AppLocker

適用對象

  • Windows 10
  • Windows 11
  • Windows Server 2016 及更新版本

注意

Windows Defender 應用程式控制的某些功能僅在特定 Windows 版本上可用。 深入了解 Windows Defender 應用控制功能可用性

本主題提供 AppLocker 的描述,並協助您判斷您的組織是否能藉由部署 AppLocker 應用程式控制原則受益。 AppLocker 可協助您控制使用者可執行哪些應用程式和檔案。 這些包含可執行檔檔案、指令碼、Windows Installer 檔案,動態連結程式庫 (DLL)、已封裝的應用程式,和已封裝的應用程式安裝程式。

注意

AppLocker 無法控制在任何作業系統上系統帳戶下執行的流程。

AppLocker 可以協助您:

  • 根據檔案屬性定義規則,讓所有應用程式持續更新,例如發行者名稱 (由簽章衍生)、產品名稱、檔案名稱和檔案版本等。 您也可以根據檔案路徑和雜湊建立規則。
  • 指派規則給安全性群組或個別使用者。
  • 建立規則的例外狀況。 例如,您可以建立一個規則,允許所有使用者執行除了登錄編輯程式 (Regedit.exe) 以外的所有 Windows 二進位檔。
  • 在強制執行原則之前,使用僅稽核模式部署原則並了解其影響。
  • 在暫存伺服器上建立規則、測試,接著將規則匯出到您的實際執行環境,並將它們匯入到群組原則物件。
  • 使用 Windows PowerShell 簡化建立和管理 AppLocker 規則。

AppLocker 可透過減少因使用者執行未經核准的應用程式向支援人員尋求協助的次數,來協助減輕系統管理負荷和組織管理電腦運算資源的成本。 AppLocker 可處理下列應用程式安全性案例:

  • 應用程式清查

    AppLocker 能夠以僅稽核模式強制執行其原則,並將所有應用程式存取活動收集在事件記錄檔中。 這些事件可收集供進一步的分析。 Windows PowerShell Cmdlets 也可以協助您以程式設計方式分析這項資料。

  • 保護不受垃圾軟體危害

    AppLocker 可以拒絕執行您在允許的應用程式清單中排除的應用程式。 當在實際執行環境中強制執行 AppLocker 規則後,允許規則中未涵蓋的任何應用程式都將無法執行。

  • 符合授權法規

    AppLocker 可以協助您建立規則,以防止使用者執行未授權的軟體,並限制只有授權的使用者可以使用授權軟體。

  • 軟體標準化

    AppLocker 原則可設定成只允許受支援或核准的應用程式在事業群內的電腦執行。 這允許更一致的應用程式部署。

  • 管理性改進

    與之前的軟體限制原則相比,AppLocker 針對管理性進行了一些改良。 匯入與匯出原則、從多個檔案自動產生規則、僅稽核模式部署以及 Windows PowerShell Cmdlet,這些都是優於軟體限制原則 (SRP) 的改良功能。

使用 AppLocker 的時機

在許多組織中,資訊是最寶貴的資產,因此必須確保只有核准的使用者才能存取該資訊。 存取控制技術例如 Active Directory Rights Management Services (AD RMS) 和存取控制清單 (ACL),有助於控制允許哪些使用者存取。

不過,在使用者執行處理程序時,該處理程序與使用者使用相同的資料存取層級。 因此,敏感資訊可能由於使用者有意或無意執行惡意軟體而輕易刪除或從組織傳出。 AppLocker 藉由限制使用者或群組可執行的檔案,協助減少這些類型的安全性漏洞。 軟體發行者開始建立更多可由非系統管理員使用者安裝的應用程式。 這可能違反組織的書面安全性原則,並規避倚賴限制使用者安裝應用程式的傳統應用程式控制解決方案。 藉由建立核准的檔案和應用程式允許清單,AppLocker 有助於防止執行這類的使用者應用程式。 因為 AppLocker 可以控制 DLL,所以這對控制可安裝並執行 ActiveX 控制項的對象來說也非常有用。

AppLocker 極適合目前使用群組原則管理其電腦的組織。

以下是可使用 AppLocker 的案例範例:

  • 您組織的安全性原則規定只能使用授權軟體,因此您必須防止使用者執行未授權的軟體,並限制只有授權的使用者可以使用授權軟體。
  • 組織已不再支援某個應用程式,因此您必須讓所有人都無法使用這個應用程式。
  • 垃圾軟體進入環境的機率很高,因此您必須降低此威脅。
  • 組織中應用程式的授權已被撤銷或過期,因此您必須讓所有人都無法使用這個應用程式。
  • 新應用程式或新版的應用程式已經部署,您必須防止使用者使用舊版本。
  • 組織內不允許使用特定軟體工具,或是應限制只有特定使用者才能存取這些工具。
  • 單一使用者或使用者小組必須使用所有其他使用者或群組無法存取的特定應用程式。
  • 組織內的某些電腦由擁有不同軟體使用需要的人員共用,因此您需要保護特定應用程式。
  • 除了其他措施之外,您還必須透過應用程式使用情形來控制敏感資料的存取。

注意

AppLocker 是深度防禦安全性功能,而非 安全性邊界Windows Defender提供強大的威脅防護,而且預期不會因設計限制而使安全性功能無法達成此目標時,應該使用應用程式控制。

AppLocker 可協助您保護組織內的數位資產、降低惡意軟體進入環境的威脅,以及改進應用程式控制的管理和應用程式控制原則的維護。

安裝 AppLocker

AppLocker 隨附於企業層級的 Windows 版本中。 您可以為單一電腦或一組電腦編寫 AppLocker 規則。 對於單一電腦,您可以使用本機安全性原則編輯器 (secpol.msc) 來編寫規則。 對於電腦群組,您可以使用群組原則管理主控台 (GPMC) 編寫群組原則物件 (GPO) 的規則。

注意

GPMC 只能在執行 Windows安裝遠端伺服器管理工具的用戶端電腦中使用。 在執行 WindowsServer 的電腦上,您必須安裝群組原則管理功能。

在 Server Core 上使用 AppLocker

不支援在 Server Core 安裝上使用 AppLocker

虛擬考量

您可以使用符合前述所有系統需求的虛擬 Windows 執行個體來管理 AppLocker 原則。 您也可以在虛擬執行個體中執行群組原則。 不過,如果虛擬執行個體遭到移除或失敗,您就會面臨失去所建立和維護原則的風險。

安全性考量

應用程式控制原則會指定允許在本機電腦上執行的程式。

惡意軟體各式各樣的偽裝形式,讓使用者難以區分什麼是安全的程式。 惡意軟體啟用後會損壞硬碟上的內容、以大量要求癱瘓網路因而導致拒絕服務 (DoS) 攻擊、將機密資訊傳送到網際網路或是危害電腦安全性。

因應此問題的對策,是在組織的使用者電腦上設計完善的應用程式控制原則,然後先在實驗室環境中徹底測試原則,再將它們部署到實際執行環境。 AppLocker 可以成為應用程式控制策略的一部份,因為您可以控制允許在電腦上執行的軟體。

有缺陷的應用程式控制原則實作可能會停用必要的應用程式,或者是允許惡意軟體或垃圾軟體執行。 因此,組織應該提供充分的資源來針對這類原則的實作進行管理和疑難排解。

如需特定安全性問題的詳細資訊,請參閱 AppLocker 的安全性考量

使用 AppLocker 建立應用程式控制原則時,應注意下列幾項安全性考量:

  • 誰有權限設定 AppLocker 原則?
  • 如何確認原則是否已強制執行?
  • 應稽核哪些事件?

下表提供安裝了 AppLocker 功能的用戶端電腦的基準設定,做為您規劃安全性時的參考:

設定 預設值
建立的帳戶
驗證方法 不適用
管理介面 可以使用 Microsoft Management Console 嵌入式管理單元、群組原則管理以及 Windows PowerShell 來管理 AppLocker
開啟的連接埠
需要的最低權限 本機電腦上的系統管理員;網域管理;或允許您建立、編輯或散佈群組原則物件的任一組權限。
使用的通訊協定 不適用
排定的工作 會將 Appidpolicyconverter.exe 放在排定的工作中,以便應要求執行。
安全性原則 無必要。 AppLocker 會建立安全性原則。
需要的系統服務 應用程式識別服務 (appidsvc) 會在 LocalServiceAndNoImpersonation 底下執行。
認證儲存區

本節內容

主題 說明
管理 AppLocker 此適用於 IT 專業人員的主題,將提供管理 AppLocker 原則時需使用之特定程序的連結。
AppLocker 設計指南 此適用於 IT 專業人員的主題介紹使用 AppLocker 部署應用程式控制原則所需之設計和規劃的步驟。
AppLocker 部署指南 此 IT 專業人員適用的主題介紹部署 AppLocker 原則的概念,並描述所需步驟。
AppLocker 技術參考 這個適用於 IT 專業人員的概觀主題提供技術參考中各主題的連結。