配置适用于“仅审核”的 AppLocker 策略

本主题面向 IT 专业人员介绍了如何在 IT 环境中使用 AppLocker 将 AppLocker 策略设置为“仅审核”。

在规则集合内创建 AppLocker 规则后，你可以将强制设置配置为“强制执行规则”****或“仅审核”。

当 AppLocker 策略强制设置为“强制执行规则”****时，将针对规则集合强制执行规则，并审核所有事件。当 AppLocker 策略强制设置为“仅审核”时，将仅评估规则，但从该评估生成的所有事件都将写入 AppLocker 日志。

注意  

DLL 规则集合没有审核模式。DLL 规则会影响特定应用。因此，请在将这些规则部署到生产之前测试它们的影响。若要启用 DLL 规则集合，请参阅启用 DLL 规则集合。

 

对于组策略对象 (GPO) 中的 AppLocker 策略，你可以使用组策略管理控制台执行此任务；对于本地计算机或安全模板中的 AppLocker 策略，你可以使用本地安全策略管理单元执行此任务。有关如何使用这些 MMC 管理单元管理 AppLocker 的信息，请参阅管理 AppLocker。

审核规则集合

1. 在 AppLocker 控制台中，右键单击“AppLocker”，然后单击“属性”****。

2. 在“强制”选项卡上，针对要强制执行的规则集合选中“已配置”****复选框，然后验证是否在该规则集合列表中选中了“仅审核”。

3. 重复上述步骤，为其他规则集合将强制设置配置为“仅审核”****。

4. 单击“确定”。