共用方式為

決定軟體限制原則的允許拒絕清單和應用程式清查

本主題為 IT 專業人員提供指導方針,說明如何為從 Windows Server 2008 和 Windows Vista 開始由軟體限制原則 (SRP) 管理的應用程式建立允許和拒絕清單。

簡介

軟體限制原則 (SRP) 是以群組原則為依據的功能,可以識別在網域的電腦上執行的軟體程式,並控制執行這些程式的能力。 您可以使用軟體限制原則來建立高限制性的電腦設定,您可以只允許執行特別識別出的應用程式。 這些原則與 Microsoft Active Directory Domain Services 和群組原則整合,但也可以在獨立電腦上進行設定。 如需 SRP 的起點,請參閱軟體限制原則

從 Windows Server 2008 R2 和 Windows 7 開始,Windows AppLocker 可用於代替 SRP 或與其搭配使用,以取得一部分的應用程式控制策略。

如需如何使用 SRP 完成特定工作的詳細資訊,請參閱下列各項:

要選擇哪項預設規則:允許或拒絕

軟體限制原則可部署為預設規則基礎的兩種模式之一:允許清單或拒絕清單。 您可以建立原則,識別環境中允許執行的每個應用程式;原則內的預設規則為 Restricted,且會封鎖您未明確允許執行的所有應用程式。 或者,您可以建立原則,識別無法執行的每個應用程式;預設規則為 Unrestricted,且只會限制您明確列出的應用程式。

重要

對於貴組織來說,在應用程式控制方面,拒絕清單模式可能屬於維護成本較高的策略。 建立和維護一個不斷演變的清單,以禁止所有惡意程式碼和其他有問題的應用程式,不僅相當耗時也容易出錯。

建立允許清單的應用程式清查

若要有效地使用允許預設規則,您必須精準判斷組織中需要哪些應用程式。 有一些工具旨在於產生應用程式清查,例如 Microsoft 應用程式相容性工具組中的清查收集器。 但 SRP 具有進階記錄功能,可協助您確實了解環境中執行的應用程式。

探索允許的應用程式

  1. 在測試環境中,部署軟體限制原則,將預設規則設定為 Unrestricted 並移除任何其他規則。 如果您啟用 SRP 而不強制其限制任何應用程式,SPR 將能監視正在執行的應用程式。

  2. 建立下列登錄值,以啟用進階記錄功能,並設定記錄檔寫入位置的路徑。

    "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers"

    字串值:LogFileName 路徑至 LogFileName

    由於 SRP 會在執行時評估所有應用程式,因此每次執行該應用程式時,都會向記錄檔 NameLogFile 寫入項目。

  3. 評估記錄檔

    每個記錄項目狀態:

    • 軟體限制原則的呼叫端以及呼叫程序的處理序識別碼 (PID)

    • 正在評估的目標

    • 執行該應用程式時遇到的 SRP 規則

    • SRP 規則的識別碼。

    寫入記錄檔的輸出範例:

explorer.exe (PID = 4728) identifiedC:\Windows\system32\onenote.exe as Unrestricted usingpath rule, Guid ={320bd852-aa7c-4674-82c5-9a80321670a3} SRP 檢查並設定為封鎖的所有應用程式和相關聯的程式碼都會記錄在記錄檔中,您便能使用該檔案來判斷允許清單應考慮列入哪些可執行檔。