Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
Entry № 064

应用程序白名单

审核人Cybersecurity entrepreneur & security researcher

应用程序白名单 是什么?

应用程序白名单一种防御控制,只允许显式批准的可执行文件、脚本和库在端点上运行,默认拒绝其他一切。


应用程序白名单(应用 Allowlisting)颠覆了杀毒软件的"默认允许"模型:只有与批准策略相符的可执行文件、DLL、脚本与安装程序——按哈希、发布者签名或路径匹配——才被允许运行,其它一律阻断。Microsoft AppLocker 与 Windows Defender Application Control(WDAC)、Linux 的 fapolicyd、macOS 公证机制,以及 Airlock Digital、ThreatLocker 等独立产品都实现了该模式。NIST SP 800-167(Application Whitelisting 指南)给出体系结构,美国 CISA/NSA/FBI 的"Essential Eight"将其列为针对定向入侵最有效的单项缓解措施。该控制对无文件攻击和未签名勒索软件非常有效,但需要严格的变更管理流程,因为每个新工具都要走审批。

示例

  1. 01

    Windows 服务器通过 WDAC 仅允许 Microsoft 签名的二进制以及少量经过审批的内部工具。

  2. 02

    Airlock Digital 阻止一段未签名的 PowerShell 脚本下载 Cobalt Strike beacon。

常见问题

应用程序白名单 是什么?

一种防御控制,只允许显式批准的可执行文件、脚本和库在端点上运行,默认拒绝其他一切。 它属于网络安全的 防御与运营 分类。

应用程序白名单 是什么意思?

一种防御控制,只允许显式批准的可执行文件、脚本和库在端点上运行,默认拒绝其他一切。

如何防御 应用程序白名单?

针对 应用程序白名单 的防御通常结合技术控制与运营实践,详见上方完整定义。

应用程序白名单 还有哪些其他名称?

常见的别称包括: 应用 Allowlisting, 软件白名单。

相关术语