步骤 1：启用 AppLocker 策略#

AppLocker 策略是通过组策略（Group Policy）进行管理的。按照以下步骤启用：

1. 打开组策略管理控制台：

• 在 Windows Server 中，打开 Group Policy Management Console (GPMC)。

• 右键点击域或组织单位 (OU)，然后选择 Create a GPO in this domain, and Link it here，创建一个新的 GPO（组策略对象）。

2. 启用 AppLocker 策略：

• 打开 Group Policy Management Editor。

• 导航到 Computer Configuration > Policies > Windows Settings > Security Settings > Application Control Policies > AppLocker。

• 右键点击 AppLocker，然后选择 Properties。

• 在 Properties 对话框中，启用 Configured 并选择所需的策略。

步骤 2：配置 AppLocker 策则#

AppLocker 允许管理员配置以下几种类型的规则：

• 可执行文件规则：控制哪些 EXE 和 MSI 文件可以运行。

• 脚本规则：控制 PowerShell 脚本、批处理文件（.bat、.cmd）等脚本的执行。

• Windows Installer 规则：控制 MSI 文件的安装。

• 包规则：控制 UWP（Universal Windows Platform）应用程序的安装和执行。

1. 在 AppLocker 策略的 Application Control Policies 下，选择需要配置的规则类型（例如 Executable Rules）。
2. 右键点击相应规则类型，选择 Create New Rule 创建新规则。
3. 根据需求配置规则：

• 允许/拒绝规则：创建规则来允许或拒绝特定的应用程序执行。

• 条件选择：可以根据文件的发布者、路径、哈希值等属性来定义规则。

• 设置规则执行：确保将规则应用到正确的用户组或计算机。

步骤 3：测试和验证规则#

• 测试规则：在生产环境部署之前，建议先在测试环境中验证 AppLocker 配置。可以通过 Audit Mode（审核模式）启用规则，这样不会直接阻止程序的执行，而是记录日志，帮助你查看哪些应用程序会被阻止。

• 审核模式下，AppLocker 会记录每个被阻止应用程序的执行事件，但不会实际拦截程序运行。

• 验证配置：测试配置是否按预期工作，检查日志文件中的事件，确认是否正确阻止了未经授权的程序。

步骤 4：启用强制执行模式#

一旦测试完成并验证规则无误，可以将 Audit Mode 更改为 Enforce Mode，这将实际阻止不符合规则的应用程序运行。

• 在 AppLocker 配置中，将所有规则切换到 Enforce 模式，以开始强制执行这些策略。

步骤 5：维护和更新规则#

• 定期审核：定期检查和审核 AppLocker 策略，确保它们始终符合组织的安全要求。

• 更新规则：如果有新的应用程序需要使用，或者需要更新现有应用程序的规则，可以通过 AppLocker Console 或组策略管理来修改现有规则。