Работа с правилами AppLocker

Применимо к: Windows 8.1, Windows Server 2012 R2, Windows Server 2012, Windows 8

<_caps3a_sxs _xmlns3a_caps="https://schemas.microsoft.com/build/caps/2013/11"><_caps3a_sxstarget locale="ru-RU">В этом разделе описываются типы правил AppLocker и способах работы с ними для политик управления приложениями с помощью Windows Server® 2012 и Windows® 8.ПроцедурыCreate a Rule that uses a File Hash Condition Create a Rule that uses a Path Condition Create a Rule that uses a Publisher Condition Create a rule for Packaged apps Create AppLocker Default Rules Configure exceptions for an AppLocker Rule Delete an AppLocker Rule Edit AppLocker Rules Enable the DLL Rule Collection Enforce AppLocker Rules Run the Automatically Generate Rules Wizard В следующей таблице описаны три режима применения политик AppLocker. Параметр режима принудительного применения определенных здесь могут быть перезаписаны параметром, производным от связанного объекта (Групповой) с более высоким приоритетом.Режим применения политикОписаниеНе настроеноЭто значение по умолчанию, что означает, что определенные здесь правила будут применяться, если другое значение для этого параметра не имеет связанного объекта групповой Политики с более высоким приоритетом.Принудительное применение правилПравила применяются.Только аудитВыполняется аудит правил, но правила не применяются. Когда пользователь запускает приложение, которое влияет правило AppLocker, допустимого для запуска приложения и сведения о приложении, добавляется в журнал событий AppLocker. Режим применения "Только аудит" помогает перед применением политики определить, на какие приложения будет влиять эта политика. Если значение для коллекции правил политика AppLocker аудита только, правила для этой коллекции не применяются.При объединении политик AppLocker из разных объектов групповой политики правила из всех объектов GPO объединяются и устанавливается режим применения политик результирующего объекта групповой политики.Дополнительные сведения об объектах групповой политики и наследовании групповой политики, см. в руководстве по развертыванию и планировании групповой политики https://go.microsoft.com/fwlink/p/?linkid=143138https://go.microsoft.com/fwlink/p/?linkid=143138.Коллекции правилПользовательский интерфейс AppLocker осуществляется через консоль управления (MMC), и она организована в правило коллекций, которые являются исполняемые файлы, сценарии, файлы установщика Windows, упакованные приложения и упакованные приложения установщики и файлы DLL. Коллекции позволяют администратору легко различать правила для разных типов приложений. В следующей таблице перечислены форматы файлов, которые входят в каждую коллекцию правил.Коллекция правилСвязанные форматы файловИсполняемые файлы.exe.comСценарииPS1BATCMDVBSJSФайлы установщика WindowsMSIMSPMSTУпакованные приложения и установщики упакованных приложенийAPPXDLL-файлыDLLOCXЕсли используются правила DLL, то разрешающее правило нужно создавать для каждой библиотеки DLL, которая используется всеми разрешенными приложениями.Когда используются правила DLL, AppLocker должен проверять каждую библиотеку DLL, загружаемую приложением. Поэтому использование правил DLL может приводить к снижению производительности.Коллекция правил DLL по умолчанию выключена. Чтобы узнать, как включить коллекцию правил DLL, см. раздел DLL rule collections.Условия для правилУсловия для правил — это критерии, с помощью которых AppLocker определяет, к каким приложениям применяется то или иное правило. Три основных условия для правил следующие: издатель, путь и хэш файла.Publisher: Определяет приложение по его цифровой подписиPath: Определяет приложение по его расположению в файловой системе компьютера или в сетиFile hash: Представляет вычисляемый системой криптографический хэш определенного файлаИздательЭто условие определяет приложение на основе его цифровой подписи и дополнительных атрибутов, если они есть. Цифровая подпись содержит сведения о компании, создавшей приложение (издателе). Исполняемые файлы, библиотеки DLL, установщика Windows, упакованные приложения и установщики упакованных приложений также имеют дополнительные атрибуты, которые извлекаются из двоичного ресурса. В случае исполняемых файлов библиотек DLL и файлов установщика Windows, эти атрибуты содержат имя продукта, что файл является частью, исходное имя файла, указанное издателем и номер версии файла. В случае упакованные приложения и установщики упакованных приложений эти дополнительные атрибуты содержат имя и версию пакета приложения.Правила, созданные в упакованные приложения и коллекцию правил установщики упакованных приложений может иметь только условия издателя, поскольку Windows не поддерживает неподписанные упакованные приложения и установщики упакованных приложений.Используйте условие издателя, если это возможно, поскольку они сохраняются после обновления приложения, а также изменение местоположения файлов.При выборе ссылочного файла для условия издателя мастер создает правило, которое задает издателя, продукт, имя файла и номер версии. Правило можно сделать более общим, переместив ползунок вверх или используя подстановочный знак (*) в полях продукта, имени файла или номера версии.Чтобы ввести в мастере создания правил другие значения для полей условия издателя, необходимо установить флажок Пользовательские значения. Когда этот флажок установлен, ползунком пользоваться нельзя.Параметры Версия файла и Версия пакета определяют, может ли пользователь запускать конкретную версию приложения, его более ранние или более поздние версии. Можно выбрать номер версии и затем настроить следующие параметры.Именно. Правило применяется только к данной версии приложения.И выше. Правило применяется к данной версии и ко всем последующим.И ниже. Правило применяется к данной версии и ко всем предыдущим.Приведенная ниже таблица поясняет, как применяется условие издателя.ПараметрУсловие издателя разрешает или запрещает...Все подписанные файлыВсе файлы, подписанные любого издателя.Только издательВсе файлы, подписанные издателем с данным именем.Издатель и имя продуктаВсе файлы для указанного продукта, подписанные издателем с данным именем.Издатель, имя продукта и имя файлаЛюбая версия данного файла или пакета для данного продукта, подписанная издателем.Издатель, имя продукта, имя и версия файлаВ точностиУказанная версия данного файла или пакета для данного продукта, подписанная издателем.Издатель, имя продукта, имя и версия файлаИ вышеУказанная версия данного файла или пакета и любые новые выпуски продукта, подписанные издателем.Издатель, имя продукта, имя и версия файлаИ нижеУказанная версия данного файла или пакета и любые более ранние версии продукта, подписанные издателем.НастраиваемоеМожно изменить издатель, Марка, имя файла, версииимя пакета, и версия пакета поля, чтобы создать настраиваемое правило.путьЭто условие для правила определяет приложение по его расположению в файловой системе компьютера или в сети.AppLocker использует особые переменные пути для известных расположений, таких как Program Files и Windows.В приведенной ниже таблице описаны эти переменные пути.Диск или папка WindowsПеременная пути AppLockerПеременная среды WindowsWindows%WINDIR%%SystemRoot%System32%SYSTEM32%%SystemDirectory%Каталог установки Windows%OSDRIVE%%SystemDrive%Program Files%PROGRAMFILES%%ProgramFiles% и %ProgramFiles(x86)%Съемный носитель (например, компакт-диск или DVD-диск)%REMOVABLE%Съемное запоминающее устройство (например, USB-устройство флэш-памяти)%HOT%Поскольку в условие пути можно включить большое число папок и файлов, такие условия нужно тщательно планировать. Например, если разрешающее правило с условием пути содержит расположение папки, в которую могут записывать данные лица, не являющиеся администраторами, то пользователь потом сможет копировать неразрешенные файлы в это расположение и запускать их. Поэтому лучше не создавать условия пути для расположений обычного пользователя с возможностью записи, таких как профиль пользователя.Хэш файлаЕсли для правила выбрано условие хэша файла, то система вычисляет криптографический хэш определенного файла. Преимущество этого условия для правила заключается в том, что поскольку каждый файл имеет уникальный хэш, условие хэша файла применяется только к одному файлу. Недостаток заключается в том, что при каждом обновлении файла (например, при обновлении системы безопасности или обновлении версии) хэш файла изменяется. Поэтому обновлять правила хэша файла необходимо вручную.Правила AppLocker по умолчаниюAppLocker позволяет создавать правила по умолчанию для каждой коллекции правил.Типы правил по умолчанию для исполняемых файлов:Разрешать членам локальной группы Администраторы запускать любые приложения.Разрешать членам группы Все запускать приложения, расположенные в папке Windows.Разрешать членам группы Все запускать приложения, расположенные в папке Program Files.Типы правил по умолчанию для сценариев:Разрешать членам локальной группы Администраторы выполнять любые сценарии.Разрешать членам группы Все выполнять любые сценарии, размещенные в папке Program Files.Разрешать членам группы Все выполнять любые сценарии, размещенные в папке Windows.Типы правил по умолчанию для установщика Windows:Разрешать членам локальной группы Администраторы запускать любые файлы установщика Windows.Разрешать членам группы Все запускать все файлы установщика Windows с цифровой подписью.Разрешать членам группы Все запускать все файлы установщика Windows, расположенные в папке Windows\Installer.Типы правил по умолчанию для библиотек DLL:Разрешать членам локальной группы Администраторы запускать любые библиотеки DLL.Разрешать членам группы Все запускать библиотеки DLL, размещенные в папке Program Files.Разрешать членам группы Все запускать библиотеки DLL, размещенные в папке Windows.Типы правил по умолчанию упакованные приложения:Разрешать членам группы все группы, устанавливать и запускать все подписанные упакованные приложения и установщики упакованных приложений.Поведение правил AppLockerЕсли правил AppLocker для определенной коллекции правил не существует, то разрешается запускать все файлы в данном формате. Однако когда правило AppLocker для определенной коллекции правил создано, можно запускать только файлы, явно разрешенные в правиле. Например, если создается правило для исполняемых файлов, которое разрешает запускать ЕХЕ-файлы в каталоге %SystemDrive%\FilePath, то можно будет запускать только исполняемые файлы из этого каталога.Можно настроить правило для использования разрешающего или запрещающего действия.Разрешить. Можно указать, какие файлы разрешается выполнять в среде и каким пользователям или группам пользователей. Можно также задать исключения файлов из данного правила.Запретите. Можно указать, какие файлы будут не может выполняться в вашей среде и каким пользователям или группам пользователей. Можно также задать исключения файлов из данного правила.По соображениям использования разрешающие действия с исключениями. Можно использовать сочетание разрешить и запретить действия, но также понять, запретить переопределение действия разрешающие во всех случаях, а также можно обойти.Если вы присоединяете компьютер под управлением Windows Server 2012 или Windows 8 для домена, в котором уже применяются правила AppLocker для исполняемых файлов, пользователи не смогут выполнять все упакованные приложения, пока вы не создадите правила для упакованных приложений. Если вы хотите разрешить все упакованные приложения в вашей среде, продолжая управления исполняемые файлы, необходимо создать правила по умолчанию для упакованных приложений и установите режим применения политик аудита только для упакованных приложений коллекции правил.Исключения из правилПравила AppLocker можно применять к отдельным пользователям или к группе пользователей. Если правило применяется к группе пользователей, то оно затрагивает всех пользователей в данной группе. Если требуется разрешить некоторым пользователям группы работать с приложением, можно создать особое правило для этой подгруппы. Например, правило "Разрешать группе "Все" запускать Windows, кроме редактора реестра" разрешает всем пользователям организации запускать операционную систему Windows, но не разрешает им запускать редактор реестра.В результате действия этого правила такие пользователи, как персонал службы поддержки, не смогут запускать программы, необходимые для выполнения их задач. Чтобы решить эту проблему, создайте второе правило, которое будет применяться к группе пользователей службы поддержки: "Разрешать службе поддержки запускать редактор реестра". Если создать запрещающее правило, которое не разрешает никаким пользователям запускать редактор реестра, то это правило переопределит второе правило, разрешающее группе пользователей службы поддержки запускать редактор реестра.Коллекция правил DLLПоскольку коллекция правил DLL по умолчанию не включена, перед созданием и применением правил DLL необходимо выполнить следующую процедуру.Чтобы выполнить эту процедуру, вы должны быть членом локальной группы Администраторы или аналогичной.Процедура включения коллекции правил DLLНа экране Пуск введитеsecpol.msc в Поиск программ и файлов поле и нажмите клавишу ВВОД.Если появится диалоговое окно контроля учетных записей, подтвердите, что отображаемое в нем действие именно то, которое требуется, и нажмите кнопку Да.В дереве консоли дважды щелкните узел Политики управления приложениями, щелкните правой кнопкой мыши узел AppLocker и выберите пункт Свойства.Перейдите на вкладку Дополнительно, установите флажок Включить коллекцию правил DLL и нажмите кнопку ОК.Перед применением правил DLL убедитесь в наличии разрешающих правил для каждой библиотеки DLL, используемой разрешенными приложениями.Мастера AppLockerПравила можно создавать с помощью двух мастеров AppLocker.Мастер создания правил позволяет создавать правила по одному.Мастер автоматического создания правил позволяет одновременно создавать несколько правил. Можно выбрать папку и позволить мастера создания правила для соответствующих файлов в этой папке или в случае упакованные приложения позволяют создать мастер правил для всех упакованных приложений, установленных на компьютере. Кроме того, можно указать пользователя или группу, к которым должны применяться правила. Этот мастер автоматически генерирует только разрешающие правила.Дополнительные сведенияПо умолчанию правила AppLocker не разрешают пользователям открывать или запускать файлы, на которые им не предоставлены конкретные разрешения. Администраторы должны поддерживать и обновлять список разрешенных приложений.Существует два типа условий AppLocker, которые не сохраняются после обновления приложения. Условие хэша файла. Условия хэша файла для правил можно использовать для любого приложения, поскольку значение криптографического хэша приложения генерируется в момент создания правила. Однако значение хэша зависит от конкретной версии приложения. Если в организации используется несколько версий приложения, необходимо создать условия хэша файла для каждой из этих версий и для всех новых выпускаемых версий.Условие издателя с определенным набором версий продукта. Если для правила создается условие издателя, которое использует параметр версии В точности, то правило не будет сохраняться при установке новой версии приложения. Необходимо будет создать новое условие издателя или изменить версию правила, сделав его более обобщенным.Если приложение не имеет цифровой подписи, использовать условие издателя для этого приложения невозможно.Правила AppLocker нельзя использовать для управления компьютерами с операционной системой Windows более ранней, чем Windows Server 2008 R2 или Windows 7. Вместо них необходимо применять политики ограниченного использования программ. Если правила AppLocker определены для объекта групповой политики (GPO), то применяются только эти правила. Для обеспечения взаимодействия между правилами политик ограниченного использования программ и правилами AppLocker определите правила политик ограниченного использования программ и правила AppLocker в разных объектах GPO.Упакованные приложения и упакованные приложения, коллекция правил установщик доступен только в Windows Server 2012 и Windows 8.Если применяются правила для коллекции правил исполняемых файлов и коллекции правил упакованных приложений и установщиков упакованных приложений не содержат какие-либо правила, не упакованных приложений и установщиков упакованных приложений могут выполняться. Чтобы разрешить все упакованные приложения и установщики упакованных приложений, необходимо создать правила для упакованных приложений и упакованы коллекции правил установщиков приложений.Если для коллекции правил AppLocker установлено значение Только аудит, правила не действуют. Когда пользователь запускает приложение, включенное в правило, оно нормально открывается и работает, а сведения об этом приложении добавляются в журнал событий AppLocker.Можно включить настраиваемый URL-адрес в сообщение, которое появляется при блокировке приложения.На начальном этапе можно ожидать увеличения числа обращений в службу поддержки из-за блокированных приложений, пока пользователи не поймут, что они не могут запускать неразрешенные приложения.Обзор AppLocker [клиент]<_caps3a_sxssource locale="en-US">This topic describes AppLocker rule types and how to work with them for your application control policies using Windows Server® 2012 and Windows® 8.ProceduresCreate a Rule that uses a File Hash Condition Create a Rule that uses a Path Condition Create a Rule that uses a Publisher Condition Create a rule for Packaged apps Create AppLocker Default Rules Configure exceptions for an AppLocker Rule Delete an AppLocker Rule Edit AppLocker Rules Enable the DLL Rule Collection Enforce AppLocker Rules Run the Automatically Generate Rules Wizard The three AppLocker enforcement modes are described in the following table. The enforcement mode setting defined here can be overwritten by the setting derived from a linked Group Policy Object (GPO) with a higher precedence.Enforcement modeDescriptionNot configuredThis is the default setting which means that the rules defined here will be enforced unless a linked GPO with a higher precedence has a different value for this setting.Enforce rulesRules are enforced.Audit onlyRules are audited but not enforced. When a user runs an application that is affected by an AppLocker rule, the application is allowed to run and the information about the application is added to the AppLocker event log. The Audit-only enforcement mode helps you determine which applications will be affected by the policy before the policy is enforced. When the AppLocker policy for a rule collection is set to Audit only, rules for that rule collection are not enforcedWhen AppLocker policies from various GPOs are merged, the rules from all the GPOs are merged and the enforcement mode setting of the winning GPO is applied.For information about GPOs and Group Policy inheritance, see the Group Policy Planning and Deployment Guide https://go.microsoft.com/fwlink/p/?linkid=143138https://go.microsoft.com/fwlink/p/?linkid=143138.Rule collectionsThe AppLocker user interface is accessed through the Microsoft Management Console (MMC), and it is organized into rule collections, which are Executable files, Scripts, Windows Installer files, Packaged apps and packaged app installers, and DLL files. These collections give the administrator an easy way to differentiate the rules for different types of applications. The following table lists the file formats that are included in each rule collection.Rule collectionAssociated file formatsExecutable files.exe.comScripts.ps1.bat.cmd.vbs.jsWindows Installer files.msi.msp.mstPackaged apps and packaged app installers.appxDLL files.dll.ocxIf you use DLL rules, you need to create an allow rule for each DLL that is used by all of the allowed applications.When DLL rules are used, AppLocker must check each DLL that an application loads. Therefore, users may experience a reduction in performance if DLL rules are used.The DLL rule collection is not enabled by default. To learn how to enable the DLL rule collection, see DLL rule collections.Rule conditionsRule conditions are criteria that help AppLocker identify the applications to which the rule applies. The three primary rule conditions are publisher, path, and file hash.Publisher: Identifies an application based on its digital signaturePath: Identifies an application by its location in the file system of the computer or on the networkFile hash: Represents the system computed cryptographic hash of the identified filePublisherThis condition identifies an application based on its digital signature and extended attributes when available. The digital signature contains information about the company that created the application (the publisher). Executable files, Dlls, Windows installers, packaged apps and packaged app installers also have extended attributes, which are obtained from the binary resource. In case of Executable files, Dlls and Windows installers these attributes contain the name of the product that the file is a part of, the original name of the file as supplied by the publisher and the version number of the file. In case of packaged apps and packaged app installers these extended attributes contain the name and the version of the application package.Rules created in the packaged apps and packaged app installers rule collection can only have publisher conditions since Windows does not support unsigned packaged apps and packaged app installers.Use a publisher rule condition when possible because they can survive application updates as well as a change in the location of files.When you select a reference file for a publisher condition, the wizard creates a rule that specifies the publisher, product, file name, and version number. You can make the rule more generic by moving the slider up or by using a wildcard character (*) in the product, file name, or version number fields.To enter custom values for any of the fields of a publisher rule condition in the Create Rules Wizard, you must select the Use custom values check box. When this check box is selected, you cannot use the slider.The File version and Package version control whether a user can run a specific version, earlier versions, or later versions of the application. You can choose a version number and then configure the following options:Exactly. The rule applies only to this version of the application.And above. The rule applies to this version and all later versions.And below. The rule applies to this version and all earlier versions.The following table describes how a publisher condition is applied.OptionThe publisher condition allows or denies…All signed filesAll files that are signed by any publisher.Publisher onlyAll files that are signed by the named publisher.Publisher and product nameAll files for the specified product that are signed by the named publisher.Publisher and product name, and file nameAny version of the named file or package for the named product that are signed by the publisher.Publisher, product name, file name, and file versionExactlyThe specified version of the named file or package for the named product that are signed by the publisher.Publisher, product name, file name, and file versionAnd aboveThe specified version of the named file or package and any new releases for the product that are signed by the publisher.Publisher, product name, file name, and file versionAnd belowThe specified version of the named file or package and any earlier versions for the product that are signed by the publisher.CustomYou can edit the Publisher, Product name, File name, VersionPackage name, and Package version fields to create a custom rule.PathThis rule condition identifies an application by its location in the file system of the computer or on the network.AppLocker uses custom path variables for well-known paths, such as Program Files and Windows.The following table details these path variables.Windows directory or diskAppLocker path variableWindows environment variableWindows%WINDIR%%SystemRoot%System32%SYSTEM32%%SystemDirectory%Windows installation directory%OSDRIVE%%SystemDrive%Program Files%PROGRAMFILES%%ProgramFiles% and %ProgramFiles(x86)%Removable media (for example, a CD or DVD)%REMOVABLE%Removable storage device (for example, a USB flash drive)%HOT%Because a path rule condition can be configured to include a large number of folders and files, path conditions should be carefully planned. For example, if an allow rule with a path condition includes a folder location that non-administrators are allowed to write data into, a user can copy unapproved files into that location and run the files. For this reason, it is a best practice to not create path conditions for standard user writable locations, such as a user profile.File hashWhen you choose the file hash rule condition, the system computes a cryptographic hash of the identified file. The advantage of this rule condition is that because each file has a unique hash, a file hash rule condition applies to only one file. The disadvantage is that each time the file is updated (such as a security update or upgrade) the file's hash will change. As a result, you must manually update file hash rules.AppLocker default rulesAppLocker allows you to generate default rules for each rule collection.Executable default rule types include:Allow members of the local Administrators group to run all applications.Allow members of the Everyone group to run applications that are located in the Windows folder.Allow members of the Everyone group to run applications that are located in the Program Files folder.Script default rule types include:Allow members of the local Administrators group to run all scripts.Allow members of the Everyone group to run scripts that are located in the Program Files folder.Allow members of the Everyone group to run scripts that are located in the Windows folder.Windows Installer default rule types include:Allow members of the local Administrators group to run all Windows Installer files.Allow members of the Everyone group to run all digitally signed Windows Installer files.Allow members of the Everyone group to run all Windows Installer files that are located in the Windows\Installer folder.DLL default rule types:Allow members of the local Administrators group to run all DLLs.Allow members of the Everyone group to run DLLs that are located in the Program Files folder.Allow members of the Everyone group to run DLLs that are located in the Windows folder.Packaged apps default rule types:Allow members of the Everyone group to install and run all signed packaged apps and packaged app installers.AppLocker rule behaviorIf no AppLocker rules for a specific rule collection exist, all files with that file format are allowed to run. However, when an AppLocker rule for a specific rule collection is created, only the files explicitly allowed in a rule are permitted to run. For example, if you create an executable rule that allows .exe files in %SystemDrive%\FilePath to run, only executable files located in that path are allowed to run.A rule can be configured to use allow or deny actions:Allow. You can specify which files are allowed to run in your environment, and for which users or groups of users. You can also configure exceptions to identify files that are excluded from the rule.Deny. You can specify which files are not allowed to run in your environment, and for which users or groups of users. You can also configure exceptions to identify files that are excluded from the rule.For a best practice, use allow actions with exceptions. You can use a combination of allow and deny actions but understand that deny actions override allow actions in all cases, and can be circumvented.If you join a computer running Windows Server 2012 or Windows 8 to a domain that already enforces AppLocker rules for Executables, users will not be able to run any packaged apps unless you also create rules for packaged apps. If you want to allow any packaged apps in your environment while continuing to control Executables, you should create the default rules for packaged apps and set the enforcement mode to Audit-only for the packaged apps rule collection.Rule exceptionsYou can apply AppLocker rules to individual users or to a group of users. If you apply a rule to a group of users, all users in that group are affected by that rule. If you need to allow a subset of a user group to use an application, you can create a special rule for that subset. For example, the rule "Allow Everyone to run Windows except Registry Editor" allows everyone in the organization to run the Windows operating system, but it does not allow anyone to run Registry Editor.The effect of this rule would prevent users such as Help Desk personnel from running a program that is necessary for their support tasks. To resolve this problem, create a second rule that applies to the Help Desk user group: "Allow Help Desk to run Registry Editor." If you create a deny rule that does not allow any users to run Registry Editor, the deny rule will override the second rule that allows the Help Desk user group to run Registry Editor.DLL rule collectionBecause the DLL rule collection is not enabled by default, you must perform the following procedure before you can create and enforce DLL rules.Чтобы выполнить эту процедуру, вы должны быть членом локальной группы Администраторы или аналогичной.To enable the DLL rule collectionНа экране Пуск введитеsecpol.msc in the Search programs and files box, and then press ENTER.Если появится диалоговое окно контроля учетных записей, подтвердите, что отображаемое в нем действие именно то, которое требуется, и нажмите кнопку Да.In the console tree, double-click Application Control Policies, right-click AppLocker, and then click Properties.Click the Advanced tab, select the Enable the DLL rule collection check box, and then click OK.Before you enforce DLL rules, make sure that there are allow rules for each DLL that is used by any of the allowed applications.AppLocker wizardsYou can create rules by using two AppLocker wizards:The Create Rules Wizard enables you to create one rule at a time.The Automatically Generate Rules Wizard allows you to create multiple rules at one time. You can either select a folder and let the wizard create rules for the relevant files within that folder or in case of packaged apps let the wizard create rules for all packaged apps installed on the computer. You can also specify the user or group to which to apply the rules. This wizard automatically generates allow rules only.Additional considerationsBy default, AppLocker rules do not allow users to open or run any files that are not specifically allowed. Administrators should maintain an up-to-date list of allowed applications.There are two types of AppLocker conditions that do not persist following an update of an application: File hash condition. File hash rule conditions can be used with any application because a cryptographic hash value of the application is generated at the time the rule is created. However, the hash value is specific to that exact version of the application. If there are several versions of the application in use within the organization, you need to create file hash conditions for each version in use and for any new versions that are released.A publisher condition with a specific product version set. If you create a publisher rule condition that uses the Exactly version option, the rule cannot persist if a new version of the application is installed. A new publisher condition must be created, or the version must be edited in the rule to be made less specific.If an application is not digitally signed, you cannot use a publisher rule condition for that application.AppLocker rules cannot be used to manage computers running a Windows operating system earlier than Windows Server 2008 R2 or Windows 7. Software Restriction Policies must be used instead. If AppLocker rules are defined in a Group Policy Object (GPO), only those rules are applied. To ensure interoperability between Software Restriction Policies rules and AppLocker rules, define Software Restriction Policies rules and AppLocker rules in different GPOs.The packaged apps and packaged apps installer rule collection is available only on Windows Server 2012 and Windows 8.When the rules for the Executable rule collection are enforced and the packaged apps and packaged app installers rule collection does not contain any rules, no packaged apps and packaged app installers are allowed to run. In order to allow any packaged apps and packaged app installers you must create rules for the packaged apps and packaged app installers rule collection.When an AppLocker rule collection is set to Audit only, the rules are not enforced. When a user runs an application that is included in the rule, the application is opened and runs normally, and information about that application is added to the AppLocker event log.A custom configured URL can be included in the message that is displayed when an application is blocked.Expect an increase in the number of Help Desk calls initially because of blocked applications until users understand that they cannot run applications that are not allowed.AppLocker Overview [Client]