Настройка контроля приложений через AppLocker: пошаговое руководство для домашнего ПК

Автор На чтение 6 мин Просмотров 1 Опубликовано

AppLocker удобно использовать на домашнем компьютере, когда нужно не дать запускаться случайным программам из загрузок, ограничить портативные утилиты, защитить рабочий аккаунт ребёнка или просто держать систему в более предсказуемом состоянии. Но есть важный момент: AppLocker работает не во всех выпусках Windows. На Windows Home и Windows Pro его нет, даже если «Локальная политика безопасности» открывается. Для AppLocker нужна Windows Enterprise или Education. Если у вас домашняя редакция, лучше не тратить вечер на поиск «включалок» из интернета — они обычно не решают задачу нормально.

Не включайте AppLocker сразу в режим запрета. Сначала настройте правила, несколько дней посмотрите события аудита и только потом переходите к реальному ограничению запусков.

Содержание
  1. Сначала проверьте, есть ли AppLocker на вашем компьютере
  2. Что AppLocker умеет и чего от него ждать
  3. Подготовка: чтобы не заблокировать себе Windows
  4. Шаг 1. Откройте AppLocker и включите режим аудита
  5. Шаг 2. Создайте базовые правила
  6. Шаг 3. Добавьте правила для своих программ и игр
  7. Если программа установлена в Program Files
  8. Если программа имеет нормальную цифровую подпись
  9. Если это портативная утилита без установки

Сначала проверьте, есть ли AppLocker на вашем компьютере

Нажмите Win + R, введите secpol.msc и откройте локальную политику безопасности. В левом меню должен быть раздел Политики управления приложениями, а внутри него — AppLocker. Если этого раздела нет, проверьте выпуск Windows через winver. На Windows Home или Pro AppLocker не появится, и это не ошибка настройки.

Для домашнего ПК это обычно означает одно из двух:

  • если у вас Enterprise или Education — можно спокойно настраивать AppLocker;
  • если Home или Pro — используйте стандартную учётную запись, SmartScreen, семейный контроль или более сложный Windows Defender Application Control, но не AppLocker.

Дальше инструкция рассчитана именно на ситуацию, когда AppLocker в системе есть, а вы хотите настроить контроль приложений для обычного домашнего использования.

Что AppLocker умеет и чего от него ждать

AppLocker не ищет вирусы и не заменяет антивирус. Он отвечает за другой вопрос: «Можно ли этому файлу запуститься на этом компьютере?». Например, браузер может скачать установщик игры, архив с утилитой или подозрительный .exe, но AppLocker не даст ему выполниться, если файл не попадает в разрешённые правила.

На домашнем ПК чаще всего используют три типа правил:

Тип правила Как работает Когда удобно Где может сломаться
По пути Разрешает запуск из конкретной папки, например C:\Program Files\* или D:\Games\SteamLibrary\steamapps\common\* Для игр, лаунчеров, программ, которые лежат в стабильных папках Если пользователь может писать в эту папку, правило становится слабым
По издателю Проверяет цифровую подпись: издатель, продукт, имя файла, версия Для обычных программ с нормальной подписью: браузеры, офисные утилиты, драйверные панели Не подходит для неподписанных portable-программ
По хешу Разрешает конкретный файл по его содержимому Для маленькой портативной утилиты, которой вы доверяете После обновления файла правило перестаёт подходить
Для упакованных приложений Контролирует приложения из Microsoft Store Если вы используете Store-приложения и хотите ограничить именно их Может потребовать аккуратной настройки, особенно после обновлений Store

Для домашнего компьютера я бы начинал с правил для исполняемых файлов. Сценарии, установщики MSI и Store-приложения подключайте только если понимаете, зачем они нужны. Чем больше коллекций правил вы включите, тем выше шанс случайно заблокировать привычный сценарий.

Подготовка: чтобы не заблокировать себе Windows

Перед настройкой сделайте три вещи.

  1. Создайте отдельный обычный аккаунт для повседневной работы. AppLocker最有 смысл проверять не под администратором, а под стандартным пользователем. Если вы каждый день сидите под администратором, правила будут работать слабее, потому что локальных администраторов AppLocker обычно обходит.
  2. Экспортируйте политику AppLocker. В оснастке AppLocker есть экспорт политики. Сохраните файл в понятное место, например на флешку или в отдельную папку. Это ваша страховка.
  3. Не отключайте обход для локальных администраторов на первом этапе. В настройках применения правил обычно есть пункт «Кроме локальных администраторов». На домашнем ПК его лучше оставить включённым, пока вы не убедитесь, что правила работают стабильно.

Если вы отключите обход для администраторов и ошибётесь в правилах, можно получить ситуацию, когда даже учётная запись администратора не может запустить нужные программы. Для домашнего использования это лишняя головная боль.

Шаг 1. Откройте AppLocker и включите режим аудита

Откройте secpol.msc, перейдите в Политики управления приложениями → AppLocker. Сначала нажмите Настройка применения правил.

Для начала поставьте режим Только аудит для тех коллекций, которые планируете использовать. Обычно это:

  • Правила исполняемых файлов — основной блок для .exe;
  • Правила установщиков Windows — если нужно контролировать .msi;
  • Правила сценариев — только если вы действительно хотите ограничивать скрипты;
  • Правила упакованных приложений — если используете приложения из Microsoft Store.

В режиме аудита AppLocker ничего не блокирует, но пишет события: что было бы разрешено, а что было бы заблокировано. Это лучший способ понять, какие правила нужны, не ломая работу компьютера.

Шаг 2. Создайте базовые правила

В AppLocker правила работают по принципу списка разрешений. Если для какой-то коллекции правил нет ни одного правила, всё в этой коллекции обычно считается разрешённым. Но как только вы начинаете создавать правила, система уже опирается на них.

Для начала создайте стандартные правила:

  1. Откройте Правила исполняемых файлов.
  2. Нажмите правой кнопкой мыши и выберите Создать стандартные правила.
  3. Повторите то же самое для установщиков MSI, если планируете их контролировать.
  4. Для сценариев стандартные правила создавайте осторожно: они могут затронуть установщики, служебные скрипты и инструменты разработки.
  5. Для Store-приложений создавайте правила, только если вы реально хотите управлять запуском упакованных приложений.

Стандартные правила обычно разрешают запуск системных компонентов Windows и программ из стандартных каталогов вроде Program Files. Это основа, без которой можно быстро получить неработающий браузер, диспетчер задач или системные утилиты.

Шаг 3. Добавьте правила для своих программ и игр

После стандартных правил добавьте то, что нужно именно вам. Делайте это в режиме аудита, чтобы потом посмотреть события и понять, чего не хватает.

Если программа установлена в Program Files

Чаще всего достаточно стандартных правил. Но если программа лежит в нестандартной папке, создайте правило по пути. Например:

  • D:\Tools\* — для набора домашних утилит;
  • D:\Games\Epic Games\* — для библиотеки Epic;
  • D:\Games\SteamLibrary\steamapps\common\* — для игр Steam;
  • C:\Program Files\MyApp\* — для конкретной установленной программы.

Важно: не создавайте правило вроде C:\*. Оно почти бесполезно, потому что разрешает слишком много лишнего, включая папки, куда пользователь или вредоносная программа могут записать свой файл.

Если программа имеет нормальную цифровую подпись

Лучше использовать правило по издателю. В мастере правила выберите файл программы, затем настройте уровень проверки. Чем шире правило, тем меньше оно ломается при обновлениях, но тем выше риск разрешить лишний файл от того же продукта. Для домашнего ПК обычно разумно разрешать по издателю и продукту, а версию не зажимать слишком жёстко.

Например, для браузера или мессенджера правило по издателю удобнее хеша: программа обновляется, файл меняется, а доверенный производитель остаётся тем же.

Если это портативная утилита без установки

Для небольшой утилиты, которой вы доверяете, можно создать правило по х

Оцените статью
PEFile — Безопасность и технологии простым языком
© 2026 PEFile — Безопасность и технологии простым языком