计算机用户通常只使用和需要少量应用程序,具体取决于他们的工作类型和使用情况。 例如,安装在前台接待处的计算机可能只需要运行一些 Microsoft Office 应用程序,可能还需要运行一个日程安排软件。 因此,所有其他不相关的应用程序都可以被禁用。
值得庆幸的是,Windows 11、Windows 10 和一些服务器版本都带有一个名为“AppLocker”的内置应用程序。 顾名思义,此实用程序用于锁定您不希望用户使用的应用程序。 如果您想撤销对权威应用程序的访问权限,或者只是防止您的员工将时间浪费在他们在工作时不应该做的事情上,则可以这样做。
如果您正在寻找一种本地解决方案来阻止计算机上的某些应用程序和程序,将向您展示如何使用 AppLocker 限制应用程序运行。
什么是 AppLocker
AppLocker 是一些 Microsoft 产品的内置实用程序,包括一些 Windows 和 Server 版本。 它用于控制哪些应用程序和程序可以在您的系统上运行,包括可执行 (.exe) 文件、脚本、Windows Installer 文件、打包应用程序(Microsoft Store 应用程序)等。
AppLocker 用于定义允许或阻止与应用关联的 .exe 或 .com 文件的规则。 默认情况下,由于没有配置规则,所有应用程序都可以正常运行。 您将在下面找到解释默认 AppLocker 规则的表格:
目的 | 名称 | 组 | 路径 |
---|---|---|---|
允许本地管理员组的成员访问运行所有可执行文件 | (默认规则)所有文件 | BUILTIN\Administrators | 所有 |
允许所有用户运行 Windows 文件夹中的可执行文件 | (默认规则)位于 Windows 文件夹中的所有文件 | Everyone | %windir%* |
允许所有用户运行 Program Files 文件夹中的可执行文件 | (默认规则)位于 Program Files 文件夹中的所有文件 | Everyone | %programfiles%* |
但是,如果您为一个应用程序创建例外,则所有其他应用程序都会被阻止,除非您也为它们创建例外情况。 Microsoft 在以下声明中对此进行了解释:
如果不存在特定规则集合的 AppLocker 规则,则允许运行具有该文件格式的所有文件。 但是,当为特定规则集合创建 AppLocker 规则时,仅允许在规则中明确允许的文件运行。
话虽如此,您可以采取其他步骤来缓解在 AppLocker 中创建新规则时自动阻止所有其他应用程序的问题。 这已在下面给出的阻止应用程序的步骤中进行了讨论。
如何使用 AppLocker 阻止可执行文件/应用程序
以下是配置 AppLocker 以阻止应用程序在计算机上运行的分步指南:
注意:此方法使用本地安全策略/组策略编辑器,默认情况下在 Windows Home 版本中不可用。
1、首先,我们需要确保“应用程序身份”服务已启动并运行。 此服务负责执行 AppLocker 策略。 为此,请使用管理权限打开命令提示符并输入以下 cmdlet:
1
|
sc config “AppIDSvc” start=auto & net start “AppIDSvc”
|
注意:此 cmdlet 还将将该服务配置为在 Windows 启动时自动启动。
2、现在关闭命令提示符,按 Win+R 打开运行,并通过在运行中键入 secpol.msc 打开本地安全策略编辑器。
3、在这里,展开应用程序控制策略,然后从左侧窗格中展开 AppLocker。
4、单击左侧窗格中的 AppLocker,然后单击右侧的“配置规则强制”。
5、在 AppLocker 属性窗口中,选中可执行规则下“已配置”旁边的框,然后单击确定。
6、现在,返回本地安全策略编辑器并单击左侧窗格中 AppLocker 下的“封装应用规则”。
7、现在右键单击封装应用规则,然后从上下文菜单中单击“创建默认规则”。
注意:此步骤必不可少,因为 AppLocker 将阻止所有 Microsoft Store 应用程序运行。 此步骤将为所有应用程序设置默认规则,允许所有应用程序运行。
8、现在单击左窗格中的“可执行规则”。 然后,右键单击它并从上下文菜单中选择“创建默认规则”。
注意:不执行此步骤会自动阻止所有应用程序运行,明确允许的应用程序除外。
9、再次右键单击“可执行规则”,然后从上下文菜单中单击“创建新规则”。
10、创建规则的向导现在将启动。 在第一页上,单击下一页。
11、现在选择拒绝,然后单击选择以选择要应用规则的用户或组。 选中后,单击下一页。
12、选择路径并单击下一页。
13、现在单击以下任一按钮并分别选择要阻止的文件或文件夹。 选择一个文件夹将阻止所有可执行文件在其中运行。 选中后,单击下一步。
- 浏览文件
- 浏览文件夹
14、在下一页上,保留默认值并单击下一页。
15、现在输入规则的自定义名称,然后单击创建。
您现在将看到规则已添加到 AppLocker。
您现在可以重复步骤 9 到 15 以添加更多要阻止的应用程序或文件夹。
如果您希望再次允许应用程序或整个文件夹,只需导航到本地安全策略/组策略编辑器中的相同位置并删除关联的规则。
创建规则后,尝试访问被阻止内容的用户将看到以下提示:
此应用程序已被您的系统管理员阻止。 有关详细信息,请联系您的系统管理员。
最后
AppLocker 适用于那些不想使用第三方应用程序但想控制在他们或他们的员工计算机上使用哪些应用程序的人。 它不仅会阻止其他人执行他们不允许执行的任务,而且阻止向用户提供管理权限的应用程序也会增强您的整体安全性。