526互联

AppLocker 是一种由微软开发的 Windows 操作系统功能,旨在帮助管理员限制特定用户或用户组对计算机上应用程序的访问权限。

发布时间 2024-01-04 09:39:33作者: suv789

AppLocker 是一项高级安全功能,仅适用于 Windows 7 及更高版本的企业和专业版操作系统。具体来说,以下是 AppLocker 支持的 Windows 版本列表:

  1. Windows 7 Enterprise
  2. Windows 7 Ultimate
  3. Windows 8 Enterprise
  4. Windows 8.1 Enterprise
  5. Windows 10 Enterprise
  6. Windows 10 Education
  7. Windows Server 2008 R2 Datacenter
  8. Windows Server 2008 R2 Enterprise
  9. Windows Server 2008 R2 Standard
  10. Windows Server 2012 Datacenter
  11. Windows Server 2012 Essentials
  12. Windows Server 2012 Foundation
  13. Windows Server 2012 Standard
  14. Windows Server 2012 R2 Datacenter
  15. Windows Server 2012 R2 Essentials
  16. Windows Server 2012 R2 Foundation
  17. Windows Server 2012 R2 Standard
  18. Windows Server 2016 Datacenter
  19. Windows Server 2016 Essentials
  20. Windows Server 2016 Standard
  21. Windows Server 2019 Datacenter
  22. Windows Server 2019 Essentials
  23. Windows Server 2019 Standard

请注意,AppLocker 不适用于 Windows 10 Home、Windows 8.1 Home、Windows 7 Home Premium 或其他非企业和专业版操作系统。如果您使用的是这些版本,则无法使用 AppLocker 功能。

 

AppLocker 是一种由微软开发的 Windows 操作系统功能,旨在帮助管理员限制特定用户或用户组对计算机上应用程序的访问权限。它可以帮助组织保护计算机免受未经授权的应用程序使用和恶意软件的威胁。

AppLocker 可以根据多种规则来控制应用程序的访问权限,包括文件路径、数字签名、发行者和文件哈希等。管理员可以创建规则,允许或阻止特定的应用程序运行。

使用 AppLocker 有以下几个步骤:

  1. 打开组策略编辑器:可以通过运行"gpedit.msc"命令打开本地组策略编辑器。

  2. 配置 AppLocker 规则:在组策略编辑器中,导航到"计算机配置" > "Windows 设置" > "安全设置" > "应用程序控制策略" > "AppLocker"。在这里,可以创建规则,如允许列表、拒绝列表或条件列表,并指定适用的应用程序规则类型。

  3. 创建应用程序规则:可以创建基于文件路径、数字签名、发行者或文件哈希的应用程序规则。例如,可以创建一个规则,允许特定路径下的应用程序运行,或者允许由特定数字签名发行者签名的应用程序运行。

  4. 配置应用程序规则:在创建规则后,可以指定允许或阻止特定应用程序的执行。可以针对用户或用户组进行配置,并选择适用的规则类型和条件。

  5. 更新策略并测试:完成配置后,需要更新组策略并重启计算机以使更改生效。之后,可以测试应用程序的访问权限,确保 AppLocker 的规则按预期工作。

请注意,AppLocker 仅适用于 Windows 7 及更高版本的企业和专业版操作系统。在家庭版和标准版操作系统上无法使用 AppLocker 功能。

 

AppLocker 可以使用 PowerShell 进行操作。以下是一些常用的 PowerShell 命令和示例,可用于配置和管理 AppLocker 规则:

  1. 获取当前的 AppLocker 策略:
Copy Code
Get-AppLockerPolicy -Effective | Format-List
  1. 创建新的 AppLocker 策略:
Copy Code
New-AppLockerPolicy -RuleType <RuleType>

其中 <RuleType> 可以是 Allow、Deny 或 Auditing。

  1. 添加应用程序规则:
Copy Code
Add-AppLockerApplication -RuleType <RuleType> -Path <FilePath>

其中 <RuleType> 可以是 Allow、Deny 或 Auditing,而 <FilePath> 是要添加的应用程序的完整文件路径。

  1. 删除应用程序规则:
Copy Code
Remove-AppLockerApplication -RuleType <RuleType> -Path <FilePath>

其中 <RuleType> 可以是 Allow、Deny 或 Auditing,而 <FilePath> 是要删除的应用程序的完整文件路径。

  1. 显示指定策略中的应用程序规则:
Copy Code
Get-AppLockerApplication -Policy <PolicyPath>

其中 <PolicyPath> 是指定策略文件的完整路径。

  1. 启用或禁用 AppLocker 策略:
Copy Code
Set-AppLockerPolicy -PolicyObject <PolicyObject> -EnforcementMode <EnforcementMode>

其中 <PolicyObject> 是指定要启用或禁用的策略对象,而 <EnforcementMode> 可以是 Enforce、Audit 或 Disabled。

请注意,在执行这些命令之前,您需要以管理员身份运行 PowerShell 会话。此外,一些命令可能需要使用 Group Policy 对象进行操作,因此您可能需要相应的权限。

这些命令只是一些常用的操作示例,更详细的命令和选项可以通过在 PowerShell 中键入 Get-Help 命令来获得帮助文档。例如,Get-Help Add-AppLockerApplication 将显示有关添加应用程序规则的详细信息。

  1. 显示指定路径下所有应用程序的哈希值:
Copy Code
Get-ChildItem <FolderPath> | Get-FileHash

其中 <FolderPath> 是要显示应用程序哈希的文件夹的完整路径。

  1. 将 AppLocker 策略导出到 XML 文件:
Copy Code
Export-AppLockerPolicy -Policy <PolicyPath> -XmlFilePath <XmlFilePath>

其中 <PolicyPath> 是指定策略文件的完整路径,而 <XmlFilePath> 是导出的 XML 文件的完整路径。

  1. 将 AppLocker 策略从 XML 文件导入:
Copy Code
Import-AppLockerPolicy -XmlFilePath <XmlFilePath>

其中 <XmlFilePath> 是包含要导入的 AppLocker 策略的 XML 文件的完整路径。

  1. 在审核模式下启用 AppLocker 策略:
Copy Code
Set-AppLockerPolicy -PolicyObject <PolicyObject> -EnforcementMode AuditOnly
  1. 显示当前会话中的 AppLocker 事件日志:
Copy Code
Get-WinEvent -LogName "Microsoft-Windows-AppLocker/EXE and DLL" -MaxEvents 1000

这些命令可以帮助您更灵活地配置和管理 AppLocker 规则。请注意,在执行这些命令之前,请确保您具有适当的权限和授权,以避免对系统造成不必要的风险和损坏。

  1. 显示当前会话中的 AppLocker 事件日志(仅显示警告和错误):
Copy Code
Get-WinEvent -LogName "Microsoft-Windows-AppLocker/EXE and DLL" -MaxEvents 1000 | Where-Object {$_.LevelDisplayName -match "Warning|Error"}
  1. 查找符合特定哈希值的应用程序:
Copy Code
Get-AppLockerFileInformation -Directory <FolderPath> -FileType Executable | Where-Object {$_.Hash -eq "<HashValue>"}

其中 <FolderPath> 是要查找应用程序的文件夹的完整路径,而 <HashValue> 是要匹配的哈希值。

  1. 将指定的应用程序添加到 AppLocker 白名单中:
Copy Code
Import-CSV <CsvFilePath> | Add-AppLockerExecutableFile -RuleType Allow

其中 <CsvFilePath> 是包含要添加到白名单中的应用程序信息的 CSV 文件的完整路径。

  1. 将指定的应用程序添加到 AppLocker 黑名单中:
Copy Code
Import-CSV <CsvFilePath> | Add-AppLockerExecutableFile -RuleType Deny

其中 <CsvFilePath> 是包含要添加到黑名单中的应用程序信息的 CSV 文件的完整路径。

这些命令可以帮助您更好地管理 AppLocker 规则,并帮助您快速找到特定的应用程序或规则。请注意,在执行这些命令之前,请确保您具有适当的权限和授权,以避免对系统造成不必要的风险和损坏。

PowerShell 命令和示例,可用于配置和管理 AppLocker 规则:

  1. 将指定的应用程序添加到 AppLocker 审核列表中:
Copy Code
Import-CSV <CsvFilePath> | Add-AppLockerExecutableFile -RuleType Auditing

其中 <CsvFilePath> 是包含要添加到审核列表中的应用程序信息的 CSV 文件的完整路径。

  1. 在指定策略中创建新的路径规则:
Copy Code
New-AppLockerPolicy -RuleType Path | Add-AppLockerPathRule -User "Everyone" -Path <FolderPath> -PermissionLevel <PermissionLevel>

其中 <FolderPath> 是要创建规则的文件夹的完整路径,而 <PermissionLevel> 可以是 Unrestricted、Basic 或 Restricted。

  1. 在指定策略中创建新的文件规则:
Copy Code
New-AppLockerPolicy -RuleType File | Add-AppLockerFileRule -User "Everyone" -Path <FilePath> -PermissionLevel <PermissionLevel>

其中 <FilePath> 是要创建规则的文件的完整路径,而 <PermissionLevel> 可以是 Unrestricted、Basic 或 Restricted。

这些命令可以帮助您更好地管理 AppLocker 规则,并帮助您快速找到特定的应用程序或规则。请注意,在执行这些命令之前,请确保您具有适当的权限和授权,以避免对系统造成不必要的风险和损坏。