了解 AppLocker 规则条件类型
本主题面向 IT 专业人员介绍了三种类型的 AppLocker 规则条件。
规则条件就是 AppLocker 规则所基于的条件。创建 AppLocker 规则需要主要条件。三个主要规则条件为发布者、路径和文件哈希。
发布者
若要使用发布者条件,文件必须由软件发布者进行数字签名,或使用内部证书进行如此操作。当新版本的文件发布时,特定于版本级别的规则可能需要更新。有关此规则条件的详细信息,请参阅了解 AppLocker 中的发布者规则条件。
路径
可以向任何文件分配此规则条件,然而,由于路径规则指定文件系统中的位置,因此任何子目录也将受该规则的影响(除非明确免除)。有关此规则条件的详细信息,请参阅了解 AppLocker 中的路径规则条件。
文件哈希
可以为任何文件分配此规则条件,然而,该规则必须在每次新版本的文件发布时进行更新,因为哈希值对于该版本的文件唯一。有关此规则条件的详细信息,请参阅了解 AppLocker 中的文件哈希规则条件。
注意事项
根据组织的总体应用程序控制策略目标、AppLocker 规则维护目标以及现有(或规划的)的应用程序部署条件为每个规则选择合适的条件。以下问题可以帮助你确定要使用的规则条件。
软件发布者是否已对文件进行数字签名?
如果软件发布者已对文件进行签名,我们建议你使用发布者条件创建规则。你仍可以为已签名的文件创建文件哈希和路径条件。但是,如果软件发布者未对文件进行数字签名,你可以:
使用内部证书对文件进行签名。
使用文件哈希条件创建规则。
使用路径条件创建规则。
注意
若要确定引用计算机上有多少应用程序已经过数字签名,你可以将 Get-AppLockerFileInformation Windows PowerShell cmdlet 用于文件目录。例如,
Get-AppLockerFileInformation –Directory C:\Windows\ -FileType EXE -recurse显示了 Windows 目录中所有 .exe 文件和 .com 文件的属性。
你的组织优先使用哪种规则条件类型?
如果你的组织已使用软件限制策略 (SRP) 限制用户可以运行的文件,则使用文件哈希或路径条件的规则可能已经就位。
注意
有关可以向其应用 SRP 和 AppLocker 规则的受支持的操作系统版本列表,请参阅使用 AppLocker 的要求。