本主题讨论在部署之前测试 AppLocker 策略所需的步骤。

应当测试每组规则以确保规则按预期执行。如果使用组策略来管理 AppLocker 策略，请针对其中创建了 AppLocker 规则的每个组策略对象 (GPO) 完成以下步骤。由于 AppLocker 规则继承自链接的 GPO，因此你应部署所有规则以供在所有测试 GPO 中同时测试。

步骤 1：启用“仅审核”强制设置

使用“仅审核”强制设置，可以确保为组织正确配置已创建的 AppLocker 规则。在“AppLocker 属性”****对话框的“强制”选项卡上，可启用此设置。有关执行此操作的过程，请参阅配置适用于“仅审核”的 AppLocker 策略。

步骤 2：将应用程序标识服务配置为自动启动

由于 AppLocker 使用应用程序标识服务来验证文件的属性，因此在应用 AppLocker 规则的任一 GPO 中，你都必须将它配置为自动启动。有关执行此操作的过程，请参阅配置应用程序标识服务。对于不受 GPO 管理的 AppLocker 策略，你必须确保该服务运行在每台电脑上，以便应用这些策略。

步骤 3：测试策略

测试 AppLocker 策略以确定是否需要修改规则集合。由于已经创建了 AppLocker 规则，启用了应用程序标识服务，并启用了“仅审核”****强制设置，因此 AppLocker 策略应存在于所有配置为接收 AppLocker 策略的客户端电脑中。

Test-AppLockerPolicy Windows PowerShell cmdlet 可用于确定规则集合中的任何规则是否会在参考电脑上受阻。有关执行此操作的过程，请参阅使用 Test-AppLockerPolicy 测试 AppLocker 策略。

步骤 4：分析 AppLocker 事件

你可以手动分析 AppLocker 事件，也可以使用 Get-AppLockerFileInformation Windows PowerShell cmdlet 来自动执行分析。

手动分析 AppLocker 事件

你可以在事件查看器或文本编辑器中查看事件，然后对这些事件进行排序来执行分析，如查找应用程序使用事件中的模式、访问频率或访问的用户组。如果你未配置事件订阅，则必须查看你的组织中抽样计算机上的日志。有关使用事件查看器的详细信息，请参阅使用 AppLocker 监视应用程序使用情况。

使用 Get-AppLockerFileInformation 分析 AppLocker 事件

使用 Get-AppLockerFileInformation Windows PowerShell cmdlet 可以从远程计算机分析 AppLocker 事件。如果应用被阻止，但本应该允许，你可以使用 AppLocker cmdlet 来帮助解决此问题。

对于事件订阅和本地事件，可以使用 Get-AppLockerFileInformation cmdlet 来确定哪些文件已被阻止或将要被阻止（如果使用的是“仅审核”强制模式）以及每个文件发生过多少次此类事件。有关执行此操作的过程，请参阅使用 AppLocker 监视应用使用情况。

在使用 Get-AppLockerFileInformation 确定文件将被阻止运行的次数后，你应当查看规则列表以确定是否应为阻止的文件创建新规则，或确定现有规则的定义是否过于严格。确保查看哪个 GPO 当前正阻止文件运行。要确定这种情况，可以使用组策略结果向导来查看规则名称。

步骤 5：修改 AppLocker 策略

在你已确定哪些规则需要编辑或添加到策略之后，可以使用组策略管理控制台来修改相关 GPO 中的 AppLocker 规则。对于不受 GPO 管理的 AppLocker 策略，可以使用本地安全策略管理单元 (secpol.msc)。有关如何修改 AppLocker 策略的信息，请参阅编辑 AppLocker 策略。

步骤 6：重复执行策略测试、分析和策略修改

重复执行上述步骤 3 到步骤 5，直到所有规则在应用强制执行之前按预期执行。

其他资源

• 有关执行其他 AppLocker 策略任务的步骤，请参阅管理 AppLocker。