應用程序執行規則管理

應用過程控制策略基本設置

在我們開始建立自定義的各種新應用過程控制策略之前，是否需要預先完成一些基本設置？的確需要的！首先請在“群組策略編輯器”界面點選“安全性設置→Security Settings→Application Control Policies→ AppLocker”項 目節點上。接著點選位于中間內容頁面中的“Configure rule enforcement”來設置應用程序策略的屬性繼續。

如圖1所示，接下來將會開啟“AppLocker Properties”頁面。首先在“Enforcement”頁面中，分別設置針對應用程序執行規則、Windows安裝程序（MSI、MSP）規則、手稿文件程序（Script）規則的組態配置。您可以選擇要強制套用規則設置（Enforce）還是僅進行稽核事件的記錄，如果以后需要管理這三種類型的策略設置，需要將它們都設置為“Enforce”。

切 換 到“Advanced”頁面中，在此您可以決定是否要讓針對DLL檔案規則的管理功能設置項目，出現在應用程序策略管理接口中，如果需要的話，請將“Enable the DLL rule collection”項目勾選即可，在默認狀態下是沒有勾選的。這是因為如果在后續的管理中，若有不當的規則配置，可能會導致系統無法正常運作，并且會影響系統執行效果。

應用程序執行規則的設置

如果您想要針對目前已經安裝在客戶端Windows 7上面的應用程序，進行存取管理上的限制，請按照以下的操作進行設置。首先在“群組策略編輯器”接口中點選“安全性設置→Security Settings→Application Control Policies→AppLocker→ Executable Rules”項，在動作窗口中點選“Create New Rule”。接著將會開啟向導設置頁面。首先請在“Permissions”頁面中 決 定此規則的建立，是基于允許（Allow）執行還是拒絕（Deny）執行之上。在此我們選取“Deny”來作為范例，并且必須點選“Select”按鈕來設置規則套用的對象（用戶或群組）。點選“下一步”繼續。……