了解 AppLocker 中的路径规则条件
本文介绍如何应用 AppLocker 路径规则条件及其优点和缺点。
路径条件通过应用程序在计算机文件系统或网络上的位置来标识应用程序。
使用拒绝操作的路径规则不如其他类型的规则有效,因为充当用户的用户 (或恶意软件) 可以轻松地将文件复制到其他位置以运行该文件。 由于路径规则指定文件系统中的位置,因此应确保没有非管理员可写的子目录。 例如,如果使用 C:\的允许操作创建路径规则,则可以运行该位置下的任何文件,包括用户配置文件中的文件。 下表描述了路径条件的优点和缺点。
| 路径条件优势 | 路径条件的缺点 |
|---|---|
AppLocker 不会强制实施使用短名称指定路径的规则。 创建路径规则时,应始终指定文件或文件夹的完整路径,以便正确强制执行该规则。
可以在 “路径” 字段中使用星号 (*) 通配符。 星号 (*) 字符本身表示任何路径。 与任何字符串值结合使用时,规则仅限于文件的路径以及该路径下的所有文件。 例如,%ProgramFiles%\Internet Explorer\* 指示该规则会影响 Internet Explorer 文件夹中的所有文件和子文件夹。
AppLocker 对 Windows 中的已知目录使用路径变量。 路径变量不是环境变量。 AppLocker 引擎只能解释 AppLocker 路径变量。 下表详细介绍了这些路径变量。
| Windows 目录或驱动器 | AppLocker 路径变量 | Windows 环境变量 |
|---|---|---|
| Windows | %WINDIR% | %SystemRoot% |
| System32 和 sysWOW64 | %SYSTEM32% | %SystemDirectory% |
| Windows 安装目录 | %OSDRIVE% | %SystemDrive% |
| 程序文件 | %PROGRAMFILES% | %ProgramFiles% 和 %ProgramFiles (x86) % |
| 可移动媒体 (,例如 CD 或 DVD) | %REMOVABLE% | |
| 可移动存储设备 (例如 U 盘) | %HOT% |
有关三种类型的 AppLocker 规则条件及其优点和缺点的概述,请参阅 了解 AppLocker 规则条件类型。