要查看英语原文,请勾选“英语”复选框。也可将鼠标指针移到文本上,在弹出窗口中显示英语原文。
翻译
英语

了解 AppLocker 规则条件类型

 

适用对象:Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8

面向 IT 专业人员的本主题介绍三种类型的 AppLocker 规则条件。

规则条件是 AppLocker 规则所基于的条件。 创建 AppLocker 规则需要主要条件。 三个主要的规则条件是发布者、路径和文件哈希。

发布者

若要使用发布者条件,文件必须由软件发布者进行数字签名,或你必须使用内部证书这样做。 指定到版本级别的规则可能必须在文件的新版本发布时进行更新。 有关此规则条件的详细信息,请参阅了解 AppLocker 中的发布者规则条件

路径

可以向任何文件分配此规则条件;但是,由于路径规则指定文件系统中的位置,因此任何子目录也会受该规则影响(除非显式豁免)。 有关此规则条件的详细信息,请参阅了解 AppLocker 中的路径规则条件

文件哈希

可以向任何文件分配此规则条件;但是,该规则必须在文件的新版本发布时进行更新,因为哈希值对于文件版本是唯一的。 有关此规则条件的详细信息,请参阅了解 AppLocker 中的文件哈希规则条件

为每个规则选择合适条件取决于组织的整体应用程序控制策略目标、AppLocker 规则维护目标和现有(或计划)应用程序部署的条件。 以下问题可以帮助你决定要使用的规则条件。

  1. 文件是否由软件发布者进行数字签名?

    如果文件由软件发布者进行签名,则我们建议你使用发布者条件创建规则。 你仍可以为签名的文件创建文件哈希和路径条件。 但是,如果文件不由软件发布者进行数字签名,则你可以:

    • 使用内部证书对文件进行签名。

    • 使用文件哈希条件创建规则。

    • 使用路径条件创建规则。

      System_CAPS_note注意

      若要确定引用计算机上进行数字签名的应用程序数,可以对文件目录使用 Get-AppLockerFileInformation Windows PowerShell cmdlet。 例如,Get-AppLockerFileInformation –Directory C:\Windows\ -FileType EXE -recurse 显示 Windows 目录中所有 .exe 和 .com 文件的属性。

  2. 组织倾向于哪种规则条件类型?

    如果组织已使用软件限制策略 (SRP) 来限制用户可以运行的文件,则可能已实施了使用文件哈希或路径条件的规则。

    System_CAPS_note注意

    有关支持的操作系统版本以及可以应用 SRP 和 AppLocker 规则的版本的列表,请参阅使用 AppLocker 的要求

显示: