配置仅适用于审核的 AppLocker 策略
本文面向 IT 专业人员介绍如何使用 AppLocker 将 AppLocker 策略设置为仅在 IT 环境中 进行审核 。
在规则集合中创建 AppLocker 规则后,可以将强制模式设置配置为 “强制实施规则” 或 “仅审核”。
当 AppLocker 策略强制模式设置为 “强制实施规则”时,将对规则集合强制实施规则,并将所有事件记录到该规则集合的 AppLocker 事件日志中。 当 AppLocker 策略强制模式设置为“ 仅审核”时,仅评估规则,但从该评估生成的所有事件都会写入 AppLocker 事件日志。
若要在 组策略 对象 (GPO) 中管理 AppLocker 策略,可以使用 组策略 管理控制台执行此任务。 若要管理本地计算机或用于安全模板的 AppLocker 策略,请使用本地安全策略管理单元。 有关如何使用这些 MMC 管理单元来管理 AppLocker 的信息,请参阅 管理 AppLocker。
审核规则集合
- 在 AppLocker 控制台中,右键单击“ AppLocker”,然后选择“ 属性”。
- 在“强制”选项卡上,选中要强制实施的规则集合的“配置检查”框,然后验证该规则集合的列表中是否选择了“仅审核”。
- 重复上述步骤,将强制设置配置为 “仅审核 其他规则集合”。
- 选择“确定”。
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈