規則集合
AppLocker Microsoft Management Console (MMC) 嵌入式管理單元共分成四個區域 (稱為規則集合)。這四個規則集合是執行檔、指令碼、Windows Installer 檔案以及 DLL 檔案。這些集合可以讓系統管理員輕輕鬆鬆為不同的應用程式類型區分適用的規則。下表列出每一個規則集合包含的格式。
 | 附註 |
預設不會啟用 DDL 規則集合。若要了解如何啟用 DLL 規則集合,請參閱強制執行 AppLocker 規則。 |
| 規則集合 | 關聯的檔案格式 |
|---|---|
執行檔 |
.exe .com |
指令碼 |
.ps1 .bat .cmd .vbs .js |
Windows Installer |
.msi .msp |
DLL |
.dll .ocx |
 | 重要 |
若您使用 DLL 規則,則必須為所有允許的應用程式使用的每一個 DDL 建立 DLL 允許規則。 |
 | 注意 |
使用 DLL 規則時,AppLocker 必須檢查應用程式載入的每一個 DDL。因此,若使用 DDL 規則,使用者會感覺到效能降低。 |
規則條件
規則條件是 AppLocker 規則根據的準則。要建立 AppLocker 規則,必須有主要條件。三個主要規則條件分別是發行者、路徑以及檔案雜湊。
發行者
這個條件會根據數位簽章與延伸屬性來識別應用程式。公司在建立應用程式時,相關的公司 (發行者) 資訊都包含在數位簽章中。延伸屬性是從二進位資源取得,其中包含產品的名稱 (應用程式為其中一部分) 以及應用程式的版本號碼。發行者可以是軟體開發公司 (例如 Microsoft),或者是組織的資訊技術部門。
| 附註 |
請儘可能使用發行者條件。您可以建立發行者條件,即使應用程式的位置已變更或者應用程式已更新,則應用程式仍可以繼續運作。 |
當您為發行者條件選取參照檔案時,精靈會建立規則,指定發行者、產品、檔案名稱以及版本號碼。您可以將滑桿往下移動,或者在產品、檔案名稱或版本號碼欄位中使用萬用字元 (*),就可以讓規則適用範圍更廣。
| 附註 |
在 [建立規則精靈] 中建立規則時,若要輸入自訂值,您必須選取 [使用自訂值] 核取方塊。選取這個核取方塊後,您無法使用滑桿讓規則的適用範圍更廣泛或更專一。 |
檔案版本會控制使用者是否可以使用特定版本、舊的版本或新的版本。您可以選擇版本號碼,然後設定以下選項:
- 完全符合。規則只適用於應用程式的這個版本。
- 或以上版本。規則適用於應用程式的這個版本以及所有更新的版本。
- 或以下版本。規則適用於應用程式的這個版本以及所有更舊的版本。
下表描述發行者條件的套用方式。
| 選項 | 發行者條件允許或拒絕… | |
|---|---|---|
所有已簽署的檔案 | 發行者簽署的所有檔案。 | |
僅發行者 | 指定發行者簽署的所有檔案。 | |
發行者與產品名稱 | 指定發行者為特定產品簽署的所有檔案。 | |
發行者與產品名稱,以及檔案名稱 | 發行者為指定產品所簽署之特定檔案的任何版本。 | |
發行者、產品名稱、檔案名稱以及檔案版本 | 完全符合 | 發行者為指定產品所簽署的特定檔案版本。 |
發行者、產品名稱、檔案名稱以及檔案版本 | 或以上版本 | 發行者簽署的特定檔案版本以及產品的任何新版本。 |
發行者、產品名稱、檔案名稱以及檔案版本 | 或以下版本 | 發行者簽署的特定檔案版本以及產品的任何舊版本。 |
自訂 | 您可以編輯 [發行者]、[產品名稱]、[檔案名稱] 以及 [版本] 欄位來建立自訂規則。 | |
路徑
這個條件會根據應用程式在電腦檔案系統或網路上的位置來進行判斷。
AppLocker 會使用路徑變數代表 Windows 的目錄。
| 附註 |
雖然這兩種路徑變數使用的格式與 Windows 環境變數相同,但它們不是環境變數。AppLocker 只能解譯 AppLocker 路徑變數。 |
下表詳述這些路徑變數。
| Windows 目錄或磁碟機 | AppLocker 路徑變數 | Windows 環境變數 |
|---|---|---|
Windows | %WINDIR% | %SystemRoot% |
System32 | %SYSTEM32% | %SystemDirectory% |
Windows 安裝目錄 | %OSDRIVE% | %SystemDrive% |
Program Files | %PROGRAMFILES% | %ProgramFiles% 與 %ProgramFiles(x86)% |
卸除式媒體 (例如,CD 或 DVD) | %REMOVABLE% | |
卸除式存放裝置 (例如,USB 快閃磁碟機) | %HOT% |
| 重要 |
因為路徑條件可以設定成包含大量的資料夾與檔案,所以必須小心規劃路徑條件。例如,若路徑條件的允許規則包含一個資料夾位置,而且非系統管理員可以寫入資料,則使用者可以將未經核准的檔案複製到該位置,然後執行檔案。基於這個原因,標準使用者可以寫入的位置 (例如使用者設定檔),最好不要建立路徑條件。 |
檔案雜湊
選擇檔案雜湊條件後,系統會為識別的檔案計算加密編譯雜湊。
AppLocker 預設規則
AppLocker 允許您為每一個規則類型產生預設規則。
執行檔預設規則類型:
- 允許本機 Administrators 群組的成員執行所有應用程式。
- 允許 Everyone 群組的成員執行 Windows 資料夾中的應用程式。
- 允許 Everyone 群組的成員執行 Program Files 資料夾中的應用程式。
Windows Installer 預設規則類型:
- 允許本機 Administrators 群組的成員執行所有 Windows Installer 檔案。
- 允許 Everyone 群組的成員執行數位簽署的 Windows Installer 檔案。
- 允許 Everyone 群組的成員執行 Windows\Installer 資料夾中的所有 Windows Installer 檔案。
指令碼預設規則類型:
- 允許本機 Administrators 群組的成員執行所有指令碼。
- 允許 Everyone 群組的成員執行 Program Files 資料夾中的指令碼。
- 允許 Everyone 群組的成員執行 Windows 資料夾中的指令碼。
DLL 預設規則類型:
- 允許本機 Administrators 群組的成員執行所有 DLL。
- 允許 Everyone 群組的成員執行 Program Files 資料夾中的 DLL。
- 允許 Everyone 群組的成員執行 Windows 資料夾中的 DLL。
如需相關資訊,請參閱建立預設 AppLocker 規則。
AppLocker 規則行為
若特定規則條件沒有任何 AppLocker 規則,則會允許執行該檔案格式的所有檔案。不過,為特定規則集合建立 AppLocker 規則之後,只有規則中明確允許檔案才會許可執行。例如,若您建立一個執行檔規則,它允許執行 %SystemDrive%\FilePath 中的 .exe 檔案,只有位在該路徑中的執行檔才能執行。
規則可以設定成使用允許或拒絕動作:
- 允許。您可以指定哪些檔案允許在環境中執行,以及哪些使用者或使用者群組可以執行。您也可以設定例外,用以識別規則排除的檔案。
- 拒絕。您可以指定哪些檔案not允許在環境中執行,以及哪些使用者或使用者群組不能執行。您也可以設定例外,用以識別規則排除的檔案。
| 重要 |
您可以使用允許動作加上拒絕動作的組合。不過,我們建議您使用允許動作加上例外,原因是任何情況下,拒絕動作會比允許動作優先採用。當然,也可以規避拒絕動作。 |
規則例外
您可以將 AppLocker 規則套用至個別使用者或使用者群組。若您將規則套用至使用者群組,該群組中的所有使用者會受到該規則的影響。若您需要允許某個使用者群組的部分使用者使用應用程式,您可以為這部分使用者建立特殊規則。例如,"允許 Everyone 執行 Windows,但不包括登錄編輯器" 允許組織中的每個人執行 Windows,但是不允許任何人執行登錄編輯器。這個規則的作用會防止使用者 (例如支援工程師),執行工作所需的程式。若要解決這個問題,建立第二個規則來套用至支援工程師使用者群組:"允許支援人員執行登錄編輯器。"若您建立拒絕規則而且不允許任何使用者執行登錄編輯器,則那個允許支援人員使用者群組執行登錄編輯器的第二個規則,會被拒絕規則覆寫。
AppLocker 精靈
您可以使用下列兩種方式建立自訂規則:
- [建立規則精靈] 可以讓您一次建立一個規則。如需相關資訊,請參閱建立 AppLocker 規則。
- [自動產生規則精靈] 可以讓您選取資料夾、選取使用者或群組來套用規則,然後一次為該資料夾建立多個規則。這個精靈只會自動產生允許規則。如需相關資訊,請參閱自動產生 AppLocker 規則。
其他考量
- AppLocker 規則預設不會允許使用者開啟或執行任何未明確允許的檔案。系統管理員應該維護最新的允許應用程式清單。
- 有兩種 AppLocker 條件類型在更新後就會變更:
- 檔案雜湊條件。檔案雜湊條件可以用於任何應用程式,因為應用程式的加密編譯雜湊值會在規則建立時產生。不過,雜湊值只針對應用程式的這個版本。若組織中使用多個應用程式版本,則您必須為每一個使用中的版本以及發行的任何新版本建立檔案雜湊條件。
- 特定產品版本的發行者條件。若您建立的發行者條件會使用完全符合檔案條件選項,則在安裝新的應用程式版本之後,該規則便無法持續。必須建立新的發行者條件,或者必須編輯規則版本,讓它適用範圍更廣泛。
- 檔案雜湊條件。檔案雜湊條件可以用於任何應用程式,因為應用程式的加密編譯雜湊值會在規則建立時產生。不過,雜湊值只針對應用程式的這個版本。若組織中使用多個應用程式版本,則您必須為每一個使用中的版本以及發行的任何新版本建立檔案雜湊條件。
- 若應用程式未經過數位簽署,則您無法使用發行者條件。
- 電腦執行 Windows 7 以前的 Windows 作業系統時,便無法使用 AppLocker 規則加以管理。此時應該改用軟體限制原則。
- 若在群組原則物件 (GPO) 中定義 AppLocker 規則,則只會套用這些規則。若要確定「軟體限制原則」規則與 AppLocker 規則之間的互通性,請在不同的 GPO 定義「軟體限制原則」規則與 AppLocker 規則。
- 當 AppLocker 規則設定成 [僅稽核],則不會強制執行該規則。當使用者執行的應用程式包含在規則中,則會開啟應用程式並正常執行,同時應用程式的相關資訊會新增至 AppLocker 事件記錄檔。
- 應用程式被封鎖時所,會顯示訊息。您可以在此訊息中自訂設定的 URL。
- 因為封鎖應用程式之故,所以初期會增加向支援工程師求助的次數。當使用者開始了解到無法執行不被允許的應用程式時,支援工程師的工作量就會縮減。
其他參考資料