共用方式為

使用 AppLocker 監視 app 使用方式

本文適用於 IT 專業人員,說明如何在套用 AppLocker 原則時監視應用程式使用量。

部署 AppLocker 原則之後,請監視其對裝置的影響,以確保結果符合您的預期。

探索 AppLocker 原則的效果

您可以評估目前針對檔或稽核目的實作 AppLocker 原則的方式,或在修改原則之前。 更新 AppLocker 原則部署規劃檔可協助您追蹤結果。 您可以執行下列一或多個步驟,以瞭解目前透過AppLocker規則強制執行哪些應用程控。

  • 在 事件檢視器 中分析 AppLocker 記錄

    當 AppLocker 原則強制執行設定為 [強制執行規則] 時,會封鎖您原則不允許的任何檔案。 在此情況下,會在規則集合的 AppLocker 事件記錄檔中引發事件。 當 AppLocker 原則強制執行設定為 [僅稽核] 時,系統不會強制執行規則,但仍會評估規則,以產生寫入至 AppLocker 記錄的稽核事件數據。

    如需存取記錄檔程式的詳細資訊,請參閱在 事件檢視器 中檢視 AppLocker 記錄

  • 啟用僅稽核 AppLocker 強制執行設定

    藉由使用 [僅稽核 強制執行] 設定,您可以確保已為您的組織正確設定 AppLocker 規則。 當 AppLocker 原則強制執行設定為 [僅稽核] 時,系統只會評估規則,但從該評估產生的所有事件都會寫入 AppLocker 記錄檔。

    如需執行此設定程式的詳細資訊,請 參閱設定僅稽核的 AppLocker 原則。

  • 使用 Get-AppLockerFileInformation 檢閱 AppLocker 事件

    針對事件訂用帳戶和本機事件,您可以使用 Get-AppLockerFileInformation Windows PowerShell Cmdlet 來判斷哪些檔案遭到封鎖,或如果您使用僅稽核強制模式) ,以及每個檔案發生封鎖事件的次數,將會封鎖 (。

    如需執行此驗證程式的詳細資訊,請參 閱使用 Get-AppLockerFileInformation 檢閱 AppLocker 事件

  • 使用 Test-AppLockerPolicy 檢閱 AppLocker 事件

    您可以使用 Test-AppLockerPolicy Windows PowerShell Cmdlet 來判斷規則集合中的任何規則是否會影響參考裝置或您維護原則的裝置上執行的檔案。

    如需執行這項測試之程式的詳細資訊,請 參閱使用 Test-AppLockerPolicy 測試 AppLocker 原則

使用 Get-AppLockerFileInformation 檢閱AppLocker事件

針對事件訂用帳戶和本機事件,您可以使用 Get-AppLockerFileInformation Windows PowerShell Cmdlet 來判斷哪些檔案已遭封鎖,或如果稽核一強制設定套用) ,以及每個檔案發生封鎖事件的次數,將會封鎖 (。

完成此程式所需的最小需求是本機 Administrators 群組的成員資格或對等專案。

注意

如果 AppLocker 記錄不在本機裝置上,您將需要檢視記錄的許可權。 如果輸出儲存至檔案,您將需要讀取該檔案的許可權。

使用 Get-AppLockerFileInformation 檢閱AppLocker事件

  1. 在命令提示字元中,輸入 PowerShell,然後選取 ENTER。

  2. 執行下列命令,以檢閱 AppLocker 原則不允許檔案的次數:

    Get-AppLockerFileInformation -EventLog -EventType Audited -Statistics

  3. 執行下列命令,以檢閱允許執行或防止檔案執行的次數:

    Get-AppLockerFileInformation -EventLog -EventType Allowed -Statistics

檢視 AppLocker 登入 事件檢視器

當 AppLocker 原則強制執行設定為 [強制執行規則] 時,會封鎖您原則不允許的任何檔案。 在此情況下,會在規則集合的 AppLocker 事件記錄檔中引發事件。 當 AppLocker 原則強制執行設定為 [僅稽核] 時,系統不會強制執行規則,但仍會評估規則,以產生寫入至 AppLocker 記錄的稽核事件數據。

完成此程式所需的最小需求是本機 Administrators 群組的成員資格或對等專案。

若要使用 事件檢視器 在 AppLocker 記錄檔中檢視事件

  1. 若要開啟 事件檢視器,請移至 [開始] 功能表,輸入 eventvwr.msc,然後選取 ENTER。
  2. 在控制台樹的 [ 應用程式和服務記錄檔\Microsoft\Windows] 下方,按兩下方,按兩下方,按兩下 [AppLocker]

AppLocker 事件會列在 EXE 和 DLL 記錄檔、 MSI 和腳本 記錄檔,或已 封裝應用程式部署已封裝的應用程式執行 記錄檔中。 事件資訊包括強制設定、檔名、日期和時間,以及用戶名稱。 記錄可以匯出為其他檔格式,以供進一步分析。