使用软件限制策略和 AppLocker 策略
本主题面向 IT 专业人员介绍了如何在相同的 Windows 部署中使用软件限制策略 (SRP) 和 AppLocker 策略。
了解 SRP 和 AppLocker 之间的区别
你可能想要在早于 Windows Server 2008 R2 或 Windows 7 的 Windows 操作系统中部署应用程序控制策略。你仅可以在受支持的 Windows 版本(如使用 AppLocker 的要求中所列)中使用 AppLocker 策略。但是你可以在这些受支持的 Windows 版本与 Windows Server 2003 和 Windows XP 中使用 SRP。若要比较 SRP 和 AppLocker 中的特性与功能以便你可以确定何时使用每种技术来实现你的应用程序控制目标,请参阅确定你的应用程序控制目标。
在相同的域中使用 SRP 和 AppLocker。
SRP 和 AppLocker 将组策略用于域管理。但是,当 SRP 和 AppLocker 生成的策略存在于相同的域中并且通过组策略进行应用时,AppLocker 策略将在运行支持 AppLocker 的系统的计算机上优先于 SRP 生成的策略。有关组策略中的继承如何应用于 AppLocker 策略和 SRP 生成的策略的信息,请参阅了解组策略中的 AppLocker 规则和强制设置继承。
要点
作为最佳做法,请使用单独的组策略对象来实现你的 SRP 和 AppLocker 策略。为了减少疑难解答问题,请勿将它们组合在相同的 GPO 中。
以下方案提供了每种类型的策略将如何影响银行出纳软件应用的示例,其中应用部署在不同的 Windows 桌面操作系统上并且由“出纳”GPO 进行管理。
| 操作系统 | 使用 AppLocker 策略的“出纳”GPO | 使用 SRP 策略的“出纳”GPO | 使用 AppLocker 策略和 SRP 的“出纳”GPO |
|---|---|---|---|
Windows 10、 Windows 8.1、Windows 8 和 Windows 7 |
已应用 GPO 中的 AppLocker 策略,并且它们取代了所有本地 AppLocker 策略。 |
本地 AppLocker 策略取代了 SRP 生成的通过 GPO 应用的策略。 |
已应用 GPO 中的 AppLocker 策略,并且它们取代了 GPO 中 SRP 生成的策略以及本地 AppLocker 策略或 SRP 生成的策略。 |
Windows Vista |
未应用 AppLocker 策略。 |
已应用 GPO 中 SRP 生成的策略,并且它们取代了 SRP 生成的本地策略。未应用 AppLocker 策略。 |
已应用 GPO 中 SRP 生成的策略,并且它们取代了 SRP 生成的本地策略。未应用 AppLocker 策略。 |
Windows XP |
未应用 AppLocker 策略。 |
已应用 GPO 中 SRP 生成的策略,并且它们取代了 SRP 生成的本地策略。未应用 AppLocker 策略。 |
已应用 GPO 中 SRP 生成的策略,并且它们取代了 SRP 生成的本地策略。未应用 AppLocker 策略。 |
注意
有关受支持的 Windows 操作系统版本的信息,请参阅使用 AppLocker 的要求。
测试并验证部署在相同环境中的 SRP 和 AppLocker 策略
因为 SRP和 AppLocker 策略运行方式不同,它们不应在相同的 GPO 中实现。这使得策略结果的测试简单明了,这对成功控制组织中的应用程序使用情况非常关键。配置测试和策略分发系统可帮助你了解策略的结果。SRP 生成的策略和 AppLocker 策略的效果需要使用不同的工具分别进行测试。
步骤 1:测试 SRP 的效果
你可以使用组策略管理控制台 (GPMC) 或策略的结果集 (RSoP) 管理单元来确定使用 GPO 应用 SRP 的效果。
步骤 2:测试 AppLocker 策略的效果
你可以使用 Windows PowerShell cmdlet 测试 AppLocker 策略。有关调查策略结果的信息,请参阅:
在确定策略的结果时可使用的另一种方法是将强制模式设置为“仅审核”。部署策略后,事件将写入 AppLocker 日志中(如同强制执行策略)。有关使用“仅审核”****模式的信息,请参阅: