维护 AppLocker 策略

本主题介绍如何维护 AppLocker 策略内的规则。

常见 AppLocker 维护方案包括：

• 部署新版本的应用，并且你需要更新 AppLocker 策略或创建新规则以更新策略。

• 应用不再受组织支持，因此你需要防止它被使用。

• 应用显示为已阻止但应允许。

• 应用显示为已允许但应阻止。

• 单个用户或小部分用户需要使用已阻止的特定应用。

有两种方法可用于维护 AppLocker 策略：

• 使用组策略维护 AppLocker 策略

• 在本地计算机上维护 AppLocker 策略

在部署新应用，或者现有应用由你的组织删除或由软件发布者更新时，你可能需要对规则进行修订并更新组策略对象 (GPO) 以确保你的策略是最新版本。

你可以通过添加、更改或删除规则来编辑 AppLocker 策略。但是，你无法通过导入其他规则来指定某个版本的 AppLocker 策略。若要在修改 AppLocker 策略时确保进行版本控件，请使用允许你创建 GPO 版本的组策略管理软件。

小心  

当在组策略中强制执行 AppLocker 规则集合时，你不应编辑它。由于 AppLocker 控制允许运行哪些文件，因此对实时策略进行更改可能会造成意外行为。

 

使用组策略维护 AppLocker 策略

对于每个方案，维护组策略分配的 AppLocker 策略的步骤包含以下任务。

步骤 1：了解策略的当前行为

在修改策略前，评估策略当前的实施情况。例如，如果部署新版本的应用程序，你可以使用 Test-AppLockerPolicy 来验证该应用的当前策略的有效性。

步骤 2：从 GPO 导出 AppLocker 策略

更新当前在生产环境中强制执行的 AppLocker 策略可能会产生意外结果。因此，请从 GPO 导出该策略并通过在 AppLocker 参考或测试计算机上使用 AppLocker 来更新一个或多个规则。若要准备 AppLocker 策略进行修改，请参阅从 GPO 导出 AppLocker 策略

步骤 3：通过编辑相应的 AppLocker 规则来更新 AppLocker 策略

将该 AppLocker 策略从 GPO 导出到 AppLocker 参考或测试计算机中，或者在本地计算机上访问该策略后，可以根据需要修改特定规则。

若要修改 AppLocker 规则，请参阅以下内容：

• 编辑 AppLocker 规则

• 使用 Set-ApplockerPolicy 的合并 AppLocker 策略或手动合并 AppLocker 策略

• 删除 AppLocker 规则

• 强制执行 AppLocker 规则

步骤 4：测试 AppLocker 策略

你应该测试每个规则集合以确保规则按预期执行。（由于 AppLocker 规则继承自链接的 GPO，因此你应部署所有规则以供在所有测试 GPO 中同时测试。）有关执行此测试的步骤，请参阅测试和更新 AppLocker 策略。

步骤 5：将 AppLocker 策略导入到 GPO 中

完成测试后，将 AppLocker 策略重新导入到 GPO 中以进行实现。若要使用已修改的 AppLocker 策略更新 GPO，请参阅将 AppLocker 策略导入到 GPO 中。

步骤 6：监视生成的策略行为

部署策略后，评估策略的有效性。

使用本地安全策略管理单元维护 AppLocker 策略

对于每个方案，使用本地组策略编辑器或本地安全策略管理单元维护 AppLocker 策略的步骤包括以下任务。

步骤 1：了解策略的当前行为

在修改策略前，评估策略当前的实施情况。

步骤 2：通过修改相应的 AppLocker 规则来更新 AppLocker 策略

规则将分组为集合，这可能将策略强制设置应用到它。默认情况下，AppLocker 规则不允许用户打开或运行任何未明确允许的文件。

若要修改 AppLocker 规则，请参阅在管理 AppLocker 上列出的相应主题。

步骤 3：测试 AppLocker 策略

你应该测试每个规则集合以确保规则按预期执行。有关执行此测试的步骤，请参阅测试和更新 AppLocker 策略。

步骤 4：部署带有已修改规则的策略

你可以先导出后导入 AppLocker 策略，以将该策略部署到运行 Windows 8 或更高版本的其他计算机。若要执行此任务，请参阅将 AppLocker 策略导出到 XML 文件和从另一台计算机导入 AppLocker 策略。

步骤 5：监视生成的策略行为

部署策略后，评估策略的有效性。

其他资源

• 有关执行其他 AppLocker 策略任务的步骤，请参阅管理 AppLocker。