AppLocker 程序和互動

本文適用於 IT 專業人員，說明 AppLocker 評估和強制執行規則時的程式相依性和互動。

AppLocker 如何套用原則

AppLocker 原則是規則的集合，其中可能包含任何一個已設定的強制模式設定。 套用時，會在原則內評估每個規則，並根據強制設定，並根據您的 群組原則 結構來套用規則集合。

AppLocker 原則會透過應用程式識別服務 (appid.sys) 在計算機上強制執行，這是評估原則並在 Windows 核心內執行的引擎。 如果服務未執行，則不會強制執行原則。 應用程式身分識別服務會從二進位檔傳回資訊，即使產品或二進位名稱是空的，也會傳回本機安全策略嵌入式管理單元的結果窗格。

根據應用程式識別服務需求，AppLocker 原則會以安全描述符格式儲存。 它會使用檔案路徑、哈希或完整二進位名稱屬性來形成規則的允許或拒絕動作。 每個規則都會儲存為安全描述符中 ACE) (存取控制專案，並包含下列資訊：

• 安全描述符定義語言中的允許或拒絕 ACE (“XA” 或 “XD”， (SDDL) 窗體) 。
• 此規則適用的使用者安全標識碼 (SID) 。 (預設值為 SDDL.) 中已驗證的使用者 SID
• 包含 appid 屬性的規則條件。

例如，允許 %windir% 目錄中所有檔案執行之規則的 SDDL 會使用下列格式： XA;;FX;;;AU;(APPID://PATH == "%windir%\\\*")。

Appid.sys 讀取和快取 DLL 和可執行檔的有效 AppLocker 原則。 每當套用新的原則時，原則轉換器工作就會通知 appid.sys。 對於其他文件類型，每次呼叫 SaferIdentifyLevel 時，都會讀取 AppLocker 原則。

瞭解 AppLocker 規則

AppLocker 規則是放置在檔案上的控制，可控制它是否針對特定使用者或群組執行。 您可以為五種不同類型的檔案或集合建立 AppLocker 規則：

• 可執行文件規則會控制使用者或群組是否可以執行可執行檔。 可執行檔最常具有 .exe 或.com擴展名，並套用至應用程式。
• 腳本規則可控制使用者或群組是否可以執行擴展名為 .ps1、.bat、.cmd、.vbs 和 .js 的腳本。
• Windows Installer 規則可控制使用者或群組是否可以執行擴展名為 .msi、.mst 和 .msp (Windows Installer 修補程式) 的檔案。
• DLL 規則會控制使用者或群組是否可以執行擴展名為 .dll 和 .ocx 的檔案。
• 封裝的應用程式和已封裝的應用程式安裝程式規則會控制使用者或群組是否可以執行或安裝已封裝的應用程式。 已封裝的應用程式安裝程式具有.appx延伸模組。

有三種不同類型的條件可以套用至規則：

• 規則上的發行者條件可控制使用者或群組是否可以從特定軟體發行者執行檔案。 檔案必須經過簽署。

• 規則上的路徑條件可控制使用者或群組是否可以從特定目錄或其子目錄內執行檔案。

• 規則上的檔案哈希條件可控制使用者或群組是否可以使用相符的加密哈希來執行檔案。

• 了解 AppLocker 規則集合

  AppLocker 規則集合是一組適用於下列其中一種類型的規則：可執行檔、Windows Installer 檔案、腳本、DLL 和已封裝的應用程式。

• 了解 AppLocker 規則條件類型

  規則條件是 AppLocker 規則所依據的準則。 建立 AppLocker 規則需要主要條件。 三個主要規則條件為發行者、路徑和檔案哈希。

  • 了解 AppLocker 的發行者規則條件
  • 了解 AppLocker 的路徑規則條件
  • 了解 AppLocker 的檔案雜湊規則條件

• 了解 AppLocker 預設規則

  AppLocker 包含每個規則集合的默認規則。 這些規則旨在協助確保 AppLocker 規則集合中允許 Windows 正常運作所需的檔案。

  • AppLocker 的可執行檔規則
  • AppLocker 的 Windows Installer 規則
  • AppLocker 的指令碼規則
  • AppLocker 的 DLL 規則
  • AppLocker 的已封裝應用程式與已封裝應用程式安裝程式規則

• 了解 AppLocker 規則例外

  您可以將 AppLocker 規則套用至個別使用者或使用者群組。 如果您將規則套用至使用者群組，此規則會影響該群組中的所有使用者。 如果您只需要允許使用者群組的子集使用應用程式，您可以為該子集建立特殊規則。

• 瞭解 AppLocker 規則行為 和 瞭解 AppLocker 允許和拒絕規則的動作

  每個 AppLocker 規則集合都會作為允許的檔案清單。

瞭解 AppLocker 原則

AppLocker 原則是一組規則集合，以及套用至一或多部計算機的對應設定強制模式設定。

• 了解 AppLocker 強制執行設定

  規則強制執行只會套用至規則集合，而不會套用至個別規則。 AppLocker 會將規則分成四個集合：可執行檔、Windows Installer 檔案、腳本和 DLL 檔案。 規則強制執行的選項為 [未設定]、[ 強制執行規則] 或 [ 僅稽核]。 所有 AppLocker 規則集合會一起撰寫應用程控原則或 AppLocker 原則。 根據預設，如果未設定強制執行，且規則存在於規則集合中，則會強制執行這些規則。

瞭解 AppLocker 和 群組原則

群組原則 可用來在個別物件中建立、修改及散發 AppLocker 原則，或與其他原則一起使用。

• 了解群組原則中的 AppLocker 規則和強制執行設定繼承

  當 群組原則 用來散發 AppLocker 原則時，除非強制模式設定為 [僅稽核]，否則會強制執行包含一或多個規則的規則集合。 群組原則 不會覆寫或取代已存在於連結 群組原則 物件 (GPO) 中的規則，並套用 AppLocker 規則以及現有的規則。 AppLocker 會先處理明確的拒絕規則，再套用任何允許規則，並針對規則強制執行套用最後寫入 GPO。

相關文章

• AppLocker 技術參考