共用方式為

什麼是 AppLocker?

本文適用於 IT 專業人員,說明 AppLocker 是什麼。

Windows 包含兩種可以用於應用程控的技術,視您組織的特定案例和需求而定:Windows Defender 應用程控 (WDAC) 和 AppLocker。 如需可協助您選擇何時使用 WDAC 或 AppLocker 的資訊,請參閱 WDAC 和 AppLocker 概觀

AppLocker 可協助您建立規則,以根據應用程式檔案的相關信息來允許或拒絕應用程式執行。 您也可以使用 AppLocker 來控制哪些使用者或群組可以執行這些應用程式。

使用 AppLocker,您可以:

  • 控制下列類型的應用程式和檔案:可執行檔 (.exe 和.com) 、 腳本 (.js、.ps1、.vbs、.cmd和 .bat) 、windows Installer 檔案 (.mst、.msi 和 .msp) ,以及 (.dll 和 .ocx) 的 DLL 檔案,以及已封裝的應用程式和已封裝的應用程式安裝程式 (appx) 。
  • 根據衍生自數位簽名的檔屬性定義規則,包括發行者、產品名稱、檔名和檔案版本。 例如,您可以根據透過更新持續執行的發行者屬性來建立規則,也可以為特定版本的檔案建立規則。
  • 指派規則給安全性群組或個別使用者。
  • 建立規則的例外狀況。 例如,您可以建立一個規則,允許所有 Windows 進程執行,但登錄 編輯器 (Regedit.exe) 除外。
  • 使用僅稽核模式來部署原則,並在強制執行原則之前先瞭解其效果。
  • 匯入和匯出規則。 匯入和匯出會影響整個原則。 例如,如果您匯出原則,則會匯出所有規則集合中的所有規則,包括規則集合的強制設定。 如果您匯入原則,則會覆寫現有原則中的所有準則。
  • 使用 Windows PowerShell Cmdlet 簡化建立和管理 AppLocker 規則。

如需 AppLocker 所尋址之應用程控案例的相關信息,請參閱 AppLocker 原則使用案例