Управление приложением для Windows

Примечание.

Некоторые возможности управления приложениями для бизнеса доступны только в определенных версиях Windows. Дополнительные сведения о доступности функций управления приложениями.

С тысячами новых вредоносных файлов, создаваемых каждый день, использование традиционных методов, таких как обнаружение на основе сигнатур антивирусных решений для борьбы с вредоносными программами, обеспечивает неадекватную защиту от новых атак.

В большинстве организаций информация является наиболее ценным ресурсом, и необходимо обеспечить доступ к этой информации только утвержденным пользователям. Однако если пользователь запускает процесс, этот процесс имеет тот же уровень доступа к данным, что и у пользователя. В результате конфиденциальные сведения могут быть без труда удалены или переданы за пределы организации, если пользователь намеренно или случайно запускает вредоносное ПО.

Управление приложениями может помочь устранить эти типы угроз безопасности, ограничив приложения, которые пользователи могут запускать, и код, выполняемый в System Core (ядро). Политики управления приложениями также могут блокировать неподписанные скрипты и MSIS, а также ограничивать выполнение Windows PowerShell в режиме ограниченного языка.

Управление приложениями — это важная линия защиты предприятий с учетом сегодняшнего ландшафта угроз, и она имеет неотъемлемое преимущество по сравнению с традиционными антивирусными решениями. В частности, управление приложениями переходит от модели доверия приложений, в которой все приложения считаются надежными, к модели, где приложения должны получать доверие для запуска. Многие организации, такие как Австралийское управление сигналов, понимают важность управления приложениями и часто ссылаются на управление приложениями в качестве одного из наиболее эффективных средств для устранения угрозы вредоносных программ на основе исполняемых файлов (.exe, .dll и т. д.).

Примечание.

Хотя управление приложениями может значительно повысить защиту компьютеров от вредоносного кода, рекомендуется продолжать поддерживать корпоративное антивирусное решение для хорошо продуманного портфеля корпоративных систем безопасности.

Windows 10 и Windows 11 включают две технологии, которые можно использовать для управления приложениями в зависимости от конкретных сценариев и требований вашей организации:

  • Управление приложениями для бизнеса; и
  • AppLocker

Элемент управления приложениями и интеллектуальное управление приложениями

Начиная с Windows 11 версии 22H2 управление интеллектуальными приложениями обеспечивает управление приложениями для потребителей. Интеллектуальное управление приложениями основано на элементе управления приложениями. Элемент управления приложениями позволяет корпоративным клиентам создать политику, которая обеспечивает ту же безопасность и совместимость, что и интеллектуальное управление приложениями, с возможностью настройки политик для запуска бизнес-приложений (LOB). Чтобы упростить реализацию политики, предоставляется пример политики . Пример политики включает параметр Enabled:Conditional Windows Lockdown Policy , который не поддерживается для корпоративных политик управления приложениями. Это правило необходимо удалить перед использованием примера политики. Чтобы использовать этот пример политики в качестве отправной точки для создания собственной политики, см. статью Создание настраиваемой базовой политики с помощью примера базовой политики управления приложениями.

Интеллектуальное управление приложениями доступно только при чистой установке Windows 11 версии 22H2 или более поздней и запускается в режиме оценки. Управление интеллектуальными приложениями автоматически отключается для корпоративных управляемых устройств, если пользователь не включил его первым. Чтобы отключить управление интеллектуальными приложениями в конечных точках организации, можно задать значение реестра VerifiedAndReputablePolicyState (DWORD) в разделе HKLM\SYSTEM\CurrentControlSet\Control\CI\Policy , как показано в следующей таблице. После изменения значения реестра необходимо использовать CiTool.exe -r , чтобы изменения вступают в силу.

Значение Описание
0 Отключено
1 Принуждать
2 Оценка

Важно.

После отключения интеллектуального управления приложениями его нельзя будет включить без сброса или переустановки Windows.

Требования к выпуску и лицензированию Windows

В следующей таблице перечислены выпуски Windows, поддерживающие управление приложениями для бизнеса.

Windows Pro Windows Корпоративная Windows Pro для образовательных учреждений/SE Windows для образовательных учреждений
Да Да Да Да

Права на лицензии на управление приложениями предоставляются следующими лицензиями:

Windows Pro/Pro для образовательных учреждений/SE Windows Корпоративная E3 Windows Корпоративная E5 Windows для образовательных учреждений A3 Windows для образовательных учреждений A5
Да Да Да Да Да

Дополнительные сведения о лицензировании Windows см. в статье Обзор лицензирования Windows.