Поделиться через

Общие сведения об условии правила пути в AppLocker

  • Статья
  • Применяется к:
    Windows 11, ✅ Windows 10

В этой статье объясняется, как применить условие правила пути AppLocker, а также его преимущества и недостатки.

Условие пути определяет приложение по его расположению в файловой системе компьютера или в сети.

Правила пути, использующие действие запрета, менее эффективны, чем правила других типов, так как пользователь (или вредоносная программа, действующая в качестве пользователя), может легко скопировать файл в другое расположение, чтобы запустить его. Так как правила пути указывают расположения в файловой системе, следует убедиться, что нет подкаталогов, которые могут быть доступны для записи неадминистратификаторами. Например, если вы создаете правило пути с помощью действия разрешить для C:\, любой файл в этом расположении может запуститься, включая файл в профилях пользователей. В следующей таблице описаны преимущества и недостатки условия пути.

Преимущества условий пути Недостатки условий пути
  • Вы можете легко управлять несколькими папками или одним файлом.
  • Звездочка (*) можно использовать в качестве подстановочного знака в правилах пути.
    		•
  • Это может быть менее безопасным, если правило, настроенное для использования пути к папке, содержит вложенные папки, которые записываются неадминистратиторами.
  • При создании правил пути необходимо указать полный путь к файлу или папке, чтобы правило применялось должным образом.
    		•

    AppLocker не применяет правила, указывающие пути с короткими именами. При создании правил пути всегда следует указывать полный путь к файлу или папке, чтобы правило применялось должным образом.

    В поле Path можно использовать подстановочный знак звездочки (*). Символ звездочки (*), используемый сам по себе, представляет любой путь. В сочетании с любым строковым значением правило ограничивается путем к файлу и всем файлам в этом пути. Например, %ProgramFiles%\Internet Обозреватель\* указывает, что правило влияет на все файлы и вложенные папки в папке Internet Обозреватель.

    AppLocker использует переменные пути для известных каталогов в Windows. Переменные пути не являются переменными среды. Подсистема AppLocker может интерпретировать только переменные пути AppLocker. В следующей таблице эти переменные пути описаны подробнее.

    Каталог или диск Windows Переменная пути AppLocker Переменная среды Windows
    Windows %WINDIR% %SystemRoot%
    System32 и sysWOW64 %SYSTEM32% %SystemDirectory%
    Каталог установки Windows %OSDRIVE% %SystemDrive%
    Program Files %PROGRAMFILES% %ProgramFiles% и %ProgramFiles(x86)%
    Съемный носитель (например, компакт-диск или DVD-диск) %REMOVABLE%
    Съемные запоминающее устройство (например, USB-устройство флэш-памяти) %HOT%

    Общие сведения о трех типах условий правил AppLocker, их преимуществах и недостатках см. в статье Общие сведения о типах условий правил AppLocker.