Windows应用程序控制策略详解

有时候用户可能出于各种理由需要限制某些应用程序的运行，但是传统的第三方软件又不是很好用，此时可以通过修改应用程序名而跳过限制。

Windows 10 中的 AppLocker 可以说是一款完美的应用程序限制工具，通过简单的设置即可限制应用程序运行。

1、AppLocker 概述

AppLocker 可以帮助用户制定策略，限制运行应用程序和文件，其中包括 EXE 可执行文件、批处理文件、MSI 文件、DLL 文件（默认不启用）等。

Windows 10 自带的软件限制策略功能只对所有计算机用户起作用，不能对特定账户进行限制。而使用 AppLocker 可以为特定的用户或组单独设置限制策略，这也使 AppLocker 可以更灵活地应用于各种计算机环境。

AppLocker 主要通过 3 种途径来限制应用程序运行，即文件哈希值、应用程序路径和数字签名（数字签名中包括发布者、产品名称、文件名和文件版本）。

AppLocker 规则行为只有两种：

• 允许

指定允许哪些应用程序或文件可以运行或使用，以及对哪些用户或用户组开放运行权限，还可以设置例外应用程序或文件。

• 拒绝

指定不允许哪些应用程序或文件运行或使用，以及对哪些用户或用户组拒绝运行，还可以设置例外应用程序或文件。

按下 Win+R 组合键，在【运行】对话框中执行 secpol.msc 命令，打开【本地安全策略】编辑器，然后选择【应用程序控制策略】→【 AppLocker】，如图所示。

注意：AppLocker 只适用于 Windows 10 企业版，虽然在 Windows 10 专业版中可以创建 AppLocker 规则，但这些规则无法运行。

2、AppLocker 默认规则类型

AppLocker 默认可以对 5 种类型的应用程序或文件设置限制策略，默认情况下只启用4 种规则。

1. 可执行规则

在可执行规则下，可以对 EXE 和 COM 等格式的文件以及与应用程序相关联的任何文件设置限制规则。由于所有可执行规则集合的默认规则都基于文件夹的路径，因此这些路径下的所有文件都可运行或使用。

下表所示为可执行规则集合的默认规则：

2. Windows 安装程序规则

Windows 安装程序规则主要针对 MSI、MSP 和 MSP 格式的 Windows 安装程序设置限制规则。

下表所示为 Windows 安装程序规则集合的默认规则：

3. 脚本规则

在脚本规则下，可以对 PS1、BAT、CMD、VBS、JS 等格式的脚本文件设置限制策略。

下表所示为脚本规则集合的默认规则：

4. 封装应用规则

此规则主要是针对 Windows 应用设置限制策略。

下表所示为封装应用规则集合的默认规则：

5. DLL 规则

在 DLL 规则下，可以对 DLL、OCX 等文件格式设置限制策略。

下表所示为 DLL规则集合的默认规则：

默认状态下用户不能对 DLL 文件设置限制策略，因为 DLL 属于应用程序运行必备文件。如果使用 DLL 规则，则 AppLocker 会检查每个应用程序加载的 DLL 文件，这样就会导致应用程序打开缓慢，影响用户体验。

在AppLocker 节点上单击右键，在弹出菜单中选择【属性】，在 AppLocker 属性页的【高级】选项卡中勾选【启用 DLL 规则集合】，如下图所示。

然后单击【确定】，即可启用 DLL 规则。

3、开启 Application Identity 服务

首先启动名为Application Identity的服务，使AppLocker设置的规则生效。默认状况下，此服务需手动启动。这里将其设置为开机自动运行，才能保证限制策略的有效性。

① 按下 Win+R 组合键，在【运行】对话框中执行 services.msc 命令，打开【服务】配置界面。

② 在服务列表中双击打开 Application Identity 服务，修改【启动类型】为【自动】，如下图所示。

然后单击【启动】，等待服务启动之后，单击【确定】。

4、创建 AppLocker 规则

1. AppLocker 针对可执行文件的规则

该规则不仅可以对可执行文件进行限制，如不让别人在计算机中使用 QQ、玩游戏等，同时也可以防止恶意程序或病毒运行。这里以设置拒绝 Excel 程序运行规则为例，操作步骤如下。

① 单击【可执行规则】节点，然后在右侧一栏中单击右键并在弹出菜单中选择【创建新规则】。

② 创建可执行规则向导会显示一些注意事项，可以勾选【默认情况下将跳过此页】，如下图所示。

创建规则注意事项：

下次创建规则时此页将不再显示，然后单击【下一步】。

③ 在权限设置页中，可以选择 AppLocker 规则的操作行为，也就是对应用程序使用允许运行或拒绝运行。单击下图所示的【选择】，可以指定特定的用户或用户组才对此规则有效，默认对所有用户组的成员有效。

这里选择操作为【拒绝】，对所有用户有效，然后单击【下一步】。

④ 在条件设置页中，选择要用何种方式来限制应用程序或文件，如下图所示。

使用【发布者】方式，应用程序必须具备有效的数字签名，推荐具备数字签名的应用程序使用此方式。使用【路径】方式，可以通过路径限制应用程序运行，如果选择文件夹，则整个文件夹下的应用程序都会受到规则的影响，推荐对经常进行更新的应用程序使用此方式。使用【文件哈希值】方式，操作系统会计算应用程序或文件的哈希值，然后通过哈希值来识别应用程序，推荐对没有数字签名的程序使用此方式。这里选择条件类型为【发布者】，然后单击【下一步】

⑤ 使用【发布者】条件类型并选择 Excel 应用程序之后，操作系统会自动识别应用程序的数字签名信息，如图所示。

可以通过右侧的滑块来决定使用数字签名中的哪种信息来生成限制规则，默认为【文件版本】。如果勾选【使用自定义值】，可以在【文件版本】信息右侧下拉列表中选择针对程序文件版本，使用只运行此版本的应用程序、只运行此版本及以上的应用程序或此版本及以下的程序。这里保持默认即可，然后单击【下一步】。

如果选择【路径】条件类型，则需要在此处选择特定应用程序或文件夹的路径，如下图所示。

文件或文件夹路径可以使用通配符，例如输入 D:\*.exe，就会影响 D盘下所有的 EXE 文件。

如果选择【文件哈希值】条件类型，则操作系统会自动计算应用程序哈希值，如下图所示。

⑥ 如果使用【发布者】或【路径】条件类型，则此处可以设置例外程序，排除于规则之外。例外程序也可以使用【发布者】【路径】【文件哈希】方式添加，如下图所示。

如使用【文件哈希】条件类型，则不能设置例外程序。例外程序规则行为遵循；拒绝操作里的例外是允许，允许操作里的例外是拒绝。这里不设置例外程序，单击【下一步】继续。

⑦ 此页设置规则名称，以及程序受到规则影响之后的描述信息，如下图所示，然后单击【创建】。

此时 AppLocker 会提示为了确保操作系统正常运行，需要创建默认规则，如下图所示。

强烈建议创建默认规则，否则大部分操作系统自带的应用程序或功能可能无法使用，不管创建的规则使用的是【拒绝】还是【允许】操作行为。这里单击【是】，创建默认规则。

创建完规则之后运行 Excel，此时操作系统提示该程序已被管理员阻止运行，如图所示。

2. AppLocker 针对 Windows 安装程序的规则

部分安装程序是以 .msi、.msp 和 .mst 结尾，由 Windows 安装程序来安装此类应用程序。此类应用程序也可以由 AppLocker 制定运行规则。

在【本地安全策略】界面中单击【Windows 安装程序规则】节点，然后在右侧单击右键并在弹出菜单中选择【创建新规则】，单击【下一步】，跳过创建规则流程简介。

如下图所示，被限制的 Windows 安装程序运行时会出现此错误提示。

3．AppLocker 针对脚本文件的规则

以 .ps1 、.bat 、.cmd 、.vbs 、.js 等结尾的脚本文件在某些情况下会对计算机造成危害，所以使用 AppLocker 可以对此类文件制定运行规则。

在【本地安全策略】界面中单击【脚本规则】节点，然后在右侧一栏单击右键并在弹出菜单中选择【创建新规则】，然后单击【下一步】，跳过创建规则流程简介。

大部分脚本文件没有数字签名，所以不适合使用【发布者】条件类型。

例如对 PowerShell 脚本文件设置拒绝运行操作行为之后，当用户运行 PowerShell 脚本文件时，会出现如下图所示的错误提示。

运行 PowerShell 脚本文件错误提示：

4. AppLocker 针对 DLL 文件的规则

DLL 文件是应用程序运行必须使用的文件，限制使用此类文件，可以变相地限制应用程序运行。但是需要注意，每个 DLL 文件可能有多个应用程序在使用，也包括操作系统，所以对此类文件要慎重操作。

注意：强烈建议用户创建 DLL 默认规则，否则可能会导致大部分应用程序无法运行，不管规则使用的是【拒绝】还是【允许】操作行为。

在【本地安全策略】界面中单击【DLL 规则】节点，然后在右侧一栏中单击右键并在弹出的菜单中选择【创建新规则】。然后单击【下一步】，跳过创建规则流程简介。

例如对 QQ 的某个 DLL 文件使用拒绝操作行为，则用户运行 QQ 时，系统就会发出如下图所示的错误提示。

5. AppLocker 针对封装应用的规则

AppLocker 还可以针对 Windows 应用制定限制策略。以禁用操作系统自带的天气应用为例，操作步骤如下。

① 在【本地安全策略】界面中单击【封装应用规则】节点，然后在右侧一栏单击右键并在弹出菜单中选择【创建新规则】，单击【下一步】，跳过创建规则流程简介。

② 在权限设置界面中，选择操作行为【拒绝】，规则适用用户为当前登录用户，然后单击【下一步】。

③ Windows 应用只能使用【发布者】条件类型。这里可以选择 Windows 应用的适用对象是已安装的应用，还是未安装的应用文件，如图所示。

一般情况下，用户很难获得 APPX 格式的文件，所以只介绍如何禁止运行已安装的 Windows 应用。

单击【选择】按钮，在打开的窗口中选择想要禁止运行的 Windows 应用，这里选择 QQ 应用，然后单击【确定】。此时界面中会显示 Windows 应用签名信息，然后单击【下一步】。

④ 最后设置规则名称以及应用程序受到规则影响之后的描述信息，然后单击【创建】，由于 Windows 应用特性，所以不需创建默认规则。

通过此模式用户可以先了解规则的执行情况，然后决定是否真正执行规则。在本地安全策略编辑器中，右键单击 AppLocker，在弹出菜单中选择【属性】，如图所示。

在打开的【AppLocker 属性】界面中，勾选想要使用仅审核模式的规则集合，然后在下拉列表中选择【仅审核】，最后单击【确定】，如图所示。