了解 AppLocker 規則的允許和拒絕動作
本文說明 AppLocker 規則的允許和拒絕動作之間的差異。
在規則上允許動作與拒絕動作
每個 AppLocker 規則集合都會作為檔案的明確允許清單。 您只能執行規則集合內一或多個允許規則所涵蓋的檔案。 您也可以建立規則,明確拒絕某些檔案執行。 明確 [允許] 或 [拒絕] 規則未涵蓋的所有其他檔案都會 被隱含封鎖 而無法執行。 根據 預設, 在分析您的原則如何影響組織中的使用者時,依例外狀況允許行為非常重要。
當 AppLocker 套用規則時,它會先檢查規則清單中是否指定任何明確的拒絕動作。 如果您拒絕檔案在規則集合中執行,則拒絕動作會優先於任何允許動作,而且無法覆寫。 然後,AppLocker 會檢查檔案是否有任何明確的允許動作。 因為 AppLocker 預設會作為允許列表運作,如果沒有規則明確允許或拒絕檔案執行,AppLocker 的預設拒絕動作會封鎖檔案。
使用 AppLocker 實作封鎖清單
雖然您可以使用AppLocker來建立明確的封鎖清單原則,但這種方法對大部分組織而言並不會有良好的調整,也不建議做為實際的應用程控策略。 不過,如果您選擇這樣做,請務必在規則集合中包含「允許 *」規則,以便執行所有其他檔案。
重要
如果您未在規則集合中包含所有必要應用程式的允許規則,包括 Windows 系統檔案,則會造成非預期的結果,因為您的原則會 隱含拒絕 電腦上的所有其他檔案執行。