AppLocker 规则集合扩展

• 适用于:

  ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

本文介绍在 Windows 10 及更高版本中添加的规则集合扩展。 规则集合扩展是仅适用于 EXE 和 DLL 规则集合的可选功能。 通过直接编辑 AppLocker 策略 XML 来配置规则集合扩展，如以下 XML 片段所示。

<RuleCollectionExtensions>
    <ThresholdExtensions>
        <Services EnforcementMode="Enabled"/>
    </ThresholdExtensions>
    <RedstoneExtensions>
        <SystemApps Allow="Enabled"/>
    </RedstoneExtensions>
</RuleCollectionExtensions>

重要提示

向 AppLocker 策略添加任何规则集合扩展时，必须同时包括 ThresholdExtensions 和 RedstoneExtensions ，否则策略将导致意外行为。

服务强制实施

默认情况下，AppLocker 策略仅适用于在用户上下文中运行的代码。 在Windows 10、Windows 11和Windows Server 2016或更高版本上，可以将 AppLocker 策略应用于非用户进程，包括作为 SYSTEM 运行的服务。 将 AppLocker 与 Windows Defender Application Control 的 (WDAC) 托管安装程序功能配合使用时，必须启用服务强制实施。

若要将 AppLocker 策略应用于非用户进程，请在 节中<ThresholdExtensions>设置<Services EnforcementMode="Enabled"/>，如前面的 XML 片段所示。

系统应用

使用 AppLocker 控制非用户进程时，策略必须允许所有 Windows 系统代码，否则设备夜间行为异常。 若要自动允许属于 Windows 的所有系统代码，请在 节中<RedstoneExtensions>设置<SystemApps Allow="Enabled"/>，如前面的 XML 片段所示。