了解组策略中的 AppLocker 规则和强制设置继承

本主题面向 IT 专业人员介绍了如何通过组策略应用在 AppLocker 中配置的应用程序控制策略。

规则强制仅应用于规则集合，而非个别规则。AppLocker 将规则分为以下集合：可执行文件、Windows Installer 文件、脚本、封装应用和封装应用安装程序以及 DLL 文件。规则强制的选项为“未配置”、“强制执行规则”****或“仅审核”。所有这些 AppLocker 规则集合一起组成了应用程序控制策略或 AppLocker 策略。

组策略采用两种方式合并 AppLocker 策略：

• **规则。**组策略不会覆盖或替换链接的组策略对象 (GPO) 中已存在的规则。例如，如果当前 GPO 具有 12 个规则，链接的 GPO 具有 50 个规则，则 62 条规则将应用于接收 AppLocker 策略的所有计算机。

  要点  

  在确定是否允许文件运行时，AppLocker 按照以下顺序处理规则：

  1. **显式拒绝。**管理员创建了一个拒绝文件的规则。

  2. **显式允许。**管理员创建了一个允许文件的规则。

  3. **隐式拒绝。**也称为默认拒绝，因为会自动阻止不受允许规则影响的所有文件。

   

• **强制设置。**应用对策略的最后一次写入。例如，如果更高级别的 GPO 将强制设置配置为“强制执行规则”，而最近的 GPO 将该设置配置为“仅审核”****，则强制执行“仅审核”。如果最近的 GPO 上未配置强制设置，则强制执行最近的链接的 GPO 中的设置。

由于计算机的有效策略包含来自每个链接的 GPO 的规则，可能会在用户的计算机上强制执行重复规则或冲突规则。因此，你应仔细规划部署以确保 GPO 中仅存在必要的规则。

下图演示了如何通过链接的 GPO 应用 AppLocker 规则强制。

在前面的图示中，请注意已按照配置的顺序应用链接到 Contoso 的所有 GPO。未配置的规则也已应用。例如，Contoso 和人力资源 GPO 的结果是已强制执行 33 条规则，如客户端 HR-Term1 中所示。人力资源 GPO 中包含 10 个未配置的规则。当为“仅审核”****配置规则集合后，将不会强制执行任何规则。

如果为应用 AppLocker 策略而构造组策略体系结构，请务必记住以下几点：

• 未配置的规则集合也将强制执行。

• 组策略不会覆盖或替换链接的 GPO 中已存在的规则。

• AppLocker 先处理显式拒绝规则配置然后再处理允许规则配置。

• 对于规则强制，将应用对策略的最后一次写入。