Home AppLocker: Konfigurera programbegränsningspolicyer i Windows

AppLocker: Konfigurera programbegränsningspolicyer i Windows

AnvänderSäkerhetspolicyer för AppLocker, kan administratörer blockera eller tillåta att specifika program körs på Windows. Med Applocker är det möjligt att begränsa programexekveringen för en specifik användargrupp samtidigt som andra, till exempel administratörer, kan köra dem. Den här guiden förklarar hur du skapar och distribuerar AppLocker-programåtkomstpolicyer med GPO.

AppLockers programkontrollfunktion var ursprungligen tillgängligendast på Enterprise-utgåvorav Windows. Från och med Windows 10 version 2004 och alla Windows 11-versioner togs dock dessa versionsbegränsningar bort, vilket gör att AppLocker-policyer kan tillämpas påProupplagor också.

Tidigare kunde begränsningar för programstart implementeras i Windows genom Software Restriction Policies (SRP). SRP-funktionen har dock föråldrats sedan lanseringen av Windows 10 version 1803 och Windows Server 2019.

Låt oss skapa en ny domän GPO som innehåller AppLocker-kontrollinställningarna med hjälp av snapin-modulen för domängrupppolicyhanteringgpmc.msc(på samma sätt kan du konfigurera Applocker-inställningar på en fristående maskin med hjälp av den lokala grupprincipredigeraren),

  1. Skapa ett nytt GPO och växla till redigeringsläge.
  2. För att AppLocker-policyerna ska tillämpas på klienter,Applikationsidentitettjänsten måste vara aktiverad och köras (denAppIDSvctjänsten är som standard inaktiverad i Windows).
  3. Navigera till Datorkonfiguration -> Windows-inställningar -> Säkerhetsinställningar -> Systemtjänster. ÖppnaApplikationsidentitettjänsteegenskaper och aktivera automatisk start.
  4. Expandera sedan Datorkonfiguration -> Poliser -> Windows-inställningar -> Säkerhetsinställningar -> Programkontrollpolicyer -> AppLocker. Du kan skapa regler för fyra programvarukategorier här:

    Körbara regler– Körbara filer (.EXE och .COM).
    Windows Installer-regler– Windows Installer-filer (.MSI, .MSP, .MST).
    Manusregler– skriptfiler (.BAT, .CMD, .JS, .PS1 och .VBS).
    Regler för paketerade appar– APPX och MSIX Microsoft Store-appar.

  5. I det här exemplet kommer vi att skapa mjukvarukontrollregler för körbara filer. Så högerklicka påKörbara regleroch väljSkapa standardregler
  6. Flera fördefinierade regler kommer att skapas.

    Tillåt alla (alla filer som finns i mappen Programfiler) – den här regeln gör det möjligt för användare att köra filer frånProgram Fileskatalog.
    Tillåt alla (alla filer som finns i Windows-mappen) – det tillåter användare att köra vilken fil som helst frånWindowskatalog.
    Tillåt BUILTINAdministratörer (alla filer) – medlemmar i den lokala administratörsgruppen kan köra vilken fil som helst.

  7. Du kanske till exempel vill tillåta användare som inte är administratörer att köra en specifik applikation, oavsett dess version eller var den finns på disken.
  8. Skapa en ny AppLocker-regel. Välj om du vill tillåta eller neka att den körbara filen körs. Välj den användargrupp som denna policy ska gälla för (som standard Alla).
  9. Välj sedan villkoren för AppLocker-regeln. Tre alternativ är tillgängliga:
    Utgivare– det tillåter att skapa regler för signerade filer (filer från en specifik utgivare). Med den här regeln kan du välja bland följande alternativ: utgivarens namn, produktnamn, körbar filnamn eller filversion.
    Väg– ange sökvägen till katalogen eller filen som regeln ska tillämpas på. Du kan antingen ange den fullständiga sökvägen till EXE-filen eller använda jokertecken (*). Till exempel regelnC:MyAppFolder*kommer att gälla för alla körbara filer i den angivna katalogen.
    Filhash– regel kan användas för att identifiera en osignerad fil baserat på dess SHA-256-hash. Denna regel tillåter eller nekar exekvering av en fil, oavsett dess namn eller plats på disken. Men om filversionen ändras (t.ex. efter en programuppdatering) måste regeln återskapas för den nya filhashen.
    Följande AppLocker-specifika miljövariabler kan användas när du anger sökvägar i regler.
    Windows-katalog eller enhetAppLocker sökvägsvariabel
    Windows-katalog%WINDIR%
    System32 och sysWOW64%SYSTEM32%
    Windows installationsenhet%OSDRIVE%
    Programfiler%PROGRAMFILES%
    Flyttbart media (CD eller DVD)%REMOVABLE%
    Flyttbar lagringsenhet (USB-flashenhet)%HOT%
  10. Vi kommer att skapa en AppLocker-regel för en specifik app av dess utgivare. Välj den körbara målfilen. Eftersom målfilen kan saknas från domänkontrollanten där AppLocker-regeln skapas, kan du använda en UNC-sökväg för att välja filen från klientdatorn över nätverket (använd till exempel Windows admin share sökvägsformat\computer123c$toolstcpview64.exe)
  11. Jag vill tillåta den här filen att köras baserat på dess namn, oavsett version. Reglaget ska flyttas tillFilnamn. Eller konfigurera mer flexibla villkor med hjälp avAnvänd anpassade värdenalternativ.
  12. I denUndantagkan du göra undantag från regeln genom sökväg, utgivare eller filhash. Du kan till exempel förhindra att gamla, sårbara versioner av appar körs eller begränsa dem till vissa mappar.
  13. Ställ in det nya AppLocker-regelnamnet.

Låt oss nu skapa en regel som blockerar användare från att köra AnyDesk.exe-appen.

  1. Lägg till en ny AppLocker-regel
  2. Regeln ska förhindra att någon kör appen. Välj åtgärd:Förneka, användare eller grupp:Alla.
  3. Skapa en Publisher-regel och bläddra efter den körbara AnyDesk.
  4. Denna regel bör gälla oavsett filens version eller plats. Du kan antingen helt neka lanseringen av filer signerade av utgivarenO=ANYDESK SOFTWARE GMBHeller begränsa det med produktnamn.
  5. En sådan regel kommer att blockera programmet från att starta oavsett katalogen där den körbara filen finns eller det faktiska filnamnet.

Även om lokala administratörer tillåts köra alla lokala körbara filer, har en avvisningsregel alltid företräde och kommer att blockera exekvering.

För att tillämpa AppLocker-reglerna som du skapar på klientdatorer, öppna AppLocker-egenskaperna i GPO-konsolen. Det finns fyra typer av regler tillgängliga här:

  • Körbara regler– regler för klassiska Win32 körbara (Exe) filer
  • Windows Installerregler – MSI-installatörsregler
  • Manusregler– regler för körning av skript
  • Paketerade alla regler– regler för Microsoft Store AppX/MSIX-paket

Som standard tillämpas inte AppLocker-regler. För att tillämpa regler på klienter måste du aktiveraKonfigureradoch välj om du vill tillämpa reglerna iEndast revisioneller inGenomför reglernaläge.

Det rekommenderas att initialt tillämpa reglerna i revisionsläge för att testa deras inverkan på klienter utan att faktiskt blockera appkörning

Länka GPO med AppLocker-inställningar till mål-OU (det rekommenderas starkt att testa programbegränsningsreglerna på testdatorer/OUer först).

Efter att ha tillämpat nya grupprincipinställningar på en klient, kontrollera hur AppLocker-regler fungerar på den. Eftersom AppLocker-reglerna för närvarande tillämpas i granskningsläge, blockeras inte program från att starta.

Du kan använda loggar i Event Viewer för att avgöra hur AppLocker-policyer utlöses när specifika körbara filer startas. Öppna Event Viewer-konsolen (eventvwr.msc) och navigera tillProgram- och tjänsterloggar -> Microsoft -> Windows -> AppLocker -> EXE och DLL.

När AppLocker upptäcker ett försök att köra en blockerad körbar fil loggar den en varning med Event ID8003som inkluderar namnet på den blockerade appen.

%OSDRIVE%TOOLSANYDESK.EXE was allowed to run but would have been prevented from running if the AppLocker policy were enforced.

Om programmet tillåts köras, Event ID8002kommer att läggas till.

Testa AppLocker-regler under icke-administrativa användarkonton, eftersom standardreglerna tillåter administratörer att köra alla applikationer utan begränsningar. Användare måste arbeta inom sina sessioner, starta de nödvändiga programmen och utföra sina vanliga dagliga uppgifter.

Granska apparna som är blockerade från att köras enligt granskningshändelserna. Du kan använda PowerShell för att fråga i Event Viewer-loggarna och få en lista över appar som blockeras av AppLocker-regler på en dator.

$TimeSpan = (Get-Date).AddHours(-24)
Get-WinEvent -FilterHashtable @{LogName = "Microsoft-Windows-AppLocker/EXE and DLL"; Id = 8003; StartTime = $TimeSpan } | Format-Table TimeCreated, Message -AutoSize

Om den aktuella programkontrollpolicyn blockerar en nödvändig körbar fil, redigera AppLocker GPO för att lägga till en regel som tillåter att appen körs.

Efter att ha felsökt AppLocker-reglerna i granskningsläge kan du tillämpa dem i framtvingat läge. För att göra detta, ändra granskningsinställningen i AppLocker-policyn tillGenomför reglerna.

AppLocker kommer nu att blockera lanseringen av alla program som inte är auktoriserade eller uttryckligen nekade.

This app has been blocked by your administrator

Händelsen med ID 8004 kommer nu att läggas till i Event Viewer, som innehåller namnet på den blockerade körbara filen.

%OSDRIVE%TOOLSANYDESK.EXE was prevented from running.

Att manuellt skapa separata regler för varje tillåten eller blockerad app i AppLocker är tidskrävande och tråkigt. Det finns flera verktyg som kan påskynda och förbättra processen för att skapa och implementera AppLocker-regler.

AppLocker-konfigurationsredigeraren i GPO-konsolen har en funktion för automatisk regelgenerering. Administratören kan väljaGenerera regler automatisktalternativet och ange en målmapp på referensmaskinen. Därefter genererar AppLocker en lista med regler för all programvara som finns på datorn.

Du kan också skapa AppLocker-regler genom att importera dem från enskilda datorer. Till exempel kan du få en lista över blockerade körbara filer från Event Viewer-loggarna med PowerShell:

Get-ApplockerFileinformation -Eventlog -EventType Audited|fl

Baserat på denna information kan du automatiskt lägga till regler i den lokala AppLocker-policyn.

Get-ApplockerFileinformation -Eventlog -EventType Audited | New-ApplockerPolicy -RuleType Hash, Publisher -User jsmith -RuleNamePrefix AuditBased | Set-ApplockerPolicy –Merge

De nya reglerna kommer att läggas till i datorns lokala AppLocker-policy. Därifrån kan de exporteras och importeras till domänens GPO.

Se även:Hur man inaktiverar PowerShell med programbegränsningspolicyer GPO

Lista endast blockerade körbara filer (inklusive antalet försök att köra varje fil):

Get-AppLockerFileInformation -EventLog -EventType Denied -Statistics

Tänk på följande när du skapar AppLocker-regler:

Hur är det med möjligheten att tillfälligt stänga av AppLocker på en dator? Du kanske tror att ett stoppande av Application Identity-tjänsten skulle förhindra att AppLocker-regler tillämpas. Detta är dock inte sant.

För att tillfälligt inaktivera AppLocker på en dator, stoppa först AppIDSvc-tjänsten och ta sedan bortAppCache.dat,Exe.AppLocker, ochEtc. AppLockerfiler frånC:WindowsSystem32AppLockermapp.

Moderna versioner av Windows inkluderar en extra mekanism för att kontrollera körbara lanseringar som kallasWindows Defender Application Control (WDAC). Även om det är något mer komplext att konfigurera än AppLocker, är det det bättre valet tack vare dess flexibilitet, skalbarhet och förbättrade säkerhet. Till skillnad från AppLocker, som endast fungerar i användarläge, kan WDAC blockera kodexekvering på både kärnnivå (t.ex. drivrutiner) och användarläge.

Related Posts

Glömt lösenord på Windows 7

Glömt lösenord på Windows 7

2025-05-09
Lägg till D Drive Space till C Drive för att fixa "inte tillräckligt med utrymme på C

Lägg till D Drive Space till C Drive för att fixa "inte tillräckligt med utrymme på C

2025-04-30
Hur man fixar felet "filnamn eller förlängning för länge" i Windows

Hur man fixar felet "filnamn eller förlängning för länge" i Windows

2025-03-31
Hur man fixar misslyckade DLL

Hur man fixar misslyckade DLL

2025-05-12
Hur man hittar dina sändningslistor i WhatsApp på iPhone

Hur man hittar dina sändningslistor i WhatsApp på iPhone

2023-12-12
Epic Games och Google föreslår Landmark Global Settlement för att omforma Android App Store

Epic Games och Google föreslår Landmark Global Settlement för att omforma Android App Store

2025-11-05
Hur fabriksåterställer jag Google Pixel 9/8/7/6/5/4/3? 5 kreativa sätt

Hur fabriksåterställer jag Google Pixel 9/8/7/6/5/4/3? 5 kreativa sätt

2024-10-23
Hur man visar eller döljer Google Cast

Hur man visar eller döljer Google Cast

2025-03-28
Hur man installerar och använder node.js http-server (webbserver) via npm

Hur man installerar och använder node.js http-server (webbserver) via npm

2019-04-21
Hur man aktiverar eller inaktiverar referensvakt i Windows 11 med grupppolicy

Hur man aktiverar eller inaktiverar referensvakt i Windows 11 med grupppolicy

2025-04-08
Replit Partners med Microsoft för att föra programvaran utan kod till företaget

Replit Partners med Microsoft för att föra programvaran utan kod till företaget

2025-07-09
3 genomförbara alternativ för att återställa raderade Google Hangouts-chattar/meddelanden

3 genomförbara alternativ för att återställa raderade Google Hangouts-chattar/meddelanden

2024-10-08
Mätningsfrekvenskontroll för mus

Mätningsfrekvenskontroll för mus

2024-12-22
Var var den första CD

Var var den första CD

2025-02-18
Windows PC startar inte efter installation av grafikdrivrutiner

Windows PC startar inte efter installation av grafikdrivrutiner

2024-09-29