通过

编辑 AppLocker 策略

  • 项目

面向 IT 专业人员的本主题介绍修改 AppLocker 策略所需的步骤。

你可以通过添加、更改或删除规则来编辑 AppLocker 策略。但是,你无法通过导入其他规则来创建策略的新版本。若要修改生产中的 AppLocker 策略,应使用允许你对组策略对象 (GPO) 进行版本控制的组策略管理软件。如果你已创建多个 AppLocker 策略并需要合并它们以创建一个 AppLocker 策略,则可以手动合并策略或使用适用于 AppLocker 的 Windows PowerShell cmdlet。你无法通过使用 AppLocker 管理单元自动合并策略。你必须从两个或多个策略创建一个规则集合。AppLocker 策略以 XML 格式保存,并且导出的策略可以使用任何文本或 XML 编辑器进行编辑。有关合并策略的信息,请参阅手动合并 AppLocker 策略使用 Set-ApplockerPolicy 合并 AppLocker 策略

有两种方法可用于编辑 AppLocker 策略:

  • 使用组策略编辑 AppLocker 策略

  • 使用本地安全策略管理单元编辑 AppLocker 策略

使用组策略编辑 AppLocker 策略

编辑组策略分配的 AppLocker 策略包括以下步骤:

步骤 1:使用组策略管理软件从 GPO 导出 AppLocker 策略

AppLocker 提供了将 AppLocker 策略作为 XML 文件导出和导入的功能。这允许你在生产环境外修改 AppLocker 策略。由于更新已部署 GPO 中的 AppLocker 策略可能造成意外结果,因此应首先将 AppLocker 策略导出到 XML 文件。有关执行操作的过程,请参阅从 GPO 导出 AppLocker 策略

步骤 2:将 AppLocker 策略导入到 AppLocker 参考电脑或你用于策略维护的电脑中

在将 AppLocker 策略导出到 XML 文件后,应将该 XML 文件导入到参考电脑上,以便你可以编辑该策略。有关导入 AppLocker 策略的过程,请参阅从另一台计算机导入 AppLocker 策略

小心  

将策略导入到另一台电脑上将替代该电脑上的现有策略。

 

步骤 3:使用 AppLocker 修改和测试规则

AppLocker 提供了通过修改集合内的规则修改、删除规则或将其添加到策略的方式

步骤 4:使用 AppLocker 和组策略将 AppLocker 策略重新导入到 GPO 中

有关将更新的策略从参考计算机重新导出到 GPO 的过程,请参阅将 AppLocker 策略导出到 XML 文件将 AppLocker 策略导入 GPO

小心  

当在组策略中强制执行 AppLocker 规则集合时,你永远不应对其进行编辑。由于 AppLocker 控制允许运行哪些文件,因此对实时策略进行更改可能会造成意外行为。有关测试策略的信息,请参阅测试和更新 AppLocker 策略

 

注意  

如果你要使用 Microsoft 高级组策略管理 (AGPM) 执行这些步骤,请在导出策略前检查 GPO。

 

使用本地安全策略管理单元编辑 AppLocker 策略

编辑使用本地安全策略管理单元 (secpol.msc) 分配的 AppLocker 策略的步骤包括以下任务。

步骤 1:导入 AppLocker 策略

在你保留策略的电脑上,从本地安全策略管理单元 (secpol.msc) 打开 AppLocker 管理单元。如果你已从另一台电脑导出 AppLocker 策略,请使用 AppLocker 将其导入到该电脑上。

在将 AppLocker 策略导出到 XML 文件后,应将该 XML 文件导入到参考电脑上,以便你可以编辑该策略。有关导入 AppLocker 策略的过程,请参阅从另一台计算机导入 AppLocker 策略

小心  

将策略导入到另一台电脑上将替代该电脑上的现有策略。

 

步骤 2:标识并修改要更改、删除或添加的规则

AppLocker 提供了通过修改集合内的规则修改、删除规则或将其添加到策略的方式

步骤 3:测试策略的效果

有关测试 AppLocker 策略的步骤,请参阅测试和更新 AppLocker 策略

步骤 4:将策略导出到 XML 文件并将其传播到所有目标计算机

有关将更新的策略从参考计算机导出到目标计算机的过程,请参阅将 AppLocker 策略导出到 XML 文件从另一台计算机导入 AppLocker 策略

其他资源

  • 有关执行其他 AppLocker 策略任务的步骤,请参阅管理 AppLocker