微软取消版本和方式限制,让企业在 win10 / win11 上更快部署 applocker -j9九游会登陆入口
it之家 3 月 14 日消息,微软今天宣布取消了 applocker 的相关限制,方便企业更快地部署。本次调整取消了 win10 2004、20h2 和 21h2 版本和所有 win11 系统的版本验证检查。
applocker 可帮助企业控制用户可以运行的应用和文件。它们包括可执行文件、脚本、windows 安装程序文件、动态链接库 (dll)、应用包和应用包安装程序。
it之家附 applocker 的主要功能和特性如下:
根据应用更新期间永久使用的文件属性来定义规则,例如:发布者名称(从数字签名派生)、产品名称、文件名和文件版本。你还可以基于文件路径和哈希创建规则。
向安全组或单个用户分配规则。
创建规则异常。例如,可以创建规则以允许所有用户运行除注册表编辑器 (regedit.exe) 之外的所有 windows 二进制文件。
使用仅审核模式部署策略,并在强制执行它之前了解其影响。
在暂存服务器上创建规则并测试它们,然后将它们导出到生产环境,之后将其导入到组策略对象。
applocker 规则的创建和管理可通过使用 windows powershell 来简化。
微软此前需要根据 windows 版本和管理终端方式来强制性区分 applocker 策略,例如企业如果使用 mdm 方式进行管理,可以在所有 win10 和 win11 版本中部署 applocker 策略;而如果使用组策略方式,仅能在 win10 和 win11 的企业版或者交班本中部署 applocker。
微软现在取消了这些版本检查,企业管理员可以不用区分系统版本和管理方法,在以下 windows 及更高版本中可以更加轻松地部署 applocker:
windows 11, version 22h2 (kb5017389, 于 2022 年 9 月 30 日发布)
windows 11, version 21h2 (kb5018483, 于 2022 年 10 月 25 日发布)
windows 10, version 2004 (kb5018482, 于 2022 年 10 月 25 日发布)
windows 10, version 20h2
windows 10, version 21h1
本次更新还允许 it 管理员不需要区分不同的 windows 版本,使用 windows defender 应用程序控制 (wdac) 来部署系统的 managed installer 策略。