使用强制执行规则设置部署 AppLocker 策略

面向 IT 专业人员的本主题介绍了使用强制设置方法部署 AppLocker 策略的步骤。

背景和先决条件

这些步骤假定你已经部署了将强制设置为“仅审核”的 AppLocker 策略，并且你已通过 AppLocker 事件日志和其他渠道收集了数据，以确定这些策略对环境有什么影响，以及策略对应用程序控制设计的符合程度。

有关 AppLocker 策略强制设置的信息，请参阅了解 AppLocker 强制设置。

有关如何计划 AppLocker 策略部署的信息，请参阅 AppLocker 设计指南。

第一步：检索 AppLocker 策略

更新当前在生产环境中强制执行的 AppLocker 策略可能会产生意外结果。使用组策略可以将策略从组策略对象 (GPO) 中导出，然后在 AppLocker 参考或测试电脑上使用 AppLocker 来更新规则。有关执行此操作的步骤，请参阅从 GPO 导出 AppLocker 策略和将 AppLocker 策略导入到 GPO 中。对于本地 AppLocker 策略，你可以在 AppLocker 参考或测试电脑上使用本地安全策略管理单元 (secpol.msc) 更新规则。有关执行此操作的步骤，请参阅将 AppLocker 策略导出到 XML 文件和从另一台计算机导入 AppLocker 策略。

第二步：更改强制设置

规则强制仅应用于规则集合，而不会应用于个别规则。AppLocker 将规则分为以下集合：可执行文件、Windows Installer 文件、封装应用、脚本和 DLL 文件。默认情况下，如果未配置强制而且规则显示在规则集合中，则会强制执行这些规则。有关强制设置的信息，请参阅了解 AppLocker 强制设置。有关更改强制设置的过程，请参阅配置适用于“仅审核”的 AppLocker 策略。

第三步：更新策略

你可以通过添加、更改或删除规则来编辑 AppLocker 策略。但是，你无法通过导入其他规则来指定某个版本的 AppLocker 策略。为了确保能在修改 AppLocker 策略时进行版本控制，请使用允许你创建 GPO 版本的组策略管理软件。此类软件的示例是 Microsoft Desktop Optimization Pack 的高级组策略管理功能。

小心  

在组策略中强制执行 AppLocker 规则集合时，你不应对其进行编辑。由于 AppLocker 控制允许运行的文件，对实时策略进行更改可能会导致意外行为。

 

有关更新 GPO 的步骤，请参阅将 AppLocker 策略导入到 GPO 中。

有关使用本地安全策略管理单元 (secpol.msc) 分配本地电脑策略的步骤，请参阅将 AppLocker 策略导出到 XML 文件和从另一台计算机导入将 AppLocker 策略。

第四步：监视策略效果

部署策略时，务必要监视该策略的实际实现。你可以通过监控支持组织的应用访问请求活动并检查 AppLocker 事件日志来执行此操作。若要监视策略效果，请参阅使用 AppLocker 监视应用程序使用情况。

其他资源

• 有关执行其他 AppLocker 策略任务的步骤，请参阅管理 AppLocker。