своими компьютерами. AppLocker is ideal for organizations that currently use Group Policy to manage their PCs.

Ниже приведены примеры сценариев, при которых может использоваться AppLocker: The following are examples of scenarios in which AppLocker can be used:

AppLocker — это функция глубокой защиты, а не граница безопасности. AppLocker is a defense-in-depth security feature and not a security boundary. Защитник Windows управления приложениями следует использовать, если целью является обеспечение надежной защиты от угрозы, и ожидается, что не будет никаких ограничений, которые предотвращают достижение этой цели функцией безопасности. Windows Defender Application Control should be used when the goal is to provide robust protection against a threat and there are expected to be no by-design limitations that would prevent the security feature from achieving this goal.

AppLocker поможет вам защитить цифровые активы вашей организации, снизить угрозы, связанные с использованием вредоносного ПО в вашей среде, и улучшить управление приложениями и поддержку политик управления приложениями. AppLocker can help you protect the digital assets within your organization, reduce the threat of malicious software being introduced into your environment, and improve the management of application control and the maintenance of application control policies.

Установка AppLocker Installing AppLocker

AppLocker включен в выпуски Windows корпоративного уровня. AppLocker is included with enterprise-level editions of Windows. Вы можете создать правила AppLocker для одного компьютера или для группы компьютеров. You can author AppLocker rules for a single computer or for a group of computers. Для одного компьютера можно создать правила с помощью редактора локальной политики безопасности (secpol.msc). For a single computer, you can author the rules by using the Local Security Policy editor (secpol.msc). Для группы компьютеров вы можете создать правила в объекте групповой политики, используя консоль управления групповыми политиками. For a group of computers, you can author the rules within a Group Policy Object by using the Group Policy Management Console (GPMC).

GPMC доступна на клиентских компьютерах под управлением Windows только путем установки средств удаленного администрирования сервера. The GPMC is available in client computers running Windows only by installing the Remote Server Administration Tools. На компьютере под управлением Windows Server необходимо установить компонент «Управление групповыми политиками». On computer running Windows Server, you must install the Group Policy Management feature.

Использование AppLocker на Server Core Using AppLocker on Server Core

AppLocker на установках Server Core не поддерживается. AppLocker on Server Core installations is not supported.

Вопросы виртуализации Virtualization considerations

Вы можете администрировать политики AppLocker с помощью виртуализированного экземпляра Windows, если он соответствует ранее приведенным требованиям к системе. You can administer AppLocker policies by using a virtualized instance of Windows provided it meets all the system requirements listed previously. Можно также запустить групповую политику на виртуализированном экземпляре. You can also run Group Policy in a virtualized instance. Однако вы рискуете потерять те политики, которые создали и поддерживаете, если виртуализированный экземпляр будет удален или перестанет работать. However, you do risk losing the policies that you created and maintain if the virtualized instance is removed or fails.

Соображения безопасности Security considerations

Политики управления приложениями указывают, какие приложения могут запускаться на локальном компьютере. Application control policies specify which apps are allowed to run on the local computer.

Разнообразие форм вредоносного программного обеспечения значительно усложняет понимание пользователями того, что безопасно запускать, а что нет. The variety of forms that malicious software can take make it difficult for users to know what is safe to run. Активированное вредоносное ПО может повредить содержимое жесткого диска, заполнить сеть запросами, вызвав атаку по типу «отказ в обслуживании» (DoS), передать конфиденциальные сведения в Интернет или нарушить безопасность компьютера. When activated, malicious software can damage content on a hard disk drive, flood a network with requests to cause a denial-of-service (DoS) attack, send confidential information to the Internet, or compromise the security of a computer.

Мерой противодействия является создание надлежащего проекта политик управления приложениями на компьютерах вашей организации, тщательное тестирование этих политик в лабораторной среде до их развертывания в производственной среде. The countermeasure is to create a sound design for your application control policies on PCs in your organization, and then thoroughly test the policies in a lab environment before you deploy them in a production environment. AppLocker может стать частью вашей стратегии по управлению приложениями, так как вы можете управлять тем, какое программное обеспечение может работать на ваших компьютерах. AppLocker can be part of your app control strategy because you can control what software is allowed to run on your computers.

Неверная реализация политики управления приложениями может отключить работу нужных приложений или разрешить выполнение вредоносных или ненужных программ. A flawed application control policy implementation can disable necessary applications or allow malicious or unintended software to run. Поэтому важно, чтобы организации задействовали достаточно ресурсов для управления реализацией таких политик и для устранения соответствующих неисправностей. Therefore, it is important that organizations dedicate sufficient resources to manage and troubleshoot the implementation of such policies.

Дополнительные сведения о конкретных проблемах безопасности см. в разделе Соображения безопасности для AppLocker. For additional information about specific security issues, see Security considerations for AppLocker.

При использовании AppLocker для создания политик управления приложениями необходимо учитывать следующие вопросы безопасности. When you use AppLocker to create application control policies, you should be aware of the following security considerations:

В качестве справки по планированию безопасности можно использовать следующую таблицу, в которой определены базовые параметры для компьютера с установленным AppLocker: For reference in your security planning, the following table identifies the baseline settings for a PC with AppLocker installed:

Источник

Поделиться с друзьями
Советы экспертов и специалистов
Adblock
detector