创建使用路径条件的规则

• 适用于:

  ✅ Windows 11, ✅ Windows 10

本文面向 IT 专业人员介绍如何创建具有路径条件的 AppLocker 规则。

路径条件通过应用在计算机的文件系统或网络上的位置来标识应用。

重要提示

创建拒绝规则时，路径条件在阻止访问文件方面效率较低，因为充当用户 (或恶意软件的用户) 可以轻松地将文件复制到与规则中指定的位置不同的位置。 由于路径规则对应于文件系统中的位置，因此应确保没有非管理员可写的子目录。 例如，如果使用 allow 操作为 C：\ 创建路径规则，将允许 C：\ 中的任何文件运行，包括用户的配置文件。

有关路径条件的信息，请参阅 了解 AppLocker 中的路径规则条件。

若要在 组策略 对象 (GPO) 中管理 AppLocker 策略，可以使用 组策略 管理控制台执行此任务。 若要管理本地计算机或用于安全模板的 AppLocker 策略，请使用本地安全策略管理单元。 有关如何使用这些 MMC 管理单元来管理 AppLocker 的信息，请参阅 管理 AppLocker。

创建具有路径条件的新规则

1. 打开 AppLocker 控制台，然后选择要为其创建规则的规则集合。
2. 在 “操作 ”菜单上，选择“ 创建新规则”。
3. 在 “开始之前” 页上，选择“ 下一步”。
4. 在 “权限” 页上，选择 (允许或拒绝) 以及应用规则的用户或组的操作，然后选择“ 下一步”。
5. 在“ 条件 ”页上，选择“ 路径 规则”条件，然后选择“ 下一步”。
6. 选择“ 浏览文件” ，找到应用的目标文件夹。

注意

浏览到文件或文件夹位置时，向导会自动转换绝对文件路径以使用 AppLocker 路径变量。 可以在浏览后编辑路径以指定绝对路径，也可以直接在“ 路径 ”框中键入路径。 若要详细了解 AppLocker 路径变量，请参阅 了解 AppLocker 中的路径规则条件。

7. 选择下一步 。
8. (可选) 在 “例外” 页上，指定要排除受规则影响的文件的条件。 选择下一步 。
9. 在“ 名称 ”页上，接受自动生成的规则名称或键入新规则名称，然后选择“ 创建”。