Windows 11如何使用appLocker限制程序运行_Windows 11企业版中配置应用程序控制策略

AppLocker是Windows 11企业版内置的应用程序控制机制，可通过路径、文件哈希或发布者签名创建允许/拒绝规则，需先启用Application Identity服务并配置组策略强制生效。

如果您在 Windows 11 企业版中希望精确控制哪些程序可以运行，AppLocker 是一项内置的、基于策略的应用程序控制机制。它允许您依据发布者签名、文件路径或文件哈希创建允许或拒绝规则，从而阻止未授权程序执行。以下是具体配置步骤：

一、启用并配置 Application Identity 服务

AppLocker 规则依赖于 Application Identity 服务（AppIDSvc）运行，该服务必须处于“自动”启动状态且正在运行，否则所有规则均不生效。

1、按 Win + R 打开“运行”对话框，输入 services.msc 并回车。

2、在服务列表中找到 Application Identity，右键选择“属性”。

3、将“启动类型”设为 自动，若服务状态为“已停止”，点击“启动”按钮。

4、点击“应用”后关闭窗口。

二、通过本地组策略编辑器启用 AppLocker 策略

Windows 11 企业版支持本地组策略编辑器（gpedit.msc），用于配置 AppLocker 规则。首次启用需先初始化策略容器并设置强制模式。

1、按 Win + R 输入 gpedit.msc 并回车，以管理员身份打开本地组策略编辑器。

2、依次展开： 计算机配置 → Windows 设置 → 安全设置 → 应用程序控制策略 → AppLocker。

3、右侧空白处右键，选择 “配置规则”，勾选 “配置 AppLocker 启用”，点击确定。

4、双击左侧 “AppLocker” 节点，在右侧面板切换至 “强制”选项卡。

5、对需要管控的规则集合（如可执行规则、脚本规则、Windows Installer 规则）启用 “强制规则”，确保策略实际生效。

三、创建可执行程序拒绝规则（路径方式）

通过指定程序完整路径创建拒绝规则，适用于已知位置且路径稳定的程序，例如禁用特定工具或测试软件。

1、在 AppLocker 节点下，右键 “可执行规则”，选择 “创建新规则”。

2、在向导第一页，点击 “下一步”。

3、在“规则类型”页，选择 “拒绝”，并指定目标用户或用户组（如 DOMAIN\RestrictedUsers）。

AI Room Planner

AI 室内设计工具，免费为您的房间提供上百种设计方案

136

查看详情

4、在“条件”页，选择 “路径”，点击“浏览”定位到目标程序（如 C:\Tools\unwanted.exe）。

5、输入规则名称（如 禁止运行Tools目录下的非授权程序），点击“创建”完成。

四、创建可执行程序拒绝规则（文件哈希方式）

文件哈希规则基于程序二进制内容生成唯一标识，不受文件名或路径变更影响，适合管控易被重命名或移动的恶意程序。

1、在“可执行规则”上右键，再次选择 “创建新规则”。

2、点击 “下一步”，选择 “拒绝” 并指定适用用户组。

3、在“条件”页，选择 “文件哈希”，点击“浏览”选择待禁用程序（如 notepad++.exe）。

4、向导自动计算哈希值；确认无误后，输入规则名称（如 基于哈希禁止notepad++运行）。

5、点击“创建”，规则即加入策略。

五、使用发布者规则实现批量管控

发布者规则依据数字签名信息（如发行者名称、产品名称、文件版本）匹配程序，适用于同一厂商发布的多个程序统一管控，具有高扩展性与更新鲁棒性。

1、右键“可执行规则”，选择 “创建新规则”。

2、点击 “下一步”，选择 “拒绝” 并设定作用范围（如 本地用户）。

3、在“条件”页选择 “发布者”，点击“浏览”选取一个已签名的目标程序（如某第三方厂商的安装包内任意 .exe）。

4、勾选 “此发布者的所有应用程序”，系统将自动提取证书信息并匹配所有同签名程序。

5、输入规则名称（如 拒绝某厂商所有未授权发行程序），点击“创建”。

以上就是Windows 11如何使用appLocker限制程序运行_Windows 11企业版中配置应用程序控制策略的详细内容，更多请关注php中文网其它相关文章！