AppLocker 是 Windows 7 與 Windows Server 2008 R2 的新功能,用來取代「軟體限制原則」功能。AppLocker 包含新的功能與擴充性,可以減少不必要的管理事務,同時協助系統管理員控制使用者存取和使用檔案的方式,例如執行檔、指令碼、Windows Installer 檔案以及 DLL。使用 AppLocker,您可以:
- 根據數位簽章衍生而來的檔案屬性來定義規則,其中包括發行者、產品名稱、檔案名稱以及檔案版本。例如,您可以根據發行者屬性 (即使更新仍然相同) 來建立規則,或者可以為檔案的特定版本建立規則。
- 將規則指派至安全性群組或個別使用者。
- 建立規則例外。例如,您可以建立一個規則,允許所有 Windows 處理程序執行,但不包括登錄編輯器 (Regedit.exe) 在內。
- 使用僅稽核模式來部署原則,並在強制執行之前,先了解它的影響。
- 匯入和匯出規則。匯入和匯出會影響整個原則。例如,若您匯出原則,會匯出所有規則集合的所有規則,其中包括規則集合的強制執行設定。若您匯入原則,會覆寫現有的原則。
- 使用 AppLocker PowerShell Cmdlet 簡化 AppLocker 規則的建立和管理。
如需 AppLocker 規則的相關資訊,請參閱了解 AppLocker 規則。
什麼已經變更?
下表比較 AppLocker 與軟體限制原則。
功能 | 軟體限制原則 | AppLocker |
---|---|---|
規則範圍 | 所有使用者 | 特定使用者或群組 |
已提供的規則條件 |
檔案雜湊、路徑、憑證、登錄路徑以及網際網路區域規則 |
檔案雜湊、路徑以及發行者規則 |
已提供的規則類型 | 允許和拒絕 | 允許和拒絕 |
預設規則動作 | 允許或拒絕 | 拒絕 |
僅稽核模式 |
否 |
是 |
精靈一次建立多個規則 |
否 |
是 |
原則匯入或匯出 |
否 |
是 |
規則集合 |
否 |
是 |
PowerShell 支援 | 否 | 是 |
自訂錯誤訊息 | 否 | 是 |
AppLocker 需求
Windows Server 2008 R2 所有版本、Windows 7 旗艦版 以及 Windows 7 企業版 都可以使用 AppLocker。若要使用 AppLocker,您需要:
- 執行 Windows Server 2008 R2、Windows 7 旗艦版、Windows 7 企業版 或 Windows 7 專業版 的電腦,來建立 AppLocker 規則。Windows 7 專業版 可以用來建立規則,但是無法在執行 Windows 7 專業版 的電腦上強制執行規則。電腦可以是網域控制站。
- 至於群組原則部署方面,至少要安裝一部具備群組原則管理主控台 (GPMC) 或遠端伺服器管理工具 (RSAT) 的電腦,來主控 AppLocker 規則。
- 執行 Windows Server 2008 R2、Windows 7 旗艦版 或 Windows 7 企業版 的電腦,會強制執行您所建立的 AppLocker 規則。