组策略与安全设置 (3)

注：因为DLL规则会影响系统性能，并且如果没正确设置，还可能造成意外事件，因此默认并没有显示DLL规则，除非通过选择AppLocker并右键-属性-高级的方法进行选择。 4. 默认一路下一步，到选择路径。

注：如果程序已经签署，还可以根据发布者进行设置，也就是拒绝，允许指定发布者签署，也可以通过文件哈希进行设置，此时系统会计算程序的哈希值，客户端用户执行程序时，客户端计算机也会计算其哈希值，只要哈希值与规则内的程序相同，就会被拒绝执行。

5. 选择浏览文件，IE路径然后一路下一步。

注：由于每台客户端计算机的IE安装文件夹可能不同，因此系统自动将C:\\Programme Files改为变量表示法%PROGRAMFILES%。 6. 完成后的界面

7. 一旦创建规则后，凡是未列在规则内的执行文件都会被阻止，虽然我们是在可执行

规则处创建规则，但是已封装的应用程序也会被阻止（例如气象，等应用商店磁贴），因此我们还需要在封装应用规则处来开发已封装的应用程序，只要通过创建默认规则来开放即可：选择封装应用规则-创建默认规则，此默认规则会开放所有已签署的已封装的应用程序。

注：不需要在Windows安装程序规则与脚本规则类别中创建默认规则，因为他们没有受到影响。

8. 客户端需要启动Application Identity服务才享有Applocker功能。可以到客户端计算

机来启动此服务，或者通过GPO为客户端进行设置。

9. 重启PC1，然后利用普通账户登录。（生效貌似比较慢，我在做这个实验的时候还

检查了半天怎么不生效，等了会才好。）

AppLocker的补充说明

如果在规则类别内创建了多个规则，其中有的是允许规则，有的是拒绝规则，则AppLocker在处理这些规则时以拒绝规则优先，至于没有列在规则内的应用程序一律拒绝其执行。

另外当我们在组织单位业务部内的GPO通过AppLocker规则来限制计算机执行程序后，一般而言，等这个规则应用到客户端计算机后就生效，但也有一些特殊情况，因为它还与规则强制设置有关。

规则强制设置分为未配置，强制规则与仅审核3种，默认是未配置，下图状态都显示为未配置强制：强制规则。冒号前面的未配置强制表示他们的规则强度设置都是未设置，而未配置的规则类别默认会被设置为强制规则。

如果要更改规则强制设置，请单击上图右侧上方的配置规则强制，然后再下图的对话框中针对不同的规则类别进行勾选，并且可以选择仅审核，仅审核会审核用户执行程序的行为，但是不会强制，也就是用户不会受到规则的限制，但是系统会在AppLocker事件日志中记录。只可以对整个类别设置规则强制，无法单独对单一规则进行设置。

如果组织单位业务部有多个GPO，这些GPO的AppLocker规则会合并应用到业务部内的计算机。如果组织单位业务部上层的域Contoso.com处也设置规则，则这些规则也会合并到业务部计算机。

如果业务部的规则强制设置为未配置，当上层域已设置，则会继承设置。

不过，如果业务部规则强制已设置，无论上层域处的规则设置为何，业务规则设置就是其本身。

组策略例外排除

前面测试过用组策略来禁用Windows防火墙，但是也可以让此GPO不要应用到特定用户，例如业务部经理Paul，这样他就仍然可以使用Windows防火墙。这个操作被称为组策略筛选。

搜索“diyifanwen.net”或“第一范文网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读，第一范文网，提供最新幼儿教育组策略与安全设置 (3)全文阅读和word下载服务。