创建使用路径条件的规则

面向 IT 专业人员的本主题介绍了如何创建带有路径条件的 AppLocker 规则。

路径条件会通过应用在计算机文件系统中或网络上的位置对其进行标识。

要点  

在创建使用拒绝操作的规则时，路径条件对阻止访问文件的安全性较低，因为用户可以轻松地将该文件复制到与规则中所指定位置不同的位置。由于路径规则对应于文件系统内的位置，你应确保不存在任何非管理员可写入的子目录。例如，如果你使用允许操作为 C:\ 创建路径规则，将允许运行 C:\ 中的任何文件，其中包括用户配置文件。

 

有关文件路径条件的信息，请参阅了解 AppLocker 中的路径规则条件。

对于组策略对象 (GPO) 中的 AppLocker 策略，你可以使用组策略管理控制台执行此任务；对于本地计算机或安全模板中的 AppLocker 策略，你可以使用本地安全策略管理单元执行此任务。有关如何使用这些 MMC 管理单元管理 AppLocker 的信息，请参阅管理 AppLocker。

使用路径条件创建新规则

1. 打开 AppLocker 控制台，然后单击你想要创建规则的规则集合。

2. 在“操作”菜单上单击“创建新规则”****。

3. 在“开始之前”页上，单击“下一步”****。

4. 在“权限”页面上，选择应当应用规则的操作（允许操作或拒绝操作）以及用户或组，然后单击“下一步”****。

5. 在“条件”页面上选择“路径”****规则条件，然后单击“下一步”。

6. 单击“浏览文件”****，找到应用的目标文件夹。

   注意  

   在浏览到文件或文件夹位置时，向导会自动将绝对文件路径转换为使用 AppLocker 路径变量。在浏览指定绝对路径后，你可以编辑路径，或者将该路径直接键入到“路径”框中。若要了解 AppLocker 路径变量，请参阅了解 AppLocker 中的路径规则条件。

    

7. 单击“下一步”****。

8. （可选）在“例外”页面上，指定排除文件受规则影响的条件。单击“下一步”****。

9. 在“名称”页面上，接受自动生成的规则名称，或者键入新的规则名称，然后单击“创建”****。