如何在 Windows 11 中使用 AppLocker 控制应用程序访问

AppLocker是Windows 11中强大的应用程序控制功能，允许管理员精确管理用户可以安装和运行哪些应用程序。通过基于文件属性、路径和数字签名等属性创建规则，AppLocker 可以对 Windows 系统上的软件执行进行精细控制。

AppLocker 最初在 Windows 7 中引入，在 Windows 11 中不断发展，提供用于控制传统桌面应用程序和现代 Windows 应用商店应用程序的增强功能。这使其成为寻求提高安全性、确保许可合规性和维护标准化软件环境的组织的重要工具。

让我们探讨如何在 Windows 11 中设置和使用 AppLocker 来防止未经授权的应用程序安装和执行：

步骤一：按打开本地安全策略编辑器Win + R, 打字secpol.msc，然后按 Enter 键。

步骤2：在本地安全策略窗口中，导航到安全设置 > 应用程序控制策略 > AppLocker。

步骤3：右键单击“AppLocker”并选择“配置规则实施”。确保针对要强制执行的规则类型（可执行文件、Windows 安装程序、脚本、打包应用程序和 DLL 规则）选中“已配置”框。

第4步：要创建新规则，请右键单击所需的规则集合（例如“可执行规则”或“打包应用程序规则”），然后选择“创建新规则”。

第5步：在创建规则向导中，选择要创建的规则类型。对于此示例，我们创建一个打包应用程序规则：

第6步：在“权限”页面上，选择是允许还是拒绝该应用程序，然后选择该规则应用于哪些用户或组。

第7步：在发布者页面上，您可以根据应用的发布者、名称或版本设置规则。单击“选择”可选择系统上安装的参考应用程序或使用打包的应用程序安装程序作为参考。

步骤8：设置规则的范围。选项包括：

推荐阅读：如何修复 Windows 10 和 11 中的 0xc0000142 应用程序错误

• 适用于任何出版商
• 向特定发布者申请
• 应用于特定的包名
• 应用于特定的包版本
• 将自定义值应用于规则

第9步：在“例外”页面上，指定不应应用规则的任何条件。

第10步：为您的规则提供名称和描述，然后单击“创建”以完成规则。

重复此过程可为您要控制的其他应用程序或文件类型创建其他规则。

实施 AppLocker 时，请记住以下要点：

• 应用程序身份服务必须运行，AppLocker 才能正常运行。
• AppLocker 需要组策略客户端服务 (gpsvc)，并且可能需要在某些系统上启用。
• 除了传统的可执行文件和脚本之外，Windows 11 中的 AppLocker 还可以控制 .mst 和 .appx 文件格式。
• 创建默认规则以确保关键 Windows 组件和管理工具保持可访问性。
• 在广泛部署之前，请在非生产环境中彻底测试您的 AppLocker 策略。

AppLocker 块故障排除

如果用户在尝试运行应用程序时遇到“此应用程序已被系统管理员阻止”消息，则意味着 AppLocker 规则正在阻止其执行。在这种情况下：

• 检查您的 AppLocker 规则以确保它们没有过度限制。
• 如果需要，请考虑为特定应用程序创建例外。
• 使用 AppLocker 的审核模式来监控应用程序的使用情况，而无需强制执行阻止，从而帮助您完善规则。

应用程序控制的替代方法

虽然 AppLocker 是一个强大的解决方案，但还有其他方法可以限制 Windows 11 中的软件安装和执行：

• 组策略设置可用于阻止用户安装软件。
• 第三方应用程序控制软件可能为某些组织提供附加功能或更轻松的管理。
• Windows 11 的内置 Microsoft Defender 应用程序控制 (MDAC) 提供了应用程序白名单的替代方法。

AppLocker 是用于管理 Windows 11 环境中的应用程序访问的强大工具。通过精心制定和实施 AppLocker 规则，您可以显着改善组织的安全状况，并更好地控制系统上运行的软件。