【组策略高级应用第2篇】AppLocker 实战：比软件限制策略更灵活的管控

系列：爱依航 · Windows Server 2022 组策略实战系列

本篇主题：AppLocker 配置详解

开篇：更灵活的软件管控

软件限制策略配置复杂，且规则难以管理。

AppLocker 是 Windows 7/Server 2008 R2 引入的新一代软件限制机制，更灵活、更易管理。

Part 1 · 启用 Application Identity 服务

AppLocker 依赖 Application Identity 服务。

在客户端电脑上，启用该服务：

sc config AppIDSvc start= auto
net start AppIDSvc

Part 2 · 创建 GPO

打开 gpmc.msc → 新建 GPO，名称：AppLocker 规则

Part 3 · 配置规则

右键 GPO → 编辑，路径：

计算机配置
  └─ 策略
      └─ Windows 设置
          └─ 安全设置
              └─ 应用程序控制策略
                  └─ AppLocker

展开"可执行规则"，右键 → 创建默认规则

这会自动创建允许系统程序运行的规则。

小结

AppLocker 比软件限制策略更强大：

• 支持发布者、路径、文件哈希三种条件
• 可以针对用户/组设置不同规则
• 内置默认规则简化配置