如何在 Windows 11 中使用 AppLocker 控制應用程序訪問

AppLocker是Windows 11中強大的應用程序控制功能，允許管理員精確管理用戶可以安裝和運行哪些應用程序。通過基於文件屬性、路徑和數字簽名等屬性創建規則，AppLocker 可以對 Windows 系統上的軟件執行進行精細控制。

AppLocker 最初在 Windows 7 中引入，在 Windows 11 中不斷發展，提供用於控制傳統桌面應用程序和現代 Windows 應用商店應用程序的增強功能。這使其成為尋求提高安全性、確保許可合規性和維護標準化軟件環境的組織的重要工具。

讓我們探討如何在 Windows 11 中設置和使用 AppLocker 來防止未經授權的應用程序安裝和執行：

步驟一：按打開本地安全策略編輯器Win + R, 打字secpol.msc，然後按 Enter 鍵。

步驟2：在本地安全策略窗口中，導航到安全設置 > 應用程序控制策略 > AppLocker。

步驟3：右鍵單擊“AppLocker”並選擇“配置規則實施”。確保針對要強制執行的規則類型（可執行文件、Windows 安裝程序、腳本、打包應用程序和 DLL 規則）選中“已配置”框。

第4步：要創建新規則，請右鍵單擊所需的規則集合（例如“可執行規則”或“打包應用程序規則”），然後選擇“創建新規則”。

第5步：在創建規則嚮導中，選擇要創建的規則類型。對於此示例，我們創建一個打包應用程序規則：

第6步：在“權限”頁面上，選擇是允許還是拒絕該應用程序，然後選擇該規則應用於哪些用戶或組。

第7步：在發布者頁面上，您可以根據應用的發布者、名稱或版本設置規則。單擊“選擇”可選擇系統上安裝的參考應用程序或使用打包的應用程序安裝程序作為參考。

步驟8：設置規則的範圍。選項包括：

推薦閱讀：如何修復 Windows 10 和 11 中的 0xc0000142 應用程序錯誤

• 適用於任何出版商
• 向特定發布者申請
• 應用於特定的包名
• 應用於特定的包版本
• 將自定義值應用於規則

第9步：在“例外”頁面上，指定不應應用規則的任何條件。

第10步：為您的規則提供名稱和描述，然後單擊“創建”以完成規則。

重複此過程可為您要控制的其他應用程序或文件類型創建其他規則。

實施 AppLocker 時，請記住以下要點：

• 應用程序身份服務必須運行，AppLocker 才能正常運行。
• AppLocker 需要組策略客戶端服務 (gpsvc)，並且可能需要在某些系統上啟用。
• 除了傳統的可執行文件和腳本之外，Windows 11 中的 AppLocker 還可以控制 .mst 和 .appx 文件格式。
• 創建默認規則以確保關鍵 Windows 組件和管理工具保持可訪問性。
• 在廣泛部署之前，請在非生產環境中徹底測試您的 AppLocker 策略。

AppLocker 塊故障排除

如果用戶在嘗試運行應用程序時遇到“此應用程序已被系統管理員阻止”消息，則意味著 AppLocker 規則正在阻止其執行。在這種情況下：

• 檢查您的 AppLocker 規則以確保它們沒有過度限制。
• 如果需要，請考慮為特定應用程序創建例外。
• 使用 AppLocker 的審核模式來監控應用程序的使用情況，而無需強制執行阻止，從而幫助您完善規則。

應用程序控制的替代方法

雖然 AppLocker 是一個強大的解決方案，但還有其他方法可以限制 Windows 11 中的軟件安裝和執行：

• 組策略設置可用於阻止用戶安裝軟件。
• 第三方應用程序控制軟件可能為某些組織提供附加功能或更輕鬆的管理。
• Windows 11 的內置 Microsoft Defender 應用程序控制 (MDAC) 提供了應用程序白名單的替代方法。

AppLocker 是用於管理 Windows 11 環境中的應用程序訪問的強大工具。通過精心製定和實施 AppLocker 規則，您可以顯著改善組織的安全狀況，並更好地控制系統上運行的軟件。