了解 AppLocker 对规则的允许和拒绝操作
本文介绍 AppLocker 规则上的允许操作和拒绝操作之间的差异。
对规则执行“允许操作”与“拒绝”操作
每个 AppLocker 规则集合都充当文件的显式允许列表。 只能运行规则集合中一个或多个允许规则涵盖的文件。 还可以创建显式拒绝运行某些文件的规则。 显式允许或拒绝规则未涵盖的所有其他文件将 隐式 阻止运行。 在分析策略如何影响组织中的用户时,了解此 默认阻止、允许异常 行为至关重要。
当 AppLocker 应用规则时,它首先检查规则列表中是否指定了任何显式拒绝操作。 如果拒绝文件在规则集合中运行,则拒绝操作优先于任何允许操作,并且无法重写。 然后,AppLocker 检查文件的任何显式允许操作。 由于 AppLocker 默认充当允许列表,如果没有规则显式允许或拒绝文件运行,AppLocker 的默认拒绝操作会阻止该文件。
使用 AppLocker 实现阻止列表
尽管可以使用 AppLocker 创建显式阻止列表策略,但此方法对大多数组织来说无法很好地扩展,不建议将其用作实际的应用程序控制策略。 但是,如果选择这样做,请确保在规则集合中包含“允许 *”规则,以便所有其他文件运行。
重要提示
如果未在规则集合中包含所有必需应用(包括 Windows 系统文件)的允许规则,则会导致意外结果,因为策略将 隐式 拒绝计算机上的所有其他文件运行。