了解组策略中的 AppLocker 规则和强制设置继承
本主题面向 IT 专业人员介绍了如何通过组策略应用在 AppLocker 中配置的应用程序控制策略。
规则强制仅应用于规则集合,而非个别规则。AppLocker 将规则分为以下集合:可执行文件、Windows Installer 文件、脚本、封装应用和封装应用安装程序以及 DLL 文件。规则强制的选项为“未配置”、“强制执行规则”****或“仅审核”。所有这些 AppLocker 规则集合一起组成了应用程序控制策略或 AppLocker 策略。
组策略采用两种方式合并 AppLocker 策略:
**规则。**组策略不会覆盖或替换链接的组策略对象 (GPO) 中已存在的规则。例如,如果当前 GPO 具有 12 个规则,链接的 GPO 具有 50 个规则,则 62 条规则将应用于接收 AppLocker 策略的所有计算机。
要点
在确定是否允许文件运行时,AppLocker 按照以下顺序处理规则:
**显式拒绝。**管理员创建了一个拒绝文件的规则。
**显式允许。**管理员创建了一个允许文件的规则。
**隐式拒绝。**也称为默认拒绝,因为会自动阻止不受允许规则影响的所有文件。
**强制设置。**应用对策略的最后一次写入。例如,如果更高级别的 GPO 将强制设置配置为“强制执行规则”,而最近的 GPO 将该设置配置为“仅审核”****,则强制执行“仅审核”。如果最近的 GPO 上未配置强制设置,则强制执行最近的链接的 GPO 中的设置。
由于计算机的有效策略包含来自每个链接的 GPO 的规则,可能会在用户的计算机上强制执行重复规则或冲突规则。因此,你应仔细规划部署以确保 GPO 中仅存在必要的规则。
下图演示了如何通过链接的 GPO 应用 AppLocker 规则强制。
在前面的图示中,请注意已按照配置的顺序应用链接到 Contoso 的所有 GPO。未配置的规则也已应用。例如,Contoso 和人力资源 GPO 的结果是已强制执行 33 条规则,如客户端 HR-Term1 中所示。人力资源 GPO 中包含 10 个未配置的规则。当为“仅审核”****配置规则集合后,将不会强制执行任何规则。
如果为应用 AppLocker 策略而构造组策略体系结构,请务必记住以下几点:
未配置的规则集合也将强制执行。
组策略不会覆盖或替换链接的 GPO 中已存在的规则。
AppLocker 先处理显式拒绝规则配置然后再处理允许规则配置。
对于规则强制,将应用对策略的最后一次写入。