AppLocker的概述及支持的Windows版本

AppLocker 是 Windows 7 中的新功能，在Windows Server 2008 R2中 取代了软件限制策略功能。AppLocker 包含减少管理开销的新功能和扩展（如可执行文件、脚本、Windows Installer 文件和 DLL），帮助管理员控制用户如何访问和使用文件。使用 AppLocker，您可以：

1. 基于从数字签名派生的文件属性（包括发布者、产品名称、文件名和文件版本）定义规则。例如，可以根据更新过程中持续存在的发布者属性创建规则，或者为特定版本的文件创建规则。
2. 向安全组或单个用户分配规则。
3. 创建规则的例外。例如，可以创建一个规则，允许除注册表编辑器（Regedit.exe）之外的所有 Windows 进程运行。
4. 使用仅审核模式部署策略并了解其影响，然后再强制该策略。
5. 导入和导出规则。导入和导出影响整个策略。例如，如果导出策略，则会导出所有规则集合中的所有规则，包括规则集合的强制设置。如果导入策略，则会覆盖现有策略。
6. 使用 AppLocker PowerShell cmdlet 简化 AppLocker 规则的创建和管理。

下表将 AppLocker 和软件限制策略进行了对比。

功能	软件限制策略	AppLocker
规则作用域	所有用户	特定用户或组
提供的规则条件	文件哈希、路径、证书、注册表 路径和Internet 区域规则	文件哈希、路径和发布者规则
提供的规则类型	允许和拒绝	允许和拒绝
默认规则操作	允许和拒绝	拒绝
仅审核模式	否	是
一次创建多个规则的向导	否	是
策略导入或导出	否	是
规则集合	否	是
PowerShell 支持	否	是
自定义错误消息	否	是

AppLocker 在 Windows Server 2008 R2 的所有版本以及 Windows 7 旗舰版 和 Windows 7 企业版中可用。Windows 7 专业版可用于创建 AppLocker 规则。但是，AppLocker 规则无法在运行 Windows 7 专业版的计算机上强制执行。

注意：

如果使用软件限制策略将计算机升级到 Windows 7 或 Windows Server 2008 R2，然后实施 AppLocker 规则，则仅强制执行 AppLocker 规则。因此，建议对同时使用了软件限制策略和 AppLocker 的环境中的 AppLocker 创建新的组策略对象 (GPO)。