設定 AppLocker 參照裝置

• 適用於:

  ✅ Windows 11, ✅ Windows 10

本文適用於 IT 專業人員，說明在參照計算機上建立 AppLocker 原則平台結構的步驟。

用於開發和部署AppLocker原則的AppLocker參考裝置，應該模擬組織單位中的目錄結構和對應的應用程式， (生產環境的OU) 或商務群組。 在參考裝置上，您可以：

• 維護每個商務群組的應用程式清單。
• 建立個別規則，或藉由自動產生規則來建立原則，以開發 AppLocker 原則。
• 建立預設規則以允許 Windows 系統檔案正確執行。
• 執行測試並分析事件記錄檔，以判斷您想要部署的原則效果。

參考裝置不需要加入網域，但必須能夠以 XML 格式匯入和導出 AppLocker 原則。 參照計算機必須執行其中一個支援的 Windows 版本，如 使用 AppLocker 的需求中所列。

警告

建立 AppLocker 規則時，請勿使用作業系統快照集。 如果您擷取作業系統的快照集、安裝應用程式、建立 AppLocker 規則，然後還原為全新的快照集，然後針對另一個應用程式重複此程式，就有可能建立重複的規則 GUID。 如果存在重複的 GUID，AppLocker 原則將無法如預期般運作。

設定參考裝置

1. 如果尚未安裝作業系統，請在裝置上安裝其中一個支援的 Windows 版本。

   注意：如果您已在另一部裝置上安裝 群組原則 Management Console (GPMC) 來測試 AppLocker 原則的實作，您可以將原則匯出至該裝置。

2. 設定系統管理員帳戶。

   若要更新本機原則，您必須是本機 Administrators 群組的成員。 若要更新網域原則，您必須是 Domain Admins 群組的成員，或具有委派的許可權，才能使用 群組原則 來更新 群組原則 物件 (GPO) 。

3. 使用相同的目錄結構，安裝在目標商務群組或 OU 中執行的所有應用程式。

   參考裝置應該設定為模擬生產環境的結構。 這取決於相同目錄中有相同的應用程式，才能正確建立規則。

請參閱

• 設定參照計算機之後，您可以建立 AppLocker 規則集合。 您可以建置、匯入或自動產生規則。 如需執行這項工作的程式，請 參閱使用AppLocker規則。
• 使用參照裝置建立及維護 AppLocker 原則