了解 AppLocker 基于规则的允许操作和拒绝操作
本主题阐明了基于 AppLocker 规则的允许操作和拒绝操作之间的差异。
基于规则的允许操作与拒绝操作
与软件限制策略 (SRP) 不同,每个 AppLocker 规则集合的作用是充当允许的文件列表。只有在规则集合中列出的文件才可以运行。此配置有助于更容易确定在应用 AppLocker 规则时将会发生什么情况。
你还可以创建使用拒绝操作的规则。当应用规则时,AppLocker 首先会检查在规则列表中是否指定了显式拒绝操作。如果你已在规则集合中拒绝某个文件运行,则拒绝操作将会优先于任何允许操作,而无论该规则最初应用于哪个组策略对象 (GPO)。因为默认情况下 AppLocker 的作用是充当允许的列表,如果没有规则明确允许或拒绝某个文件运行,则 AppLocker 的默认拒绝操作将阻止该文件。
拒绝规则注意事项
尽管你可以使用 AppLocker 创建规则来允许所有文件运行,然后使用规则拒绝特定文件,但是不推荐此配置。由于恶意用户可以修改文件以使拒绝规则无效,因此拒绝操作通常没有允许操作安全。拒绝操作还可以被避开。例如,即使你为文件或文件夹路径配置了拒绝操作,用户仍可以从任何其他路径运行该文件。下表针对拒绝操作详细介绍了不同规则条件的安全问题。
| 规则条件 | 拒绝操作的安全问题 |
|---|---|
发布者 |
用户可以修改文件的属性(例如,使用不同证书对文件进行重新签名)。 |
文件哈希 |
用户可以修改文件的哈希。 |
路径 |
用户可以将被拒绝的文件移动到另一个位置并在该处运行。 |
要点
如果你选择对规则使用拒绝操作,则必须确保首先创建允许 Windows 系统文件允许的规则。默认情况下,AppLocker 将为允许的应用程序强制执行规则,因此在为规则集合创建一个或多个规则后(影响 Windows 系统文件),只有列为允许的应用才可以运行。因此,在规则集合中创建单个规则来拒绝恶意文件运行也将会拒绝计算机中所有其他文件运行。