商務用應用程控和 AppLocker 概觀
注意
商務用應用程控的某些功能僅適用於特定的 Windows 版本。 深入了解 應用程控功能可用性。
Windows 10 和 Windows 11 包含兩種可以用於應用程控的技術,視貴組織的特定案例和需求而定:商務用應用程控和 AppLocker。
商務用應用程控
應用程控是透過 Windows 10 導入,可讓組織控制哪些驅動程式和應用程式可在其 Windows 用戶端上執行。 它設計為服務 準則下的安全性功能,由 Microsoft 資訊安全回應中心 (MSRC) 所定義。
應用程控原則會套用至整個受管理的計算機,並影響裝置的所有使用者。 您可以根據下列項目定義應用程式控制規則:
- 用來簽署應用程式及其二進位檔的程式代碼簽署憑證 () 屬性
- 來自檔案之已簽署元數據的應用程式二進位檔屬性,例如原始檔名和版本,或檔案的哈希
- 應用程式的信譽,由Microsoft的 Intelligent Security Graph決定
- 起始安裝應用程式及其二進位檔的程式身分識別, (受管理的安裝程式)
- 從 Windows 10 1903 版開始, (啟動應用程式或檔案的路徑)
- 啟動應用程式或二進位檔的程式
注意
應用程控最初是以 Device Guard 的一部分發行,並稱為可設定的程式代碼完整性。 除了透過 群組原則 尋找應用程控原則的部署位置之外,不再使用 Device Guard 和可設定的程式碼完整性。
應用程控系統需求
您可以在任何用戶端版本的 Windows 10 或 Windows 11 上,或在 Windows Server 2016 和更新版本上建立及套用應用程控原則。 應用程控原則可以透過行動裝置 裝置管理 (MDM) 解決方案來部署,例如 Intune、管理介面,例如 Configuration Manager,或是 PowerShell 等腳本主機。 群組原則 也可以用來部署應用程控原則,但僅限於在 Windows Server 2016 和 2019 上運作的單一原則格式原則。
如需特定應用程控組建上可用個別應用程控功能的詳細資訊,請參閱 應用程控功能可用性。
AppLocker
AppLocker 是隨 Windows 7 引進的,可讓組織控制哪些應用程式可在其 Windows 用戶端上執行。 AppLocker 可協助防止使用者在其計算機上執行未經核准的軟體,但不符合安全性功能的服務準則。
AppLocker 原則可以套用至計算機上的所有使用者,或適用於個別使用者和群組。 AppLocker 規則可以根據下列項目定義:
- 用來簽署應用程式及其二進位檔的程式代碼簽署憑證 () 屬性。
- 來自檔案之已簽署元數據的應用程式二進位檔屬性,例如原始檔名和版本,或檔案的哈希。
- 啟動應用程式或檔案的來源路徑。
AppLocker 也可供應用程控的某些功能使用,包括 受管理的安裝程式 和 Intelligent Security Graph。
AppLocker 系統需求
AppLocker 原則只能在支援的 Windows 作業系統版本上執行的裝置上設定及套用。 如需詳細資訊,請參閱使用 AppLocker 的需求。 您可以使用 群組原則 或 MDM 來部署 AppLocker 原則。
選擇使用應用程控或 AppLocker 的時機
一般而言,能夠使用應用程控來實作應用程控的客戶,而不是 AppLocker,應該這麼做。 應用程控正在持續改善,並正從Microsoft管理平臺取得新增支援。 雖然 AppLocker 會繼續收到安全性修正,但並未獲得新功能改善。
不過,在某些情況下,AppLocker 可能是貴組織更適合的技術。 AppLocker 最適合用於:
- 您有混合的 Windows 操作系統 (OS) 環境,而且需要將相同的原則控件套用至 Windows 10 和舊版操作系統。
- 您必須為共享電腦上的不同使用者或群組套用不同的原則。
- 您不想要在 DLL 或驅動程式等應用程式檔上強制執行應用程控。
AppLocker 也可以部署為應用程控的補充,以針對共用裝置案例新增使用者或群組特定規則,其中請務必防止某些使用者執行特定應用程式。 最佳做法是,您應該對組織強制執行最嚴格層級的應用程控,然後您可以使用AppLocker進一步微調限制。