编辑 AppLocker 策略

本文面向 IT 专业人员介绍了修改 AppLocker 策略所需的步骤。

可以通过添加、更改或删除规则来编辑 AppLocker 策略。 但是,无法通过导入更多规则来创建策略的新版本。 若要修改生产中的 AppLocker 策略,应使用组策略管理软件,以便组策略对象 (GPO) 进行版本控制。 如果要将多个 AppLocker 策略合并到单个策略中,可以手动合并策略或使用适用于 AppLocker 的 Windows PowerShell cmdlet。 无法使用 AppLocker 管理单元自动合并策略。 必须从两个或多个策略创建一个规则集合。 AppLocker 策略以 XML 格式保存,导出的策略可以使用任何文本或 XML 编辑器进行编辑。 有关合并策略的信息,请参阅 手动合并 AppLocker 策略 或使用 Set-ApplockerPolicy 合并 AppLocker 策略

有三种方法可用于编辑 AppLocker 策略:

使用移动设备管理 (MDM) 编辑 AppLocker 策略

若要编辑使用 AppLocker 配置服务提供程序 (CSP) 部署的 AppLocker 策略,请更新 CSP 策略节点的字符串值中的内容。

有关详细信息,请参阅 AppLocker CSP

使用 组策略 编辑 AppLocker 策略

编辑由组策略分发的 AppLocker 策略的步骤包括:

步骤 1:使用 组策略 管理软件从 GPO 导出 AppLocker 策略

AppLocker 提供一项功能,用于将 AppLocker 策略导出和导入为 XML 文件。 此功能允许你修改生产环境外部的 AppLocker 策略。 由于更新已部署 GPO 中的 AppLocker 策略可能会产生意外后果,因此应首先将 AppLocker 策略导出到 XML 文件。 有关导出此策略的过程的信息,请参阅 从 GPO 导出 AppLocker 策略

步骤 2:将 AppLocker 策略导入 AppLocker 参考电脑或用于策略维护的电脑

将 AppLocker 策略导出到 XML 文件后,应将 XML 文件导入引用电脑上,以便编辑策略。 有关导入 AppLocker 策略的过程的信息,请参阅 从另一台计算机导入 AppLocker 策略

重要提示

将策略导入到另一台电脑上将覆盖该电脑上的现有策略。

步骤 3:使用 AppLocker 修改和测试规则

AppLocker 提供通过修改集合中的规则来修改、删除规则或向策略添加规则的方法。

步骤 4:使用 AppLocker 和组策略将 AppLocker 策略导入回 GPO

有关将更新的策略从引用计算机导出回 GPO 的过程,请参阅将 AppLocker 策略导出到 XML 文件和将 AppLocker 策略导入 GPO

重要提示

在 组策略 中强制实施 AppLocker 规则集合时,应避免编辑该集合。 由于 AppLocker 控制允许运行的文件,因此对实时策略进行更改可能会导致意外行为。 有关测试策略的信息,请参阅 测试和更新 AppLocker 策略

注意

如果使用 Microsoft Advanced 组策略 Management (AGPM) 来执行这些步骤,请在导出策略之前检查 GPO。

使用本地安全策略管理单元编辑 AppLocker 策略

使用本地安全策略管理单元 (secpol.msc) 编辑分发的 AppLocker 策略的步骤包括以下任务。

步骤 1:导入 AppLocker 策略

在维护策略的电脑上,从本地安全策略管理单元打开 AppLocker 管理单元 (secpol.msc) 。 如果从另一台电脑导出了 AppLocker 策略,请使用 AppLocker 将其导入电脑。

将 AppLocker 策略导出到 XML 文件后,应将 XML 文件导入引用电脑上,以便编辑策略。 有关导入 AppLocker 策略的过程的信息,请参阅 从另一台计算机导入 AppLocker 策略

重要提示

将策略导入到另一台电脑上将覆盖该电脑上的现有策略。

步骤 2:标识并修改要更改、删除或添加的规则

AppLocker 提供通过修改集合中的规则来修改、删除规则或向策略添加规则的方法。

步骤 3:测试策略的效果

有关测试 AppLocker 策略的步骤,请参阅 测试和更新 AppLocker 策略

步骤 4:将策略导出到 XML 文件,并将其传播到所有目标计算机

有关将更新的策略从引用计算机导出到目标计算机的过程,请参阅将 AppLocker 策略导出到 XML 文件和从另一台计算机导入 AppLocker 策略

其他资源

  • 有关执行其他 AppLocker 策略任务的步骤,请参阅 管理 AppLocker