了解 AppLocker 中的路径规则条件
本主题介绍 AppLocker 路径规则条件、优点和缺点以及应用方式。
路径条件会通过应用程序在计算机文件系统中或网络上的位置对其进行标识。
在创建使用拒绝操作的规则时,路径条件针对阻止访问文件的安全性要低于发布者和文件哈希条件的安全性,因为用户可以轻松地将该文件复制到与规则中所指定位置不同的位置。由于路径规则指定了文件系统内的位置,你应确保不存在任何非管理员可写入的子目录。例如,如果你使用允许操作为 C:\ 创建了路径规则,将允许运行该位置下的任何文件,包括用户配置文件内的文件。下表介绍了路径条件的优点和缺点。
路径条件优点 | 路径条件缺点 |
---|---|
|
|
AppLocker 不会强制执行使用短名称指定路径的规则。在创建路径规则时,应始终指定文件或文件夹的完整路径以便正确地强制执行规则。
在“路径”字段中可使用星号 (*) 通配符。单独使用的星号 (*) 字符表示任何路径。当与任何字符串值结合使用时,该规则被限制为文件的路径以及该路径下的所有文件。例如,%ProgramFiles%\Internet Explorer\* 表明 Internet Explorer 文件夹中的所有文件和子文件夹都将受到该规则的影响。
AppLocker 将路径变量用于 Windows 中的已知目录。路径变量不是环境变量。AppLocker 引擎仅可以解释 AppLocker 路径变量。下表详细介绍了这些路径变量。
Windows 目录或驱动器 | AppLocker 路径变量 | Windows 环境变量 |
---|---|---|
Windows |
%WINDIR% |
%SystemRoot% |
System32 |
%SYSTEM32% |
%SystemDirectory% |
Windows 安装目录 |
%OSDRIVE% |
%SystemDrive% |
Program Files |
%PROGRAMFILES% |
%ProgramFiles% and %ProgramFiles(x86)% |
可移动媒体(例如 CD 或 DVD) |
%REMOVABLE% |
|
可移动存储设备(例如 U 盘) |
%HOT% |
有关三种类型的 AppLocker 规则条件的概述以及对每种规则条件的优点和缺点说明,请参阅了解 AppLocker 规则条件类型。