選取要建立的規則類型
本文列出使用AppLocker建立應用程控原則規則時要使用的資源。
決定要為每個群組建立哪些類型的規則時,您也應該決定每個群組要使用的強制設定。 不同的規則類型更適用於某些應用程式,視應用程式在特定商務群組中的部署方式而定。
下列文章提供 AppLocker 規則的其他資訊,可協助您決定要用於應用程式的規則:
- 了解 AppLocker 規則行為
- 了解 AppLocker 規則例外
- 了解 AppLocker 規則集合
- 了解 AppLocker 規則的允許和拒絕動作
- 了解 AppLocker 規則條件類型
- 了解 AppLocker 預設規則
選取規則集合
您使用的規則集合取決於您想要控制的檔案類型,包括:
- 可執行檔:.exe 和.com
- Windows Installer 檔案:.msi、.msp 和 .mst
- 腳本:.ps1、.bat、.cmd、.vbs 和 .js
- 已封裝的應用程式和已封裝的應用程式安裝程式:.appx
- DLL:.dll 和 .ocx
根據預設,規則允許檔案根據使用者或群組許可權執行。 如果您使用 DLL 規則,則必須針對所有允許的應用程式所使用的每個 DLL 建立 DLL 允許規則。 預設不會啟用 DLL 規則集合。
在 Woodgrove Bank 範例中,Bank Tellers 商務群組的企業營運應用程式是 C:\Program Files\Woodgrove\Teller.exe,而且此應用程式必須包含在規則中。 此外,由於此規則是允許應用程式清單的一部分,因此也必須包含 C:\Windows 下的所有 Windows 檔案。
判斷規則條件
規則條件是 AppLocker 規則所依據的準則,而且只能是下表中的其中一個規則條件。
| 規則條件 | 使用案例 | 資源 |
|---|---|---|
| 發行者 | 若要使用發行者條件,軟體發行者必須以數位方式簽署其檔案,或者您必須使用組織憑證來進行。 發行新版本的檔案時,可能需要更新指定至版本層級的規則。 | 如需此規則條件的詳細資訊,請參閱 瞭解AppLocker中的發行者規則條件。 |
| 路徑 | 任何檔案都可以指派此規則條件。 不過,由於路徑規則會指定文件系統內的位置,因此除非明確豁免) ,否則規則會套用至任何子目錄 (。 | 如需此規則條件的詳細資訊,請參閱 瞭解AppLocker中的路徑規則條件。 |
| 檔案哈希 | 任何檔案都可以指派此規則條件。 不過,每次發行新版本的檔案時,都必須更新規則,因為哈希值會變更。 | 如需此規則條件的詳細資訊,請參閱 瞭解 AppLocker 中的檔案哈希規則條件。 |
在 Woodgrove Bank 範例中,已簽署 Bank Tellers 商務群組的企業營運應用程式,位於 C:\Program Files\Woodgrove\Teller.exe。 因此,規則可以使用發行者條件來定義。
決定如何允許系統檔案執行
由於 AppLocker 規則會建置允許的應用程式清單,因此必須建立規則以允許所有 Windows 檔案執行。 您可以為每個規則集合產生 AppLocker 的預設規則,以確保系統應用程式執行。 您可以使用 AppLocker 預設規則 中所列 (這些預設規則,) 在建立自己的規則時作為範本。 不過,當您第一次測試 AppLocker 規則,讓 Windows 資料夾中的系統檔案執行時,這些規則只能作為入門原則。 建立默認規則時,其名稱會以規則集合中的 「 (Default rule) 」 開頭。
您也可以根據路徑條件建立系統檔案的規則。 在上述範例中,針對 Bank Tellers 群組,所有 Windows 檔案都位於 C:\Windows 之下,而且可以使用路徑規則條件類型來定義。 每當套用更新且檔案變更時,此規則就會允許存取這些檔案。 如果您需要更多應用程式安全性,您可能需要修改從內建預設規則集合建立的規則。 例如,允許所有使用者在 Windows 資料夾中執行 .exe 檔案的預設規則是以允許 Windows 資料夾內所有檔案執行的路徑條件為基礎。 Windows 資料夾包含 Temp 子資料夾,使用者群組會獲得下列許可權:
- 周遊資料夾/執行檔案
- 建立檔案/寫入數據
- 建立資料夾/附加數據
為了符合應用程式相容性,這些許可權設定會套用至此資料夾。 不過,由於任何使用者都可以在此位置建立檔案,因此允許從此位置執行應用程式可能會與貴組織的安全策略衝突。
後續步驟
選取要建立的規則類型之後,請記錄結果,如 記錄 AppLocker 規則中所述。
錄製要建立之 AppLocker 規則的結果之後,您必須考慮如何強制執行規則。 如需如何執行此強制執行的詳細資訊,請參閱判斷 群組原則 結構和規則強制執行。