通过

维护 AppLocker 策略

本文介绍如何维护 AppLocker 策略中的规则。

常见的 AppLocker 维护方案包括:

  • 新应用已部署,需要更新 AppLocker 策略。
  • 将部署应用的新版本,需要更新 AppLocker 策略或创建新规则来更新策略。
  • 你的组织不再支持某个应用,因此你需要阻止它被使用。
  • 应用似乎已被阻止,但应允许。
  • 应用似乎被允许,但应被阻止。
  • 单个用户或一小部分用户需要使用被阻止的特定应用。

可以使用三种方法来维护 AppLocker 策略:

使用移动设备管理 (MDM) 维护 AppLocker 策略

使用 AppLocker 配置服务提供程序,可以选择允许或阻止哪些应用运行。 使用 CSP,可以根据 EXE、MSI、DLL、应用商店应用等 (分组来配置应用限制) ,然后选择如何为不同的应用强制实施不同的策略。

有关详细信息,请参阅 AppLocker CSP

使用 组策略 维护 AppLocker 策略

对于每个方案,维护由组策略分发的 AppLocker 策略的步骤包括以下任务。

部署新应用以及更新或停用现有应用时,可能需要更新组策略对象 (GPO) 中的规则,以使策略保持最新。

可以通过添加、更改或删除规则来编辑 AppLocker 策略。 但是,无法通过导入更多规则来指定 AppLocker 策略的版本。 若要确保在修改 AppLocker 策略时进行版本控制,请使用允许创建 GPO 版本的组策略管理软件。

重要提示

在 组策略 中强制实施 AppLocker 规则集合时,应避免编辑该集合。 由于 AppLocker 控制允许运行的文件,因此对实时策略进行更改可能会导致意外行为。

步骤 1:了解 GPO 中的策略的当前行为

在修改策略之前,请评估当前如何实现策略。 例如,如果部署了新版本的应用程序,则可以使用 Test-AppLockerPolicy 验证该应用的当前策略的有效性。

步骤 2:从 GPO 导出 AppLocker 策略

更新当前在生产环境中强制执行的 AppLocker 策略可能会产生意想不到的结果。 因此,请从 GPO 导出策略,并使用 AppLocker 引用或测试计算机上的 AppLocker 更新规则。 若要准备 AppLocker 策略以供修改,请参阅 从 GPO 导出 AppLocker 策略

步骤 3:通过编辑相应的 AppLocker 规则来更新 AppLocker 策略

将 AppLocker 策略从 GPO 导出到 AppLocker 引用或测试计算机,或访问本地计算机上的策略后,可以根据需要修改规则。

若要修改 AppLocker 规则,请参阅以下文章:

步骤 4:测试 AppLocker 策略

应测试每个规则集合,以确保规则按预期执行。 (由于 AppLocker 规则继承自链接的 GPO,因此应在所有测试 GPO 中部署用于同时测试的所有规则。) 有关执行此测试的步骤,请参阅 测试和更新 AppLocker 策略

步骤 5:将 AppLocker 策略导入 GPO

测试后,将 AppLocker 策略导入回 GPO 中以便实现。 若要使用修改后的 AppLocker 策略更新 GPO,请参阅 将 AppLocker 策略导入 GPO

步骤 6:监视生成的策略行为

部署策略后,评估策略的有效性。

使用本地安全策略管理单元维护 AppLocker 策略

对于每个方案,使用本地组策略 编辑器或本地安全策略管理单元维护 AppLocker 策略的步骤包括以下任务。

步骤 1:了解策略的当前行为

在修改策略之前,请评估当前如何实现策略。

步骤 2:通过修改相应的 AppLocker 规则来更新 AppLocker 策略

规则分组到一个集合中,该集合可以应用策略强制设置。 默认情况下,AppLocker 规则不允许用户打开或运行任何不允许的文件。

若要修改 AppLocker 规则,请参阅 管理 AppLocker 上列出的相应文章。

步骤 3:测试 AppLocker 策略

应测试每个规则集合,以确保规则按预期执行。 有关执行此测试的步骤,请参阅 测试和更新 AppLocker 策略

步骤 4:使用修改后的规则部署策略

可以导出然后导入 AppLocker 策略,以将策略部署到运行 Windows 8 或更高版本的其他计算机。 若要执行此任务,请参阅将 AppLocker 策略导出到 XML 文件和从另一台计算机导入 AppLocker 策略

步骤 5:监视生成的策略行为

部署策略后,评估策略的有效性。

其他资源

  • 有关执行其他 AppLocker 策略任务的步骤,请参阅 管理 AppLocker