編輯 AppLocker 原則

• 適用於:

  ✅ Windows 11, ✅ Windows 10

本文適用於 IT 專業人員，說明修改 AppLocker 原則所需的步驟。

您可以藉由新增、變更或移除規則來編輯AppLocker原則。 不過，您無法藉由匯入更多規則來建立新版本的原則。 若要修改生產環境中的 AppLocker 原則，您應該使用 群組原則 管理軟體，讓您能夠 (GPO) 群組原則 物件版本。 如果您想要將多個 AppLocker 原則合併成單一原則，您可以手動合併原則，或使用 AppLocker 的 Windows PowerShell Cmdlet。 您無法使用 AppLocker 嵌入式管理單元自動合併原則。 您必須從兩個或多個原則建立一個規則集合。 AppLocker 原則會以 XML 格式儲存，而導出的原則可以使用任何文字或 XML 編輯器來編輯。 如需合併原則的相關信息，請參閱 手動合併AppLocker 原則或 使用Set-ApplockerPolicy合併AppLocker原則。

您可以使用三種方法來編輯 AppLocker 原則：

• 使用行動裝置 裝置管理 (MDM) 編輯 AppLocker 原則
• 使用 群組原則 編輯 AppLocker 原則
• 使用本機安全策略嵌入式管理單元編輯AppLocker原則

使用行動裝置 裝置管理 (MDM) 編輯 AppLocker 原則

若要編輯使用AppLocker設定服務提供者 (CSP) 部署的AppLocker原則，請更新 CSP 原則節點字串值中的內容。

如需詳細資訊，請參閱 AppLocker CSP。

使用 群組原則 編輯 AppLocker 原則

編輯 群組原則 所散發之 AppLocker 原則的步驟包括：

步驟 1：使用 群組原則 管理軟體從 GPO 匯出 AppLocker 原則

AppLocker 提供將 AppLocker 原則匯出和匯入為 XML 檔案的功能。 此功能可讓您在生產環境之外修改AppLocker原則。 由於在已部署的 GPO 中更新 AppLocker 原則可能會產生非預期的結果，因此您應該先將 AppLocker 原則匯出至 XML 檔案。 如需匯出此原則之程式的相關信息，請參閱 從 GPO 匯出 AppLocker 原則。

步驟 2：將 AppLocker 原則匯入 AppLocker 參考電腦或您用於原則維護的電腦

將 AppLocker 原則匯出至 XML 檔案之後，您應該將 XML 檔案匯入參照電腦，以便編輯原則。 如需匯入 AppLocker 原則程式的相關信息，請參閱 從另一部計算機匯入 AppLocker 原則。

重要

將原則匯入至另一部計算機將會覆寫該電腦上的現有原則。

步驟 3：使用 AppLocker 修改和測試規則

AppLocker 藉由修改集合內的規則，提供修改、刪除或將規則新增至原則的方法。

• 如需修改規則程序的相關信息，請參閱 編輯AppLocker規則。
• 如需刪除規則程式的相關信息，請參閱 刪除AppLocker規則。
• 如需建立規則的程式，請參閱：
  • 建立使用發行者條件的規則
  • 建立使用路徑條件的規則
  • 建立使用檔案雜湊條件的規則
  • 啟用 DLL 規則集合
• 如需測試 AppLocker 原則步驟的相關信息，請 參閱測試和更新 AppLocker 原則。
• 如需將更新的原則從參照計算機導出回 GPO 的程式，請參閱將 AppLocker 原則匯出至 XML 檔案 和將 AppLocker 原則匯入 GPO。

步驟 4：使用 AppLocker 和 群組原則 將 AppLocker 原則匯回 GPO

如需將更新的原則從參照計算機導出回 GPO 的程式，請參閱將 AppLocker 原則匯出至 XML 檔案 和將 AppLocker 原則匯入 GPO。

重要

在 群組原則 中強制執行 AppLocker 規則集合時，您應該避免編輯它。 因為 AppLocker 會控制允許執行哪些檔案，所以變更即時原則可能會導致非預期的行為。 如需測試原則的相關信息，請 參閱測試和更新AppLocker原則。

注意

如果您使用 Microsoft Advanced 群組原則 Management (AGPM) 來執行這些步驟，請先查看 GPO 再導出原則。

使用本機安全策略嵌入式管理單元編輯AppLocker原則

使用本機安全策略嵌入式管理單元 (secpol.msc) 所散發的 AppLocker 原則編輯步驟包含下列工作。

步驟 1：匯入 AppLocker 原則

在您維護原則的計算機上，從 [本機安全策略] 嵌入式管理單元 (secpol.msc) 開啟 AppLocker 嵌入式管理單元。 如果您從另一部計算機匯出 AppLocker 原則，請使用 AppLocker 將它匯入電腦。

將 AppLocker 原則匯出至 XML 檔案之後，您應該將 XML 檔案匯入參照電腦，以便編輯原則。 如需匯入 AppLocker 原則程式的相關信息，請參閱 從另一部計算機匯入 AppLocker 原則。

重要

將原則匯入至另一部計算機將會覆寫該電腦上的現有原則。

步驟 2：識別並修改規則以變更、刪除或新增

AppLocker 藉由修改集合內的規則，提供修改、刪除或將規則新增至原則的方法。

• 如需修改規則程序的相關信息，請參閱 編輯AppLocker規則。
• 如需刪除規則程式的相關信息，請參閱 刪除AppLocker規則。
• 如需建立規則的程式，請參閱：
  • 建立使用發行者條件的規則
  • 建立使用路徑條件的規則
  • 建立使用檔案雜湊條件的規則
  • 啟用 DLL 規則集合

步驟 3：測試原則的效果

如需測試 AppLocker 原則的步驟，請 參閱測試和更新 AppLocker 原則。

步驟 4：將原則匯出至 XML 檔案，並將其傳播至所有目標計算機

如需將更新的原則從參照計算機導出至目標計算機的程式，請參閱將 AppLocker原則匯出至 XML 檔案 和 從另一部電腦匯入 AppLocker 原則。

其他資源

• 如需執行其他 AppLocker 原則工作的步驟，請參閱 管理 AppLocker。