Appleocker是Windows 11中强大的应用程序控制功能,它允许管理员精确管理用户可以安装和运行的应用程序。通过根据文件属性,路径和数字签名等属性创建规则,Applocker可以对Windows系统上的软件执行进行粒状控制。
Applocker最初在Windows 7中引入,已在Windows 11中发展,提供了控制传统桌面应用程序和现代Windows Store应用程序的增强功能。这使其成为希望提高安全性,确保许可合规性并维护标准化软件环境的组织的重要工具。
让我们探索如何在Windows 11中设置和使用Applocker,以防止未经授权的应用程序安装和执行:
步骤1:通过按下来打开本地安全策略编辑器Win + R,打字secpol.msc,然后按Enter。
步骤2:在本地安全策略窗口中,导航到安全设置>应用程序控制策略> Applocker。
步骤3:右键单击“ Applocker”,然后选择“配置规则执行”。确保检查“配置”的框,以了解要执行的规则类型(可执行文件,Windows安装程序,脚本,打包应用程序和DLL规则)。
步骤4:要创建一个新规则,请右键单击所需的规则集合(例如“可执行规则”或“打包应用程序规则”),然后选择“创建新规则”。
步骤5:在创建规则向导中,选择要创建的规则类型。对于此示例,让我们创建一个包装的应用规则:
步骤6:在“权限”页面上,选择是否允许或拒绝应用程序,然后选择规则适用的用户或组。
步骤7:在发布者页面上,您可以根据应用程序的发布者,名称或版本设置规则。单击“选择”以选择系统上安装的参考应用程序或使用打包应用程序安装程序作为参考。
步骤8:设置规则的范围。选项包括:
- 申请任何发布者
- 适用于特定的出版商
- 申请特定的软件包名称
- 应用于特定的软件包版本
- 将自定义值应用于规则
步骤9:在例外页面上,指定规则不适用的任何条件。
步骤10:给您的规则一个名称和描述,然后单击“创建”以最终确定规则。
重复此过程,为要控制的其他应用程序或文件类型创建其他规则。
阅读更多:
使用PARPOCKER的重要考虑因素
实施Applocker时,请牢记这些关键点:
- 应用程序身份服务必须运行以使Applocker正常运行。
- Applocker需要组策略客户端服务(GPSVC),并且可能需要在某些系统上启用。
- Windows 11中的Applocker除了传统的可执行文件和脚本外,还可以控制.mst和.appx文件格式。
- 创建默认规则,以确保关键的Windows组件和管理工具保持可访问。
- 在广泛部署之前,请在非生产环境中彻底测试您的应用程序策略。
如果用户在尝试运行应用程序时遇到消息“此应用程序已被您的系统管理员阻止”,则意味着Appleocker规则正在阻止其执行。在这种情况下:
- 查看您的Applocker规则,以确保它们不会过分限制。
- 如果需要,请考虑为特定应用程序创建异常。
- 使用Applocker的审核模式来监视应用程序的使用情况,而无需执行块,可以帮助您完善规则。
应用程序控制的替代方法
尽管Appleocker是一种强大的解决方案,但还有其他方法可以限制Windows 11中的软件安装和执行:
- 组策略设置可用于防止用户安装软件。
- 第三方应用程序控制软件可能会为某些组织提供其他功能或更容易的管理。
- Windows 11的内置Microsoft Defender应用程序控制(MDAC)提供了一种替代方法来使用应用程序。
Appleocker是在Windows 11环境中管理应用程序访问的强大工具。通过仔细制作和实施Appleocker规则,您可以显着改善组织的安全姿势,并更好地控制系统上运行的软件。