了解 AppLocker 规则行为
本文介绍如何使用 AppLocker 中的允许和拒绝选项强制执行 AppLocker 规则。
如果特定规则集合不存在 AppLocker 规则,则允许运行该规则集合涵盖的所有文件。 但是,为特定规则集合创建 AppLocker 规则后,仅允许至少一个规则显式允许的文件运行。 例如,如果创建允许 %SystemDrive%\FilePath 中的 .exe 文件运行的可执行规则,则仅允许位于该路径中的可执行文件运行。 阻止从任何其他路径运行的可执行文件。
可以将规则配置为使用允许或拒绝操作:
- 允许。 可以指定允许在环境中运行哪些文件,以及哪些用户或用户组可以运行。 还可以配置例外以标识从规则中排除的文件。
- 拒绝。 可以指定哪些文件不允许在你的环境中运行,以及哪些用户或用户组不允许运行。 还可以配置例外以标识从规则中排除的文件。
重要提示
可以使用允许操作和拒绝操作的组合。 但是,我们建议使用包含例外的允许操作,因为拒绝操作在所有情况下都会覆盖允许操作。