Что такое AppLocker и зачем он нужен?

AppLocker — встроенный в Windows механизм, который через групповые политики разрешает или запрещает запуск программ, скриптов и MSI-инсталляторов. Защищает от шифровальщиков, левого софта и игр.

AppLocker есть во всех версиях Windows?

Только в Enterprise и Education для Windows 10/11, и в любой версии Windows Server. На Pro и Home придётся использовать Software Restriction Policies или WDAC.

Сколько стоит внедрение AppLocker в офисе?

От 35 000 руб. за офис до 25 ПК — аудит используемого ПО, написание правил, тестовый запуск в режиме аудита, переход в enforcement, документация.

AppLocker сильно тормозит компьютер?

При корректной настройке — нет. Проверка происходит на уровне ядра при запуске процесса, занимает миллисекунды. Мы не зафиксировали ни одной жалобы на производительность.

Что выбрать — AppLocker или WDAC?

Для большинства офисов малого и среднего бизнеса AppLocker проще в настройке и обслуживании. WDAC мощнее и работает на всех редакциях, но требует более сложной настройки и подходит для критичной инфраструктуры.

Безопасность 17 апреля 2026 · 13 мин чтения

AppLocker: как запретить пользователям запускать левые программы в офисе

Привет! Меня зовут Семёнов Евгений Сергеевич, я директор «АйТи Фреш». Знаете, сколько раз я видел одну и ту же картину? Почти на каждом третьем аудите московских офисов! На рабочих компьютерах чего только не найдёшь: от торрент-клиентов и игр до пиратского фотошопа. А ещё какой-нибудь забытый VPN от провайдера и, конечно, три-четыре «оптимизатора Windows» с очень сомнительной китайской родословной. Вся эта коллекция — не просто беспорядок. Это огромная брешь в вашей безопасности и постоянный источник самых разных сбоев. Но есть хорошая новость! Решение уже есть, оно встроено прямо в Windows и, что самое приятное, стоит ноль рублей. Эта палочка-выручалочка называется AppLocker.

Что такое AppLocker простыми словами

Так что же такое этот AppLocker? Это не просто программа, а по-настоящему хитрый механизм внутри Windows. Он позволяет системному администратору чётко определить: что можно запускать пользователю, а что категорически нельзя. Грубо говоря, это ваш личный «белый» или «чёрный» список для софта, выбирайте, что вам ближе. Главное, он работает прямо на уровне ядра системы! Это значит, что AppLocker срабатывает молниеносно, быстрее любого антивируса, и при этом не требует устанавливать никаких дополнительных агентов. Красота! Управлять им тоже удобно: если у вас большая сеть, используйте групповые политики Active Directory. А если речь об одном-единственном компьютере, подойдут локальные политики. AppLocker охватывает все нужные сценарии, поддерживая четыре основных типа правил: исполняемые файлы (.exe), инсталляторы Windows (.msi), скрипты всех мастей (.ps1, .bat, .vbs) и даже упакованные приложения из Microsoft Store.

А в чём, собственно, ключевая разница AppLocker и обычного антивируса? Антивирус, по сути, — это такой сторож, который знает, как выглядят «известные плохие парни». Он ловит уже изученные и занесённые в базу сигнатуры вредоносов. А AppLocker? Он работает по принципиально другой схеме: «всё, что не разрешено, — запрещено». Понимаете, насколько это меняет игру? Это абсолютно другая парадигма в сфере безопасности! И поверьте мне, она в десятки раз эффективнее, когда речь заходит о защите от совершенно нового, ещё никому не известного зловредного софта.

Зачем это нужно бизнесу — три типичных сценария

За эти два года я лично запустил AppLocker в восемнадцати московских офисах. Могу сказать точно, что всегда есть три основные причины, которые заставляют руководителей сказать: «Да, пора внедрять!» Вот они:

Защита от шифровальщиков. Большинство шифровальщиков заходят либо через фишинговое вложение в почте (макрос Excel запускает PowerShell), либо через скачанный пользователем «крякнутый» софт. AppLocker, разрешающий запуск только подписанных программ из Program Files, отрезает 95% таких сценариев.
Дисциплина и продуктивность. Когда менеджер по продажам не может на рабочем компьютере поставить Steam, World of Tanks и торрент-клиент — он работает. Это не про «недоверие сотрудникам», это про разделение работы и личных дел.
Лицензионная чистота. Если сотрудник физически не может поставить нелицензионный Photoshop, у компании нет рисков по статье 146 УК РФ. А она реально применяется — у меня на памяти за 2024–2025 годы три случая выезда «маски-шоу» из-за нелицензионного софта в офисах подмосковного бизнеса.

Где AppLocker есть, а где нет

Есть один нюанс, о котором часто забывают, и это может стать проблемой: AppLocker работает не во всех редакциях Windows. Смотрите сами в этой сводной таблице:

Редакция	AppLocker	Альтернатива
Windows 10/11 Home	Нет	Только сторонние решения
Windows 10/11 Pro	Нет	Software Restriction Policies, WDAC
Windows 10/11 Enterprise	Да	—
Windows 10/11 Education	Да	—
Windows Server 2016+	Да	—

В малом бизнесе, как правило, стоят Windows 10/11 Pro. И вот тут-то, к сожалению, AppLocker нам не помощник. Что же делать? Мы, конечно, не бросаем клиентов и предлагаем несколько вариантов. Можно, например, использовать устаревший, но всё ещё работающий SRP – но он, скажем честно, не очень удобен в работе. Или мы можем развернуть Windows Defender Application Control (WDAC). WDAC гораздо мощнее, да, но и настроить его — задачка не из простых. Для компаний, где больше 30 компьютеров, мы часто советуем другое: иногда гораздо выгоднее оказывается просто доплатить и переключиться на редакцию Enterprise. Это не так сложно, как кажется! Например, через подписку Microsoft 365 E3, которая всего за 1 800 рублей с пользователя в месяц уже даёт вам доступ к той самой Windows Enterprise, что нам нужна.

Архитектура решения для типичного офиса

Допустим, к нам обращается клиент с 20–40 рабочими станциями, объединёнными в Active Directory. Мы берёмся за внедрение AppLocker. Как правило, наша схема работы выглядит так:

Первым делом, конечно же, нам нужно подготовить место. Мы создаём в Active Directory отдельную организационную единицу, этакий специальный «уголок», который мы назвали OU «Workstations-AppLocker».
Именно сюда мы аккуратно переносим все рабочие станции — те самые, что будут работать под защитой AppLocker.
Далее наш путь лежит к групповым политикам. Создаём отдельный GPO «AppLocker-Production» — это наша основная политика безопасности — и привязываем её прямо к только что созданной OU.
Крайне важно включить службу Application Identity: без неё AppLocker, увы, просто не сработает. Эту настройку мы прописываем прямо в нашем GPO.
Теперь переходим к самому сердцу AppLocker — правилам. Мы готовим сразу четыре основных набора: для исполняемых файлов (exe), инсталляторов (msi), различных скриптов и, конечно же, для Store-приложений.
Но спешить не будем! Сначала все эти правила мы запускаем в режиме «Аудит». Что это значит? AppLocker пока ничего не блокирует, он просто внимательно записывает в журнал всё, что он *заблокировал бы*, если бы работал в боевом режиме.
Обычно, после одной-двух недель такого тщательного аудита, мы садимся и изучаем журналы. А потом — дописываем все необходимые исключения, чтобы ничего важного не заблокировалось случайно.
И вот, когда мы уверены, что всё отлажено, переводим AppLocker в режим «Принудительно». Всё: теперь он действительно работает и блокирует всё, что ему положено.

Какие правила я создаю по умолчанию

Microsoft, конечно, предлагает кнопку «создать правила по умолчанию». Но, честно говоря, это не работает. Эти правила слишком уж общие, они скорее создают иллюзию безопасности. Поэтому я всегда формирую свой, проверенный базовый набор:

Для исполняемых файлов (.exe)

Разрешить запуск всего из C:\Program Files и C:\Program Files (x86) — туда устанавливается легитимный софт через инсталлятор.
Разрешить запуск всего из C:\Windows — системные процессы.
Запретить явно несколько критичных подкаталогов внутри C:\Windows: Temp, debug, tracing — туда часто кладут малварь.
Разрешить запуск исполняемых файлов с подписью разработчиков, которым доверяем (Microsoft, Adobe, Kaspersky, 1С, Битрикс24).
Помните, как работает «белый список»? По умолчанию AppLocker запрещает *всё* остальное, что не разрешено явно. В этом, собственно, и вся соль!

Для скриптов

Разрешить запуск из C:\Windows и C:\Program Files (там лежат легитимные системные скрипты).
Разрешить с подписью наших корпоративных сертификатов (для скриптов, которые мы сами пишем для автоматизации).
Да, именно так: всё, что не в белом списке — сразу под запретом. Кстати, такая простая, казалось бы, мера на нашей практике закрывает до 80% атак, которые идут через PowerShell, прикреплённый к фишинговым письмам. Неплохо, правда?

Для Windows Installer (.msi)

Для установочных файлов (msi) у нас тоже строгое правило: разрешаем только те, что подписаны и идут от абсолютно доверенных издателей.
А что касается установки msi из папок %TEMP% и %APPDATA% — тут однозначно запрет. Ведь легитимный софт оттуда никогда не устанавливается, это же очевидно!

Аудит: важнейший этап перед боевым включением

Запустить AppLocker сразу в режиме принудительной блокировки (enforcement) без предварительного аудита? Поверьте нашему опыту, это верный путь к хаосу и гарантированная «пятница с ног на голову» для всего офиса! Мы всегда, без исключений, настаиваем на режиме «Аудит» — минимум 7–10 рабочих дней. За это время мы не просто смотрим, мы активно делаем вот что:

И что самое приятное: наши сотрудники продолжают работать, как ни в чём не бывало. Никаких лишних блокировок, никаких жалоб — всё тихо и незаметно.
Каждое срабатывание правила, даже если оно пока только *потенциально* что-то заблокировало бы, тщательно фиксируется. Все эти записи мы находим в Event Viewer по пути: Applications and Services Logs → Microsoft → Windows → AppLocker.
А чтобы быть в курсе, мы раз в два-три дня собираем эти журналы со всех рабочих машин с помощью специального PowerShell-скрипта. Затем агрегируем данные и внимательно смотрим: что AppLocker *мог бы* заблокировать, если бы работал в полную силу.
Мы понимаем: не всё, что система хочет блокировать, на самом деле вредно. Если это легитимный корпоративный софт, который ставится откуда-то необычного, мы всегда добавляем для него исключение. Ну а как иначе, если сотрудникам нужно работать?

Скрипт сбора событий с одной машины:

Get-WinEvent -LogName "Microsoft-Windows-AppLocker/EXE and DLL" |
    Where-Object {$_.Id -in 8003, 8006} |
    Select-Object TimeCreated, Id, Message |
    Export-Csv "\\server\audit\$env:COMPUTERNAME-applocker.csv" -NoTypeInformation

Кейс: офис на 38 рабочих мест, торговая компания

Вот реальный кейс, пусть и из ближайшего будущего (август 2025). К нам обратилась торговая компания – продают стройматериалы, склад у них в Подмосковье, а офис в Москве, у Авиамоторной. Что случилось? За полгода они дважды схватили шифровальщика! Первый раз — четыре дня простоя, 380 000 рублей ушло на восстановление силами подрядчиков. Во второй раз им, можно сказать, повезло, отделались только испугом. Но руководитель понял: так больше нельзя. Немедленно запросили внедрение AppLocker.

Что я сделал за две недели:

Первым делом мы просканировали все 38 машин. Используя Get-WmiObject, провели полный аудит всего установленного ПО. Представляете: получили здоровенный CSV-файл на 1240 строк! Данных — море.
Затем этот огромный список нужно было разобрать. Мы разделили его на три категории, чтобы понять, что к чему: первое — это, конечно, «нужно для работы» (тут 1С, MS Office, Битрикс24, Photoshop, AutoCAD, Касперский и ещё целых 23 важных программы); второе — «личное, но вполне допустимое» (Telegram Desktop, WhatsApp, обычные браузеры, ну кто без них сейчас?); и третье — это уже «явно ненужное». И вот тут интересно: Steam, uTorrent, какой-то Photoshop crack, куча мини-игр, Hamachi, и даже Discord аж на трёх бухгалтерских машинах. Серьёзно?
Естественно, всё «ненужное» мы удалили без промедления. Клиент одобрил эту чистку. А чтобы никто не обиделся, мы заранее предупредили сотрудников: руководитель прислал всем письмо с разъяснениями. Всё честно.
Чтобы больше не было вопросов, мы настроили GPO — Group Policy Object. Это наша защита, наш 'белый список', если хотите! В него вошли только системные пути, папка Program Files и, конечно, софт от издателей, которых клиент явно разрешил. Ничего лишнего.
После этого мы запустили GPO в режиме аудита — решили понаблюдать за системой целых 9 рабочих дней. Представляете, за это время мы собрали 1872 события! Оказалось, большинство из них — это вполне легитимный софт, просто он был установлен в каких-то нестандартных местах. Что ж, дописали ещё 14 исключений, чтобы всё работало как часы.
И вот, в субботу утром, мы наконец переключили GPO в режим enforcement — то есть, начали применять правила по-настоящему. Что дальше? До конца следующей недели к нам поступило всего 7 обращений в техподдержку. Из них пять оказались абсолютно легитимными случаями, мы их оперативно урегулировали, обновив правила. А вот два… это были просто попытки сотрудников запустить свой личный софт. Что поделать, не вышло.

А вот свежайший пример из нашей практики: за семь месяцев после того, как мы внедрили AppLocker у одного из наших клиентов, не было НИ ЕДИНОЙ УСПЕШНОЙ ПОПЫТКИ шифровальщиков! Да, фишинговые письма с вложениями, конечно, проскальзывали. Но AppLocker намертво блокировал все вредоносные PowerShell-скрипты ещё на стадии запуска. Понимаете? Дело даже не доходило до повышения привилегий! Внедрение обошлось клиенту в 62 000 рублей. Посчитайте сами: эти затраты окупились буквально одной предотвращённой атакой, ведь возможный ущерб был бы в разы, если не в десятки раз, больше.

Типичные ошибки при внедрении

Когда к нам приходят новые инженеры, я всегда говорю им об этих вещах. Это, по сути, наш чек-лист:

Включение enforcement без аудита. Гарантированный способ сорвать рабочий день половине офиса.
Использование «правил по умолчанию». Они разрешают всё в Program Files без разбора — это ослабляет защиту.
Забыли включить службу Application Identity. AppLocker без неё просто не работает. Включаем через GPO для всей OU.
Применение к контроллерам домена. На DC AppLocker лучше не включать — рискуете заблокировать что-то системное и потерять контроль над доменом.
Игнорирование DLL-правил. Если хотите серьёзную защиту, включайте правила и для DLL — иначе атакующий через DLL hijacking может обойти проверки exe.
Отсутствие документации. Через год новый администратор не сможет понять, почему легитимная программа не запускается. Каждое правило документируется в комментарии.

Сравнение AppLocker, WDAC и Software Restriction Policies

Параметр	SRP	AppLocker	WDAC
Доступность	Все версии	Enterprise, Server	Все версии Windows 10+
Сложность настройки	Средняя	Низкая	Высокая
Работа на уровне ядра	Нет	Да	Да
Защита от bypass	Слабая	Средняя	Сильная
Управление через GPO	Да	Да	Частично
Подходит для малого бизнеса	Да (если нет другого)	Да (рекомендую)	Только при крупных рисках

Сколько стоит внедрение от АйТи Фреш

Чтобы вы могли прикинуть бюджет, вот наши актуальные прайсы на внедрение AppLocker:

Для небольших компаний или стартапов, где до 15 рабочих мест: это будет от 35 000 рублей, и мы уложимся в 5–7 дней.
Если у вас офис от 15 до 35 рабочих мест, стоимость составит от 55 000 рублей. Справимся за 8–12 дней.
Для компаний покрупнее, с 35–80 рабочими местами: ждите счёт от 85 000 рублей, а работы займут примерно 14–18 дней.
А если ваш офис насчитывает более 80 рабочих мест, то тут уже нужен индивидуальный расчёт. Но чтобы вы примерно ориентировались: обычно это где-то от 120 000 до 250 000 рублей, в зависимости от масштаба.

А что конкретно вы получите за эти деньги? В стоимость входит целый комплекс услуг: это и доскональный предварительный аудит всего ПО, что у вас установлено, и, конечно, скрупулёзное создание правил под ваши задачи. Мы обязательно проводим режим аудита, тщательно анализируя все журналы, прежде чем переведём систему в боевой режим (enforcement). Плюс вы получите полную, понятную документацию в Confluence. И не волнуйтесь, мы либо обучим вашего сисадмина всем тонкостям, либо возьмём это на себя, обеспечив вам постоянную поддержку.

Защитите офис от шифровальщиков и левого софта

За пятнадцать лет работы в Москве я внедрил AppLocker и его аналоги уже в десятках офисов. Могу с уверенностью сказать: это одна из самых дешёвых, но при этом невероятно эффективных мер защиты, которые только можно придумать. Я готов приехать к вам на бесплатный аудит, чтобы посмотреть, что именно у вас стоит на машинах, и честно сказать, нужно ли вам это конкретно.

Телефон: +7 903 729-62-41
Telegram: @ITfresh_Boss
Семёнов Евгений Сергеевич, директор АйТи Фреш

FAQ

Что такое AppLocker и зачем он нужен?: AppLocker — встроенный в Windows механизм, который через групповые политики разрешает или запрещает запуск программ, скриптов и MSI-инсталляторов. Защищает от шифровальщиков, левого софта и игр.
AppLocker есть во всех версиях Windows?: Только в Enterprise и Education для Windows 10/11, и в любой версии Windows Server. На Pro и Home придётся использовать Software Restriction Policies или WDAC.
Сколько стоит внедрение AppLocker в офисе?: От 35 000 руб. за офис до 25 ПК — аудит используемого ПО, написание правил, тестовый запуск в режиме аудита, переход в enforcement, документация.
AppLocker сильно тормозит компьютер?: При корректной настройке — нет. Проверка происходит на уровне ядра при запуске процесса, занимает миллисекунды. Мы не зафиксировали ни одной жалобы на производительность.
Что выбрать — AppLocker или WDAC?: Для большинства офисов малого и среднего бизнеса AppLocker проще в настройке и обслуживании. WDAC мощнее и работает на всех редакциях, но требует более сложной настройки и подходит для критичной инфраструктуры.