了解 AppLocker 规则条件类型
适用对象:Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8
面向 IT 专业人员的本主题介绍三种类型的 AppLocker 规则条件。
规则条件是 AppLocker 规则所基于的条件。 创建 AppLocker 规则需要主要条件。 三个主要的规则条件是发布者、路径和文件哈希。
发布者
若要使用发布者条件,文件必须由软件发布者进行数字签名,或你必须使用内部证书这样做。 指定到版本级别的规则可能必须在文件的新版本发布时进行更新。 有关此规则条件的详细信息,请参阅了解 AppLocker 中的发布者规则条件。
路径
可以向任何文件分配此规则条件;但是,由于路径规则指定文件系统中的位置,因此任何子目录也会受该规则影响(除非显式豁免)。 有关此规则条件的详细信息,请参阅了解 AppLocker 中的路径规则条件。
文件哈希
可以向任何文件分配此规则条件;但是,该规则必须在文件的新版本发布时进行更新,因为哈希值对于文件版本是唯一的。 有关此规则条件的详细信息,请参阅了解 AppLocker 中的文件哈希规则条件。
注意事项
为每个规则选择合适条件取决于组织的整体应用程序控制策略目标、AppLocker 规则维护目标和现有(或计划)应用程序部署的条件。 以下问题可以帮助你决定要使用的规则条件。
文件是否由软件发布者进行数字签名?
如果文件由软件发布者进行签名,则我们建议你使用发布者条件创建规则。 你仍可以为签名的文件创建文件哈希和路径条件。 但是,如果文件不由软件发布者进行数字签名,则你可以:
使用内部证书对文件进行签名。
使用文件哈希条件创建规则。
使用路径条件创建规则。
备注
若要确定引用计算机上进行数字签名的应用程序数,可以对文件目录使用 Get-AppLockerFileInformation Windows PowerShell cmdlet。 例如,Get-AppLockerFileInformation –Directory C:\Windows\ -FileType EXE -recurse 显示 Windows 目录中所有 .exe 和 .com 文件的属性。
组织倾向于哪种规则条件类型?
如果组织已使用软件限制策略 (SRP) 来限制用户可以运行的文件,则可能已实施了使用文件哈希或路径条件的规则。
备注
有关支持的操作系统版本以及可以应用 SRP 和 AppLocker 规则的版本的列表,请参阅使用 AppLocker 的要求。