AppLocker: как запретить пользователям запускать левые программы в офисе

Семёнов Евгений Сергеевич, директор АйТи Фреш. На каждом третьем аудите офиса в Москве я нахожу одну и ту же картину: на рабочих станциях стоят торрент-клиенты, игры, нелицензионный фотошоп, какой-то VPN от провайдера, о котором никто не помнит, и три-четыре «оптимизатора Windows» с китайскими корнями. Всё это — дыра в безопасности и постоянный источник сбоев. Решение есть, оно встроено в Windows и стоит ноль рублей. Называется AppLocker.

Что такое AppLocker простыми словами

AppLocker — это механизм Windows, через который администратор задаёт «белый» или «чёрный» список того, что пользователю разрешено запускать. Работает на уровне ядра, отрабатывает быстрее любого антивируса, не требует отдельного агента. Управляется через групповые политики Active Directory или через локальные политики на отдельной машине. Поддерживает четыре типа правил: исполняемые файлы (.exe), Windows-инсталляторы (.msi), скрипты (.ps1, .bat, .vbs) и упакованные приложения из Microsoft Store.

В отличие от антивируса, который ловит «известные плохие» сигнатуры, AppLocker работает по принципу «всё, что не разрешено, — запрещено». Это совсем другая парадигма безопасности, и она в десятки раз эффективнее против нового, ещё неизвестного вредоносного софта.

Зачем это нужно бизнесу — три типичных сценария

За последние два года я внедрил AppLocker в восемнадцати московских офисах. Вот три самых частых причины, по которым руководители принимают решение:

• Защита от шифровальщиков. Большинство шифровальщиков заходят либо через фишинговое вложение в почте (макрос Excel запускает PowerShell), либо через скачанный пользователем «крякнутый» софт. AppLocker, разрешающий запуск только подписанных программ из Program Files, отрезает 95% таких сценариев.
• Дисциплина и продуктивность. Когда менеджер по продажам не может на рабочем компьютере поставить Steam, World of Tanks и торрент-клиент — он работает. Это не про «недоверие сотрудникам», это про разделение работы и личных дел.
• Лицензионная чистота. Если сотрудник физически не может поставить нелицензионный Photoshop, у компании нет рисков по статье 146 УК РФ. А она реально применяется — у меня на памяти за 2024–2025 годы три случая выезда «маски-шоу» из-за нелицензионного софта в офисах подмосковного бизнеса.

Где AppLocker есть, а где нет

Это важный момент, на котором спотыкаются: AppLocker доступен не во всех редакциях Windows. Сводная таблица:

В малом бизнесе чаще всего стоит Windows 10/11 Pro — и здесь AppLocker недоступен. В этом случае мы либо используем устаревший SRP (работает, но менее удобный), либо разворачиваем Windows Defender Application Control (WDAC) — он мощнее, но и сложнее в настройке. Для офисов 30+ ПК часто экономически выгоднее доплатить за переход на Enterprise через подписку Microsoft 365 E3 (1 800 руб. с пользователя в месяц), которая включает в себя Windows Enterprise.

Архитектура решения для типичного офиса

Когда я внедряю AppLocker для клиента с 20–40 рабочими станциями в Active Directory, схема выглядит так:

1. Создаю выделенную организационную единицу OU «Workstations-AppLocker» в Active Directory.
2. В неё переношу все рабочие станции, которые будут под AppLocker.
3. Создаю отдельный GPO «AppLocker-Production» и линкую его на эту OU.
4. Включаю службу Application Identity (без неё AppLocker не работает) — через настройку в том же GPO.
5. Создаю четыре набора правил: для exe, msi, скриптов и Store-приложений.
6. Сначала включаю их в режиме «Аудит» — AppLocker не блокирует ничего, но пишет в журнал, что бы он заблокировал в реальном режиме.
7. Через 1–2 недели аудита анализирую журнал, дописываю недостающие исключения.
8. Перевожу в режим «Принудительно» — теперь AppLocker действительно блокирует.

Какие правила я создаю по умолчанию

Microsoft предлагает создать «правила по умолчанию» одной кнопкой. Это плохие правила — они слишком общие. Я создаю свой базовый набор:

Для исполняемых файлов (.exe)

• Разрешить запуск всего из C:\Program Files и C:\Program Files (x86) — туда устанавливается легитимный софт через инсталлятор.
• Разрешить запуск всего из C:\Windows — системные процессы.
• Запретить явно несколько критичных подкаталогов внутри C:\Windows: Temp, debug, tracing — туда часто кладут малварь.
• Разрешить запуск исполняемых файлов с подписью разработчиков, которым доверяем (Microsoft, Adobe, Kaspersky, 1С, Битрикс24).
• По умолчанию — запретить всё остальное. Это и есть ключевая идея «белого списка».

Для скриптов

• Разрешить запуск из C:\Windows и C:\Program Files (там лежат легитимные системные скрипты).
• Разрешить с подписью наших корпоративных сертификатов (для скриптов, которые мы сами пишем для автоматизации).
• Всё остальное — запретить. Это закрывает 80% атак через PowerShell, прикреплённый к фишингу.

Для Windows Installer (.msi)

• Разрешать только подписанные msi от доверенных издателей.
• Запретить установку msi из %TEMP% и %APPDATA% — оттуда легитимный софт не ставится никогда.

Аудит: важнейший этап перед боевым включением

Запустить AppLocker в enforcement без предварительного аудита — гарантированный способ положить пятницу всему офису. Я всегда выдерживаю минимум 7–10 рабочих дней в режиме «Аудит», в это время:

• Сотрудники работают как обычно — никаких блокировок.
• Каждое срабатывание правила (если бы оно блокировало) пишется в журнал Event Viewer → Applications and Services Logs → Microsoft → Windows → AppLocker.
• Я раз в 2–3 дня собираю эти журналы скриптом PowerShell со всех машин, агрегирую, смотрю, что бы заблокировалось.
• Для каждого «легитимного» блокирования добавляю исключение — например, разрешение для специфического корпоративного софта, который ставится из непривычного места.

Скрипт сбора событий с одной машины:

Get-WinEvent -LogName "Microsoft-Windows-AppLocker/EXE and DLL" |
    Where-Object {$_.Id -in 8003, 8006} |
    Select-Object TimeCreated, Id, Message |
    Export-Csv "\\server\audit\$env:COMPUTERNAME-applocker.csv" -NoTypeInformation

Кейс: офис на 38 рабочих мест, торговая компания

В августе 2025 ко мне обратилась торговая компания (продажа стройматериалов, склад в Подмосковье, офис в Москве, район Авиамоторная). За полгода у них дважды срабатывали шифровальщики — в первый раз потеряли 4 дня работы и заплатили подрядчикам по восстановлению 380 000 руб., во второй раз отделались страхом, но руководитель решил, что больше так не может. Запросили внедрение AppLocker.

Что я сделал за две недели:

1. Аудит установленного ПО на всех 38 машинах через Get-WmiObject. Получил CSV на 1240 строк.
2. Разделил список на «нужно для работы» (1С, MS Office, Битрикс24, Photoshop, AutoCAD, Касперский, ещё 23 позиции), «личное, но допустимое» (Telegram Desktop, WhatsApp, браузеры) и «явно ненужное» (Steam, uTorrent, Photoshop crack, мини-игры, Hamachi, Discord на трёх машинах бухгалтерии).
3. «Ненужное» удалил сразу — клиент согласовал. Сотрудникам объяснил, что в почте есть письмо от руководителя.
4. Создал GPO с правилами белого списка: системные пути + Program Files + явно разрешённые издатели.
5. Запустил в режиме аудита на 9 рабочих дней. Собрал 1872 события — большинство из них оказались легитимным софтом, установленным в нестандартных местах. Дописал 14 исключений.
6. Перевёл в enforcement в субботу утром. До конца следующей недели было 7 обращений в техподдержку — пять из них были легитимными случаями, которые я закрыл правилами, два — попытками сотрудников запустить личный софт.

За семь месяцев с момента внедрения у клиента — ноль попыток шифровальщиков прошло. Несколько фишинговых вложений приходило, но AppLocker блокировал PowerShell-скрипты на этапе запуска, и до повышения привилегий дело не доходило. Стоимость внедрения для клиента вышла 62 000 руб. Окупилось одной несостоявшейся атакой.

Типичные ошибки при внедрении

На что я обычно обращаю внимание новых инженеров:

• Включение enforcement без аудита. Гарантированный способ сорвать рабочий день половине офиса.
• Использование «правил по умолчанию». Они разрешают всё в Program Files без разбора — это ослабляет защиту.
• Забыли включить службу Application Identity. AppLocker без неё просто не работает. Включаем через GPO для всей OU.
• Применение к контроллерам домена. На DC AppLocker лучше не включать — рискуете заблокировать что-то системное и потерять контроль над доменом.
• Игнорирование DLL-правил. Если хотите серьёзную защиту, включайте правила и для DLL — иначе атакующий через DLL hijacking может обойти проверки exe.
• Отсутствие документации. Через год новый администратор не сможет понять, почему легитимная программа не запускается. Каждое правило документируется в комментарии.

Сравнение AppLocker, WDAC и Software Restriction Policies

Сколько стоит внедрение от АйТи Фреш

Для понимания бюджета — наши прайсы на внедрение AppLocker:

• Офис до 15 рабочих мест: от 35 000 руб., срок 5–7 дней.
• Офис 15–35 рабочих мест: от 55 000 руб., срок 8–12 дней.
• Офис 35–80 рабочих мест: от 85 000 руб., срок 14–18 дней.
• Офис 80+ рабочих мест: расчёт индивидуально, обычно 120 000–250 000 руб.

В стоимость входит: предварительный аудит установленного ПО, написание правил, режим аудита с анализом журналов, перевод в enforcement, документация в Confluence, обучение вашего штатного сисадмина или поддержка от нас на постоянной основе.

FAQ

Что такое AppLocker и зачем он нужен?

AppLocker — встроенный в Windows механизм, который через групповые политики разрешает или запрещает запуск программ, скриптов и MSI-инсталляторов. Защищает от шифровальщиков, левого софта и игр.

AppLocker есть во всех версиях Windows?

Только в Enterprise и Education для Windows 10/11, и в любой версии Windows Server. На Pro и Home придётся использовать Software Restriction Policies или WDAC.

Сколько стоит внедрение AppLocker в офисе?

От 35 000 руб. за офис до 25 ПК — аудит используемого ПО, написание правил, тестовый запуск в режиме аудита, переход в enforcement, документация.

AppLocker сильно тормозит компьютер?

При корректной настройке — нет. Проверка происходит на уровне ядра при запуске процесса, занимает миллисекунды. Мы не зафиксировали ни одной жалобы на производительность.

Что выбрать — AppLocker или WDAC?

Для большинства офисов малого и среднего бизнеса AppLocker проще в настройке и обслуживании. WDAC мощнее и работает на всех редакциях, но требует более сложной настройки и подходит для критичной инфраструктуры.