选择要创建规则的类型

适用对象：Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8

本主题列出了使用 AppLocker 选择您的应用程序控制策略规则时可以使用的资源。

在确定哪些类型的规则，以便为每个组创建时，您还应确定要使用的每个组的强制设置。 不同的规则类型是更适用于某些应用程序，具体取决于应用程序的特定业务组中部署方式。

以下主题提供有关可帮助您决定哪些规则，以便用于您的应用程序的 AppLocker 规则的其他信息︰

• 了解 AppLocker 规则行为

• 了解 AppLocker 规则例外

• 了解 AppLocker 规则集合

• 了解针对规则的 AppLocker 允许和拒绝操作

• 了解 AppLocker 规则条件类型了解 AppLocker 规则条件类型

• 了解 AppLocker 默认规则

选择规则集合

在下面的规则集合之一中将为您创建的规则︰

• 可执行文件：.exe 和 .com

• Windows Installer 文件︰.msi、.msp 和.mst

• 脚本：.ps1、.bat、.cmd、.vbs 和 .js

• 打包应用和打包应用安装程序︰.appx

• DLL：.dll 和 .ocx

默认情况下，规则将允许运行基于用户或组权限的文件。 如果使用 DLL 规则，则必须为所有允许的应用程序所使用的每个 DLL 都创建一个 DLL 允许规则。 默认情况下不启用 DLL 规则集合。

在 Woodgrove Bank 的示例中，为银行出纳员业务组的业务线应用程序是 C:\Program Files\Woodgrove\Teller.exe，此应用程序需要包含在规则。 此外，因为此规则是允许的应用程序列表的一部分，C:\Windows 下的所有 Windows 文件都必须包含也。

确定规则条件

规则条件是依据 AppLocker 规则为基础，并只能含有一个规则条件下表中的条件。

在 Woodgrove Bank 的示例中，银行出纳员业务组的业务线应用程序进行签名，它位于 C:\Program Files\Woodgrove\Teller.exe。 因此，规则可以定义与发布者条件。 如果规则有定义到特定版本及更高版本 (例如，Teller.exe 版本 8.0 及更高版本)，则这将允许任何更新到此应用程序发生中断的访问权限的用户，如果应用程序的名称和签名属性保持不变。

确定如何允许系统文件，以运行

因为 AppLocker 规则生成的允许的应用程序的列表，必须创建至少一个规则，以允许运行所有 Windows 文件。 AppLocker 提供了一种方法，以确保系统文件正确中计入规则集合通过生成每个规则集合的默认规则。 创建自己的规则时，可以使用默认规则作为模板。 但是，这些规则仅用于在首次测试 AppLocker 规则时充当初始策略，以便允许 Windows 文件夹中的系统文件运行。 当创建默认规则时，它表示与"（默认规则）"的名称中规则集合中所示。

此外可以创建一个规则，用于基于路径条件的系统文件。 在前面的示例中，为银行出纳员组中，所有 Windows 文件驻留在 C:\Windows 下，并且可以使用路径规则条件类型定义。 每当应用更新，并在文件发生更改时，这将允许访问这些文件。 如果需要其他应用程序安全性，则可能需要修改根据内置默认规则集合创建的规则。 例如，允许所有用户运行 Windows 文件夹中的 .exe 文件的默认规则基于允许 Windows 文件夹内的所有文件运行的路径条件。 Windows 文件夹包含 Temp 子文件夹，其中用户组拥有以下权限：

• 遍历文件夹/执行文件

• 创建文件/写入数据

• 创建文件夹/附加数据

对此文件夹应用这些权限设置以实现应用程序兼容性。 但是，由于任何用户都能够在此位置创建文件，允许从此位置运行应用程序可能与组织的安全策略冲突。

后续步骤

选择要创建的规则类型后，记录您的调查结果中所述 文档 AppLocker 规则。

在记录查找结果以供要创建的 AppLocker 规则后, 将需要考虑如何强制执行的规则。 有关如何执行此操作的信息，请参阅 确定组策略的结构和规则强制。