Расширения коллекции правил AppLocker

• Применяется к:

  ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

В этой статье описаны расширения коллекции правил, добавленные в Windows 10 и более поздних версиях. Расширения коллекции правил — это необязательные функции, доступные только для коллекций правил EXE и DLL. Настройте расширения коллекции правил, непосредственно изменив XML-код политики AppLocker, как показано в следующем фрагменте XML.

<RuleCollectionExtensions>
    <ThresholdExtensions>
        <Services EnforcementMode="Enabled"/>
    </ThresholdExtensions>
    <RedstoneExtensions>
        <SystemApps Allow="Enabled"/>
    </RedstoneExtensions>
</RuleCollectionExtensions>

Важно.

При добавлении расширений коллекции правил в политику AppLocker необходимо включить thresholdExtensions и RedstoneExtensions , иначе политика приведет к непредвиденному поведению.

Принудительное применение служб

По умолчанию политика AppLocker применяется только к коду, выполняемму в контексте пользователя. В Windows 10, Windows 11 и Windows Server 2016 или более поздней версии можно применять политику AppLocker к процессам, не используемым, включая службы, работающие под управлением SYSTEM. Необходимо включить принудительное применение служб при использовании AppLocker с функцией управляемого установщика управления приложениями в Защитнике Windows (WDAC).

Чтобы применить политику AppLocker к процессам, которые не используются, задайте <Services EnforcementMode="Enabled"/> в <ThresholdExtensions> разделе, как показано в предыдущем фрагменте XML.

Системные приложения

При использовании AppLocker для управления процессами, не использующимися пользователями, политика должна разрешать весь системный код Windows, в противном случае устройство может вести себя неожиданно. Чтобы автоматически разрешить весь системный код, который является частью Windows, задайте <SystemApps Allow="Enabled"/> в <RedstoneExtensions> разделе, как показано в предыдущем фрагменте XML.