创建使用路径条件的规则

适用于

  • Windows 10
  • Windows 11
  • Windows Server 2016 和更高版本

备注

应用程序控制Windows Defender仅在特定版本上Windows功能。 详细了解应用程序Windows Defender功能可用性

本主题针对 IT 专业人员演示如何创建具有路径条件的 AppLocker 规则。

路径条件按应用在计算机或网络的文件系统中的位置标识应用。

重要提示: 创建使用拒绝操作的规则时,路径条件对阻止访问文件的安全性较低,因为用户可以轻松地将文件复制到与规则中指定位置不同的位置。 由于路径规则与文件系统内的位置相对应,因此应确保不存在非管理员可写的子目录。 例如,如果使用 allow 操作为 C:\ 创建路径规则,将允许运行 C:\ 内的任何文件,包括用户配置文件。

有关路径条件的信息,请参阅了解 AppLocker 中的路径规则条件

可以通过对组策略对象 (GPO) 中的 AppLocker 策略使用组策略管理控制台,或者在本地计算机或安全模板中对 AppLocker 策略使用本地安全策略管理单元来执行此任务。 有关如何使用这些 MMC 管理单元管理 AppLocker 的信息,请参阅 管理 AppLocker

创建具有路径条件的新规则

  1. 打开 AppLocker 控制台,然后单击要创建规则的规则集合。

  2. 在"操作"菜单上,单击 "新建规则"。

  3. 开始之前页上,单击下一步

  4. 在"权限" 页上, (允许或拒绝) 规则应用于的用户或组,然后单击"下一步 "。

  5. 在"条件" 页上,选择 "路径规则"条件,然后单击"下一步 "。

  6. 单击 "浏览 文件"找到应用的目标文件夹。

    注意: 当你浏览到文件或文件夹位置时,向导会自动将绝对文件路径转换为使用 AppLocker 路径变量。 您可以在浏览后编辑路径以指定绝对路径,也可以直接在"路径"框中 键入路径 。 若要详细了解 AppLocker 路径变量,请参阅 了解 AppLocker 中的路径规则条件

  7. 单击“下一步”****。

  8. (可选) 在"例外"页上,指定排除**** 受规则影响的文件的条件。 单击“下一步”****。

  9. 在"名称"页上,接受自动生成的规则名称或键入新规则名称,然后单击"创建 "。