使用命令时,例如
ls 'C:\Program Files\*.exe' | Get-AppLockerFileInformation | New-AppLockerPolicy -RuleType Path -User everyone -xml -optimize
我总是看到它发出“允许”规则。如何在生成的 xml 中生成“拒绝”规则(即 Action="Deny")。MSDN文档没有说明任何有关拒绝选项的信息。摆弄 XML 是唯一的方法吗?
问问题
2530 次
1 回答
1
New-AppLockerPolicy您可以修改在调用之前返回的 Policy 规则对象Set-AppLockerPolicy:
$Policy = ls 'C:\Program Files\*.exe' | Get-AppLockerFileInformation | New-AppLockerPolicy -RuleType Path -User Everyone -Optimize
foreach($RuleCollection in $Policy.RuleCollections)
{
foreach($Rule in $RuleCollection)
{
$Rule.Action = 'Deny'
}
}
Set-AppLockerPolicy -PolicyObject $Policy -Ldap "<DN to target policy>"
在 PowerShell 4.0 及更高版本中,您也可以使用ForEach({})扩展方法:
$Policy = ... | New-AppLockerPolicy
$Policy.RuleCollections.ForEach({ $_.ForEach({ $_.Action = 'Deny' }) })
Set-AppLockerPolicy -PolicyObject $Policy -Ldap ...
于 2016-02-03T07:46:33.133 回答