Gdzie Windows przechowuje polityki AppLocker? Tworzenie, zarządzanie i wdrażanie reguł kontroli aplikacji.

2026-06-20 0 przez Redakcja plików

Gdzie Windows przechowuje polityki AppLocker? Otóż, nie jest to pojedynczy, łatwo dostępny plik konfiguracyjny, jakby się mogło wydawać. Aktywne polityki AppLocker są przechowywane w bazie danych EDB (Extensible Storage Engine Database) pod nazwą `AppLocker.edb`. Znajdziesz ją w katalogu `C:\Windows\System32\AppLocker`. Tak, dobrze czytasz, to systemowa lokalizacja, głęboko w trzewiach Windowsa. To nie jest coś, co powinieneś tykać ręcznie.

Co to jest AppLocker i do czego służy?

AppLocker to zaawansowana funkcja kontroli aplikacji, dostępna w wersjach Windows dla firm (Enterprise, Education, Server). Jego głównym zadaniem jest precyzyjne określenie, które aplikacje, skrypty i pliki instalacyjne mogą być uruchamiane przez użytkowników na danym komputerze. To nie są żadne cuda; to po prostu mechanizm białej i czarnej listy, który drastycznie zwiększa bezpieczeństwo. W dużych organizacjach, gdzie malware i nieautoryzowane oprogramowanie to prawdziwe zmory, AppLocker to potężne narzędzie. Pozwala na zablokowanie wszystkiego, co nie jest wyraźnie dozwolone, co skutecznie powstrzymuje większość ataków opartych na wykonywaniu kodu. Widziałem przypadki, gdzie dzięki temu uniknięto masakra infekcji.

Programy, które tworzą lub zarządzają tymi politykami, to przede wszystkim:

  • Lokalne Zasady Zabezpieczeń (secpol.msc): Dla konfiguracji na pojedynczym komputerze.
  • Edytor Zarządzania Zasadami Grupy (gpedit.msc lub GPMC w przypadku domeny): To tutaj polityki są definiowane na poziomie domeny, a następnie replikowane na maszyny.
  • PowerShell: Istnieje cały zestaw cmdletów (np. `Get-AppLockerPolicy`, `Set-AppLockerPolicy`), które pozwalają na skryptowanie i automatyzację zarządzania politykami AppLocker.

Enforcementem zajmuje się usługa Application Identity (AppIDSvc). Bez niej AppLocker to tylko martwe zasady.

Czy AppLocker to wirus? Czy można go usunąć?

Żadnym wirusem AppLocker nie jest. Wręcz przeciwnie, to obrońca przed wirusami. Pomyłka? Gruba pomyłka. Co do usuwania – tu sprawa jest prosta: nie możesz „usunąć” pliku `AppLocker.edb` w taki sam sposób, jak kasujesz dokumenty czy zdjęcia. Ten plik jest stale używany przez system operacyjny i usługę Application Identity, co czyni go zablokowanym. Próba ręcznego usunięcia go z poziomu eksploratora plików prawdopodobnie skończy się komunikatem o błędzie dostępu. Serio.

Jeśli jakimś cudem udałoby Ci się usunąć bazę danych AppLocker, konsekwencje byłyby opłakane. W najlepszym razie AppLocker przestałby działać, a wszystkie aplikacje zostałyby dopuszczone do uruchomienia (jeśli wcześniej miałeś politykę „domyślnie blokuj”). W najgorszym – system mógłby stać się niestabilny, a niektóre funkcje zabezpieczeń przestałyby działać poprawnie. To nie jest element, z którym się eksperymentuje. Jeśli chcesz wyłączyć AppLocker, robisz to poprzez wyłączenie polityk w `secpol.msc` lub GPMC, a nie przez kasowanie plików systemowych.

Typowe problemy i błędy z AppLockerem

Przez lata widziałem w cholerę problemów z AppLockerem, głównie przez niedokładną konfigurację:

  • Polityki się nie stosują: Najczęściej to kwestia tego, że usługa Application Identity jest wyłączona lub ustawiona na uruchamianie ręczne. Sprawdź jej status!
  • Blokowanie legalnych aplikacji: Zbyt agresywne reguły, zwłaszcza te oparte na ścieżkach, potrafią zablokować nawet Windows Update czy inne krytyczne komponenty. Zawsze testuj polityki w trybie Tylko inspekcja (Audit Only), zanim wdrożysz je na produkcję. To podstawa!
  • Błędy eksportu/importu: Uszkodzony plik XML, złe formatowanie. Bywa, że polityka nie chce się zaimportować i tyle.
  • Konflikty zasad: Pamiętaj, że reguły Deny (odmów) zawsze mają pierwszeństwo przed regułami Allow (zezwalaj). Złożone zestawy zasad mogą prowadzić do nieprzewidzianych blokad.
  • Problemy z GPO: Jeśli polityki są wdrażane przez GPO, sprawdzaj wyniki `gpresult /r` i logi zdarzeń. Nieraz polityka po prostu nie doleciała.

Dlaczego plik `AppLocker.edb` jest chroniony?

Plik `AppLocker.edb` jest systemowy i chroniony. Nie możesz go ot tak sobie modyfikować czy usuwać. Dlaczego? Bo to kręgosłup bezpieczeństwa kontroli aplikacji. Jeśli ktokolwiek, kto nie ma uprawnień, mógłby manipulować tym plikiem, cała idea AppLockera runęłaby w gruzach. Złośliwe oprogramowanie mogłoby po prostu usunąć reguły blokujące je, a potem swobodnie działać. Windows chroni ten plik, by zapewnić integralność i nienaruszalność polityk bezpieczeństwa. To kluczowy element obrony systemu. Dlatego jest schowany w `System32` i chroniony przez odpowiednie uprawnienia NTFS oraz blokady użycia. Koniec kropka.

Reszta to już detale. Twoja sprawa co zrobisz z tą wiedzą.

Najczęstsze pytania

Czy AppLocker działa we wszystkich wersjach Windows?

Nie, AppLocker jest dostępny tylko w wersjach Enterprise, Education i Server systemów Windows, nie znajdziesz go w wersjach Home czy Pro.

Jak przetestować reguły AppLocker bez blokowania aplikacji?

Przed wdrożeniem reguł zawsze ustaw tryb egzekwowania na „Tylko inspekcja” (Audit Only), co pozwoli na monitorowanie, co zostałoby zablokowane, bez faktycznego blokowania.

Czy AppLocker chroni przed uruchamianiem makr w dokumentach Office?

AppLocker może blokować uruchamianie skryptów PowerShell lub innych interpretatorów, ale bezpośrednio nie zarządza makrami w dokumentach Office; do tego służą inne mechanizmy, takie jak ustawienia Centrum Zaufania.

Plik został wyświetlony: 9
KategoriaWindows
Tagi$windows. aplikacji AppLocker bezpieczeństwo Windows gdzie kontrola aplikacji kontroli pliki systemowe polityki przechowuje reguł tworzenie wdrażanie zarządzanie zarządzanie politykami

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Wymagane pola są oznaczone *