使用 AppLocker 規則

本文針對 IT 專業人士介紹 AppLocker 規則類型，以及如何運用它們來執行應用程式控制政策。

規則集合

AppLocker 政策組織為規則集合，包括可執行檔、腳本、Windows 安裝程式檔案、封裝應用程式與套件安裝程式，以及 DLL 檔案。 這些集合讓你能輕鬆區分不同類型的應用程式規則。 下表列出每個規則集合中包含的檔案格式。

DLL規則集合預設是啟用的。 欲了解如何啟用 DLL 規則集合，請參閱 DLL 規則集合。

執法模式

AppLocker 政策為政策中包含的每個規則集合設定執行 模式 。 這些執行模式詳述於下表。

當 AppLocker 政策合併時，所有政策的規則會加入有效政策，並為每個規則集合選擇單一強制模式。 若透過群組原則對裝置套用多個 AppLocker 政策，則會根據群組原則優先順序選擇執行模式設定。 如果你在本地使用 Set-AppLockerPolicy PowerShell 指令檔並設定 -merge 選項套用 AppLocker 政策，則會在現有本地政策與被合併政策之間選擇較嚴格的強制模式。

規則條件

規則條件是幫助 AppLocker 識別該規則適用的應用程式的標準。 三個主要規則條件是發佈者、路徑和檔案雜湊。

• 出版者：根據應用程式的數位簽名來識別
• 路徑：透過應用程式在電腦檔案系統或網路中的位置來識別
• 檔案雜湊：代表系統計算出的加密 Authenticode 雜湊值

發行者

此條件根據應用程式的數位簽名及擴展屬性（若有）來識別。 數位簽名包含了開發該應用程式的公司資訊 (出版商) 。 可執行檔、DLLS、Windows 安裝程式、套件應用程式及套件應用程式安裝程式也包含擴充屬性，這些屬性來自二進位資源。 這些屬性通常包括產品名稱、原始檔案名稱，以及由發行商定義的檔案版本號。 如果有已封裝的應用程式和已封裝的應用程式安裝程式，這些擴展屬性會包含應用程式套件的名稱和版本。

當你為發佈者條件選擇參考檔案時，精靈會建立一條規則，指定發佈者、產品、檔名和版本號。 你可以透過往上移動滑桿，或在產品、檔名或版本號欄位中使用萬用字元 (*) ，讓規則更通用。

檔案版本與套件版本控制使用者是否能執行特定版本、早期版本或更新版本的應用程式。 你可以選擇版本號，然後設定以下選項：

• 沒錯。 此規則僅適用於此版本的應用程式
• 甚至更高。 此規則適用於此版本及所有後續版本。
• 還有下面。 此規則適用於此版本及所有早期版本。

下表說明了出版商條件的應用方式。

路徑

此規則條件透過應用程式在電腦檔案系統或網路中的位置來識別。

AppLocker 使用自訂路徑變數來處理已知路徑，例如 Program Files 和 Windows。

下表詳細說明這些路徑變數。

檔案雜湊

當你選擇檔案雜湊規則條件時，系統會計算出已識別檔案的 Authenticode 密碼雜湊值。 此規則條件的優點在於，由於每個檔案都有唯一的雜湊值，檔案雜湊規則條件只適用於一個檔案。 缺點是每次檔案更新時都會 (安全更新或檔案雜湊值) 升級。 因此，您必須手動更新檔案雜湊規則。

AppLocker 預設規則

使用 AppLocker 群組原則編輯器建立的 AppLocker 政策可包含預設規則。 預設規則旨在確保 Windows 正常運作所需的檔案被允許出現在 AppLocker 規則集合中。 背景請參見 《了解 AppLocker 預設規則》，步驟請參見 《建立 AppLocker 預設規則》。

可執行的預設規則類型包括：

• 允許本地 管理員 群組的成員執行所有應用程式。
• 允許 Everyone 群組的成員執行位於 Windows 資料夾中的應用程式。
• 允許 Everyone 群組的成員執行位於 Program Files 資料夾中的應用程式。

腳本預設規則類型包括：

• 允許本地 管理員 群組的成員執行所有腳本。
• 允許 Everyone 群組的成員執行位於 Program Files 資料夾中的腳本。
• 允許 Everyone 群組的成員執行位於 Windows 資料夾中的腳本。

Windows 安裝程式的預設規則類型包括：

• 允許本地 管理員 群組的成員執行所有 Windows 安裝程式檔案。
• 允許 Everyone 群組的成員執行所有數位簽名的 Windows 安裝程式檔案。
• 允許 Everyone 群組的成員執行位於 Windows\Installer 資料夾中的所有 Windows 安裝程式檔案。

DLL 預設規則類型：

• 允許本地 管理員 群組成員執行所有 DLL。
• 允許 Everyone 群組的成員執行位於 Program Files 資料夾中的 DLL。
• 允許 Everyone 群組的成員執行位於 Windows 資料夾中的 DLL。

打包應用程式的預設規則類型：

• 允許 Everyone 群組成員安裝並執行所有已簽署的套件應用程式與套件安裝程式。

AppLocker 規則行為

如果沒有針對特定規則集合定義 AppLocker 規則，則該規則集合涵蓋的所有檔案都被允許執行。 然而，如果存在針對特定規則集合的規則， 則只有 那些至少符合一個允許規則且不符合任何拒絕規則的檔案才會執行。 舉例來說，如果你建立了一個可執行規則，允許 %SystemDrive%\FilePath 中的 .exe 檔案執行，那麼只有位於該路徑上的可執行檔案才被允許執行。

規則可以設定為允許或拒絕操作：

• 允許。 你可以指定哪些檔案可以在你的環境中執行，以及哪些使用者或使用者群組。 你也可以設定例外來識別被排除在規則之外的檔案。
• 否認。 你可以指定哪些檔案不能在您的環境中執行，以及 哪些 使用者或使用者群組。 你也可以設定例外來識別被排除在規則之外的檔案。

最佳實務是使用帶有例外的允許動作。 雖然你可以結合允許和拒絕行動，但拒絕行動總是贏。 你不能用其他規則來允許符合拒絕規則的檔案。

規則例外

你可以對個別使用者或一群使用者套用 AppLocker 規則。 如果你對一組使用者套用規則，該規則會影響該群組中的所有使用者。 如果你需要允許某個使用者群組的子集使用應用程式，你可以為該子集建立特殊規則。 例如，規則「允許所有人執行 Windows 除了登錄檔編輯器」允許組織內所有人執行 Windows 作業系統，但不允許任何人執行登錄檔編輯器。

此規則的效果將阻止使用者如客服台人員執行支援任務所需的程式。 為了解決這個問題，請建立一條適用於客服台使用者群組的第二條規則：「允許客服台執行登錄檔編輯器。」如果你改用一個拒絕規則，阻止所有使用者執行登錄檔編輯器，第二條規則其實不會讓客服台用戶執行登錄檔編輯器。

DLL 規則收集

由於 DLL 規則收集預設未啟用，您必須先執行以下程序，才能建立並執行 DLL 規則。

完成此程序的最低要求為當地 管理員 團體或同等會員資格。

啟用 DLL 規則集合

1. 選擇 開始，輸入 secpol.msc，然後選擇 ENTER。
2. 如果出現 使用者帳號控制 對話框，確認顯示的動作是否符合你的需求，然後選擇 「是」。
3. 在主控台樹中，雙擊 Application Control Policies，右鍵 AppLocker，然後選擇 屬性。
4. 選擇 「進階 」標籤，勾選 「啟用 DLL 規則集合 」勾選框，然後選擇 確定。

AppLocker 向導

你可以使用兩個 AppLocker 精靈來建立規則：

1. 「建立規則」精靈讓你一次建立一條規則。
2. 自動生成規則精靈允許你同時建立多條規則。 你可以選擇資料夾，讓精靈為找到的相關檔案建立規則。 或者，對於已封裝的應用程式，讓精靈為電腦上所有已封裝的應用程式建立規則。 你也可以指定要套用規則的使用者或群組。 此精靈會自動產生只允許規則。

其他考量

• 預設情況下，AppLocker 規則不允許使用者開啟或執行任何不被允許的檔案。 管理員應維護最新的允許應用程式清單。
• AppLocker 有兩種狀況在應用程式更新後不會持續存在：
  • 檔案雜湊條件 檔案雜湊規則條件可用於任何應用程式，因為規則建立時會產生應用程式檔案的密碼學雜湊值。 然而，雜湊值是針對該檔案版本的專屬。 如果你需要允許多個版本的檔案，你需要為每個版本設定獨立的檔案雜湊條件。
  • 具有特定產品版本集的出版商條件 如果你建立一個使用 Exactly version 選項的發佈者規則條件，當應用程式安裝新版本時，該規則無法持續存在。 必須建立新的發佈者條件，或在規則中編輯版本以降低具體性。
• 如果應用程式沒有數位簽名，你就不能對該應用程式使用發佈者規則條件。
• 如果 EXE 規則集合被強制執行任何規則，你必須在打包的應用程式和打包的應用程式安裝器規則集合中建立規則。 否則，所有已封裝的應用程式和已封裝的安裝程式都會被封鎖。
• 當應用程式被封鎖時，可以在訊息中包含自訂設定的網址。
• 當使用者遇到不允許使用的應用程式時，客服台電話數量預計會增加。

本節內容