AppLocker 規則集合延伸模組
本文說明在 Windows 10 和更新版本中新增的規則集合延伸模組。 規則集合延伸模組是僅適用於 EXE 和 DLL 規則集合的選擇性功能。 直接編輯 AppLocker 原則 XML 來設定規則集合延伸模組,如下列 XML 片段所示。
<RuleCollectionExtensions>
<ThresholdExtensions>
<Services EnforcementMode="Enabled"/>
</ThresholdExtensions>
<RedstoneExtensions>
<SystemApps Allow="Enabled"/>
</RedstoneExtensions>
</RuleCollectionExtensions>
重要
將任何規則集合延伸模組新增至 AppLocker 原則時,您必須同時包含 ThresholdExtensions 和 RedstoneExtensions ,否則原則會造成非預期的行為。
強制執行服務
根據預設,AppLocker 原則僅適用於在用戶內容中執行的程序代碼。 在 Windows 10、Windows 11 和 Windows Server 2016 或更新版本上,您可以將AppLocker原則套用至非用戶進程,包括以SYSTEM身分執行的服務。 使用 AppLocker 搭配商務用應用程控的受控 安裝程式 功能時,您必須啟用服務強制執行。
若要將 AppLocker 原則套用至非用戶進程,請在 區段中<ThresholdExtensions>
設定 <Services EnforcementMode="Enabled"/>
,如先前的 XML 片段所示。
系統應用程式
使用 AppLocker 控制非用戶進程時,您的原則必須允許所有 Windows 系統程式代碼,否則您的裝置可能會意外運作。 若要自動允許屬於 Windows 一部分的所有系統程式代碼,請在 區段中<RedstoneExtensions>
設定 <SystemApps Allow="Enabled"/>
,如先前的 XML 片段所示。