維護 AppLocker 原則

發行項
10/01/2024
適用於:

✅ Windows 11, ✅ Windows 10

本文說明如何維護AppLocker原則內的規則。

常見的 AppLocker 維護案例包括：

系統會部署新的應用程式，而且您需要更新AppLocker原則。
已部署新版本的應用程式，您需要更新 AppLocker 原則或建立新規則來更新原則。
您的組織不再支援應用程式，因此您必須避免使用它。
應用程式似乎遭到封鎖，但應該允許。
應用程式似乎允許，但應該會遭到封鎖。
單一使用者或小型使用者子集必須使用已封鎖的特定應用程式。

有三種方法可用來維護AppLocker原則：

使用行動裝置裝置管理 (MDM) 維護 AppLocker 原則
使用群組原則維護 AppLocker 原則
在本機計算機上維護AppLocker原則

使用行動裝置裝置管理 (MDM) 來維護 AppLocker 原則

使用 AppLocker 設定服務提供者，您可以選取允許或封鎖哪些應用程式執行。使用 CSP，您可以根據 EXE、MSI、DLL、市集應用程式等群組 (來設定應用程式限制，以及更多) ，然後選擇如何針對不同的應用程式強制執行不同的原則。

如需詳細資訊，請參閱 AppLocker CSP。

使用群組原則維護 AppLocker 原則

針對每個案例，維護群組原則所散發之 AppLocker 原則的步驟包括下列工作。

部署新的應用程式，並更新或淘汰現有的應用程式時，您可能需要更新群組原則 Object (GPO) 中的規則，讓您的原則保持在最新狀態。

您可以藉由新增、變更或移除規則來編輯AppLocker原則。不過，您無法藉由匯入更多規則來指定 AppLocker 原則的版本。若要在修改 AppLocker 原則時確保版本控制，請使用可讓您建立 GPO 版本的群組原則管理軟體。

重要

在群組原則中強制執行 AppLocker 規則集合時，您應該避免編輯它。因為 AppLocker 會控制允許執行哪些檔案，所以變更即時原則可能會導致非預期的行為。

步驟 1：從 GPO 了解原則的目前行為

在修改原則之前，請評估原則目前實作的方式。例如，如果已部署新版本的應用程式，您可以使用 Test-AppLockerPolicy 來驗證該應用程式目前原則的有效性。

步驟 2：從 GPO 導出 AppLocker 原則

更新目前在生產環境中強制執行的 AppLocker 原則可能會產生非預期的結果。因此，請從 GPO 匯出原則，並在 AppLocker 參考或測試電腦上使用 AppLocker 來更新規則或規則。若要準備AppLocker原則以供修改，請參閱從 GPO 匯出 AppLocker 原則。

步驟 3：編輯適當的 AppLocker 規則來更新 AppLocker 原則

將 AppLocker 原則從 GPO 導出至 AppLocker 參考或測試電腦，或存取本機電腦上的原則之後，就可以視需要修改規則。

若要修改 AppLocker 規則，請參閱下列文章：

步驟 4：測試 AppLocker 原則

您應該測試每個規則集合，以確保規則如預期般執行。 (因為 AppLocker 規則繼承自連結的 GPO，所以您應該在所有測試 GPO 中部署所有同時測試的規則。) 如需執行此測試的步驟，請參閱測試和更新 AppLocker 原則。

步驟 5：將 AppLocker 原則匯入 GPO

測試之後，請將AppLocker原則匯回 GPO 以進行實作。若要使用修改過的 AppLocker 原則更新 GPO，請參閱將 AppLocker 原則匯入 GPO。

步驟 6：監視產生的原則行為

部署原則之後，請評估原則的有效性。

使用本機安全策略嵌入式管理單元維護AppLocker原則

針對每個案例，使用本機群組原則編輯器或本機安全策略嵌入式管理單元來維護AppLocker原則的步驟包括下列工作。

步驟 1：了解原則的目前行為

在修改原則之前，請評估原則目前實作的方式。

步驟 2：修改適當的 AppLocker 規則來更新 AppLocker 原則

規則會分組到集合中，而集合可以套用原則強制設定。根據預設，AppLocker 規則不允許用戶開啟或執行任何不允許的檔案。

若要修改 AppLocker 規則，請參閱管理 AppLocker 上所列的適當文章。

步驟 3：測試 AppLocker 原則

您應該測試每個規則集合，以確保規則如預期般執行。如需執行此測試的步驟，請參閱測試和更新AppLocker原則。

步驟 4：使用修改過的規則部署原則

您可以匯出然後匯入 AppLocker 原則，將原則部署到執行 Windows 8 或更新版本的其他電腦。若要執行這項工作，請參閱將 AppLocker 原則匯出至 XML 檔案和從另一部電腦匯入 AppLocker 原則。

步驟 5：監視產生的原則行為

部署原則之後，請評估原則的有效性。

其他資源

如需執行其他 AppLocker 原則工作的步驟，請參閱管理 AppLocker。

共用方式為

維護 AppLocker 原則

使用行動裝置裝置管理 (MDM) 來維護 AppLocker 原則

使用群組原則維護 AppLocker 原則

步驟 1：從 GPO 了解原則的目前行為

步驟 2：從 GPO 導出 AppLocker 原則

步驟 3：編輯適當的 AppLocker 規則來更新 AppLocker 原則

步驟 4：測試 AppLocker 原則

步驟 5：將 AppLocker 原則匯入 GPO

步驟 6：監視產生的原則行為

使用本機安全策略嵌入式管理單元維護AppLocker原則

步驟 1：了解原則的目前行為

步驟 2：修改適當的 AppLocker 規則來更新 AppLocker 原則

步驟 3：測試 AppLocker 原則

步驟 4：使用修改過的規則部署原則

步驟 5：監視產生的原則行為

其他資源

意見反應

其他資源

共用方式為

維護 AppLocker 原則

使用行動裝置 裝置管理 (MDM) 來維護 AppLocker 原則

使用 群組原則 維護 AppLocker 原則

步驟 1：從 GPO 了解原則的目前行為

步驟 2：從 GPO 導出 AppLocker 原則

步驟 3：編輯適當的 AppLocker 規則來更新 AppLocker 原則

步驟 4：測試 AppLocker 原則

步驟 5：將 AppLocker 原則匯入 GPO

步驟 6：監視產生的原則行為

使用本機安全策略嵌入式管理單元維護AppLocker原則

步驟 1：了解原則的目前行為

步驟 2：修改適當的 AppLocker 規則來更新 AppLocker 原則

步驟 3：測試 AppLocker 原則

步驟 4：使用修改過的規則部署原則

步驟 5：監視產生的原則行為

其他資源

意見反應

其他資源

使用行動裝置裝置管理 (MDM) 來維護 AppLocker 原則

使用群組原則維護 AppLocker 原則