要查看英语原文,请勾选“英语”复选框。也可将鼠标指针移到文本上,在弹出窗口中显示英语原文。
翻译
英语

了解针对规则的 AppLocker 允许和拒绝操作

 

适用对象:Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8

本主题说明针对 AppLocker 规则允许与拒绝操作之间的差异。

与软件限制策略 (SRP) 不同,每个 AppLocker 规则集合都充当文件的允许列表。 只允许规则集合中列出的文件运行。 通过此配置可以更方便地确定应用了 AppLocker 规则时会出现的情况。

还可以创建使用拒绝操作的规则。 应用规则时,AppLocker 会首先检查是否在规则列表中指定了任何显式拒绝操作。 如果你在某个规则集合中拒绝某个文件运行,则拒绝操作会优先于任何允许操作(不考虑最初应用该规则的组策略对象 (GPO))。 因为 AppLocker 在默认情况下充当允许列表,所以如果没有规则显式允许或拒绝文件运行,则 AppLocker 默认拒绝操作会阻止文件。

尽管可以使用 AppLocker 创建一个规则以允许所有文件运行,然后使用规则拒绝特定文件,但是不建议使用此配置。 拒绝操作的安全性通常低于允许操作,因为恶意用户可以修改文件以使规则失效。 也可以避开拒绝操作。 例如,如果为某个文件或文件夹路径配置了拒绝操作,用户仍然可以从其他任何路径运行该文件。 下表详细介绍了针对具有拒绝操作的不同规则条件的安全问题。

规则条件

有关拒绝操作的安全问题

发布者

用户可以修改文件的属性(例如,使用不同证书重新对文件进行签名)。

文件哈希

用户可以修改文件的哈希值。

路径

用户可以将拒绝的文件移动到另一个位置并从该处运行它。

System_CAPS_important重要事项

如果你选择对规则使用拒绝操作,则必须确保首先创建允许 Windows 系统文件运行的规则。 AppLocker 在默认情况下会对允许的应用程序强制执行规则,因此在为规则集合(影响 Windows 系统文件)创建了一个或多个规则之后,仅允许列为允许的应用程序运行。 因此,在规则集合中创建单个规则来拒绝恶意文件运行也会拒绝计算机上的所有其他文件运行。

显示: