共用方式為

了解 AppLocker 的路徑規則條件

本文說明如何套用AppLocker路徑規則條件及其優缺點。

路徑條件會依應用程式在計算機的檔案系統或網路上的位置來識別應用程式。

使用拒絕動作的路徑規則比其他類型的規則更有效率,因為做為使用者的使用者 (或惡意代碼) 可以輕鬆地將檔案複製到不同的位置來執行它。 因為路徑規則會指定文件系統內的位置,所以您應該確定沒有非系統管理員可寫入的子目錄。 例如,如果您使用 C:\的允許動作建立路徑規則,該位置下的任何檔案都可以執行,包括使用者配置檔內的檔案。 下表描述路徑條件的優缺點。

路徑條件優點 路徑條件缺點
  • 您可以輕鬆地控制許多資料夾或單一檔案。
  • 您可以使用星號 (*) 做為路徑規則內的通配符。
    		•
  • 如果設定為使用資料夾路徑的規則包含非管理員可寫入的子資料夾,則可能較不安全。
  • 建立路徑規則時,您必須指定檔案或資料夾的完整路徑,才能正確強制執行規則。
    		•

    AppLocker 不會強制執行指定具有簡短名稱之路徑的規則。 建立路徑規則時,您應該一律指定檔案或資料夾的完整路徑,以便正確地強制執行規則。

    星號 (*) 通配符可以在 [路徑 ] 字段中使用。 星號 (*) 本身所使用的字元代表任何路徑。 與任何字串值結合時,規則會限制為檔案的路徑,以及該路徑下的所有檔案。 例如,%ProgramFiles%\Internet Explorer\* 表示規則會影響 Internet Explorer 資料夾中的所有檔案和子資料夾。

    AppLocker 會針對 Windows 中的已知目錄使用路徑變數。 路徑變數不是環境變數。 AppLocker 引擎只能解譯 AppLocker 路徑變數。 下表詳細說明這些路徑變數。

    Windows 目錄或磁碟驅動器 AppLocker 路徑變數 Windows 環境變數
    Windows %WINDIR% %SystemRoot%
    System32 和 sysWOW64 %SYSTEM32% %SystemDirectory%
    Windows 安裝目錄 %OSDRIVE% %SystemDrive%
    程序檔 %PROGRAMFILES% %ProgramFiles% 和 %ProgramFiles (x86) %
    卸除式媒體 (例如 CD 或 DVD) %REMOVABLE%
    卸除式記憶體裝置 (例如USB快閃磁碟驅動器) %HOT%

    如需三種 AppLocker 規則條件類型及其優缺點的概觀,請參閱 瞭解 AppLocker 規則條件類型