AppLocker可通过路径、发布者或哈希规则精确控制程序运行,需在组策略中配置允许或拒绝策略,建议先启用审核模式测试,再正式实施以避免误封关键应用。
如果您希望在企业环境中控制员工对特定应用程序的访问权限,防止未经授权的程序运行,则可以使用Windows内置的AppLocker功能。该功能允许管理员基于路径、发布者或文件哈希创建规则,从而精确控制哪些用户或组可以运行哪些程序。
本文运行环境:Dell Latitude 5440,Windows 11 专业版
AppLocker通过定义规则来允许或拒绝可执行文件、脚本、动态链接库(DLL)以及安装包的运行。这些规则可应用于不同用户或组,并由本地组策略或域控制器集中管理。规则条件支持三种类型:文件路径、文件发布者信息和文件哈希值,提供灵活且精准的控制能力。
1、路径规则根据程序所在目录位置判断是否允许执行,例如限制仅C:\Program Files下的程序可运行。
2、发布者规则依赖数字签名验证软件来源,适用于已签名的应用程序,能有效防止同名恶意软件替换合法程序。
3、哈希规则基于文件内容生成唯一标识,即使更改文件名也无法绕过限制,适合对单个可执行文件进行严格管控。
在使用AppLocker前,必须确保系统支持该功能并正确开启服务。此功能仅存在于Windows 10/11 企业版、教育版及Windows Server系统中,且需通过组策略编辑器进行设置。
1、按下Win + R键打开运行窗口,输入gpedit.msc并回车,进入本地组策略编辑器。
2、依次展开“计算机配置” → “Windows 设置” → “安全设置” → “应用程序控制策略” → “AppLocker”。
3、右键点击“可执行规则”,选择“创建新规则”,启动规则创建向导。
4、在规则类型选择界面,选择“允许”或“拒绝”模式,推荐初始阶段使用“允许”模式以避免误封关键程序。
5、指定规则作用的用户或组,如“域用户”或“本地用户”,确保策略目标明确。
路径规则是最基础的控制方式,适用于按目录划分可信区域的场景。例如,只允许从官方安装目录启动程序,阻止从临时文件夹或下载目录运行exe文件。
1、在规则向导中选择“路径”作为规则条件类型。
2、输入目标路径,例如:C:\Program Files\* 表示该目录下所有程序均可运行。
3、添加例外路径,如 %TEMP% 或 C:\Downloads\*,将其设置为拒绝执行。
4、完成规则命名并保存,系统将自动应用该策略。
发布者规则通过验证软件数字签名确保其来源可信,适合用于锁定由特定厂商发布的应用程序,即便程序被重命名或移动位置也能持续生效。
1、在规则向导中选择“发布者”作为条件类型。
2、选择一个已正确签名的.exe文件作为模板,系统会自动提取其产品名称、版本号和发行者信息。
3、设定规则匹配范围,例如允许某一发布者的所有版本程序运行,或限定具体版本。
4、确认规则细节后保存,此后只有符合签名特征的程序才能被执行。
哈希规则针对文件内容生成加密指纹,任何修改都会导致哈希变化,因此安全性最高,常用于保护关键系统工具或防范变种病毒。
1、在规则条件类型中选择“哈希”。
2、浏览并选择需要控制的具体可执行文件,如notepad.exe或chrome.exe。
3、系统自动生成SHA256哈希值,并绑定到该文件的完整路径与名称。
4、设置动作为“允许”或“拒绝”,完成后保存规则。
在正式启用拒绝规则前,应先启用审核模式收集日志,观察现有程序运行情况,避免误拦业务必需软件。
1、在AppLocker主节点右键选择“启动审核模式”,使所有规则仅记录事件而不实际阻止程序。
2、打开“事件查看器”,导航至“应用程序和服务日志” → “Microsoft” → “Windows” → “AppLocker”。
3、检查“EXE and DLL”等子类别中的日志条目,查看哪些程序试图运行及其被允许或拒绝的原因。
4、根据日志调整规则范围,完善白名单后再切换至强制执行模式。
以上就是Windows的“AppLocker”是什么怎么用_限制特定程序运行的企业级安全功能【进阶】的详细内容,更多请关注php中文网其它相关文章!
每个人都需要一台速度更快、更稳定的 PC。随着时间的推移,垃圾文件、旧注册表数据和不必要的后台进程会占用资源并降低性能。幸运的是,许多工具可以让 Windows 保持平稳运行。
广告Copyright 2014-2025 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号
919
收藏
