共用方式為

AppLocker 規則集合延伸模組

本文說明 Windows 10 和更新版本中新增的規則集合延伸模組。 規則集合延伸模組是僅適用於 EXE 和 DLL 規則集合的選擇性功能。 直接編輯 AppLocker 原則 XML 來設定規則集合延伸模組,如下列 XML 片段所示。

<RuleCollectionExtensions>
    <ThresholdExtensions>
        <Services EnforcementMode="Enabled"/>
    </ThresholdExtensions>
    <RedstoneExtensions>
        <SystemApps Allow="Enabled"/>
    </RedstoneExtensions>
</RuleCollectionExtensions>

重要

將任何規則集合延伸模組新增至 AppLocker 原則時,您必須同時包含 ThresholdExtensionsRedstoneExtensions ,否則原則會造成非預期的行為。

強制執行服務

根據預設,AppLocker 原則僅適用於在用戶內容中執行的程序代碼。 在 Windows 10、Windows 11 和 Windows Server 2016 或更新版本上,您可以將 AppLocker 原則套用至非用戶進程,包括以 SYSTEM 身分執行的服務。 搭配 Windows Defender 應用程控的 (WDAC) 受 控安裝程式 功能使用 AppLocker 時,您必須啟用服務強制執行。

若要將 AppLocker 原則套用至非用戶進程,請在 區段中<ThresholdExtensions>設定 <Services EnforcementMode="Enabled"/> ,如先前的 XML 片段所示。

系統應用程式

使用 AppLocker 控制非用戶進程時,您的原則必須允許所有 Windows 系統程式代碼,否則您的裝置可能會意外運作。 若要自動允許屬於 Windows 一部分的所有系統程式代碼,請在 區段中<RedstoneExtensions>設定 <SystemApps Allow="Enabled"/> ,如先前的 XML 片段所示。