共用方式為

了解 AppLocker 規則行為

本文說明如何使用AppLocker中的允許和拒絕選項來強制執行AppLocker規則。

如果特定規則集合沒有 AppLocker 規則存在,則允許執行該規則集合涵蓋的所有檔案。 不過,一旦建立特定規則集合的 AppLocker 規則,就只能執行至少一個規則明確允許的檔案。 例如,如果您建立允許 在 %SystemDrive%\FilePath 中 .exe 檔案執行的可執行文件規則,則只允許執行位於該路徑中的可執行檔。 從任何其他路徑執行的可執行檔都會遭到封鎖。

規則可以設定為使用允許或拒絕動作:

  • 允許。 您可以指定哪些檔案可以在您的環境中執行,以及允許哪些使用者或使用者群組執行。 您也可以設定例外狀況,以識別從規則中排除的檔案。
  • 拒絕。 您可以指定哪些檔案不允許在您的環境中執行,以及哪些使用者或使用者群組。 您也可以設定例外狀況,以識別從規則中排除的檔案。

重要

您可以使用允許動作和拒絕動作的組合。 不過,我們建議您使用允許動作,但有例外狀況,因為拒絕動作會覆寫所有情況下的允許動作。