锁定是一种防御恶意软件和软件的工具，它可以防止程序意外运行，并通过限制策略来保护用户文件的安全。用户打开软件后，整个文件系统都会被列入黑名单，只允许白名单上的程序运行。此外，除了限制可执行文件，DLL和其他代码库也受到限制。

使用说明

当启用锁定时，默认情况下，除白名单位置外，不会运行任何可执行文件。启用锁定后，Windows目录(和所有子目录)、程序文件、锁定目录本身和所有快捷方式将自动列入白名单，并且允许所有快捷方式运行(尽管快捷方式另一端的文件将受SRP规则的约束)。)默认情况下，锁定不会将您的下载文件夹或桌面列入白名单。

警告：删除默认规则可能会导致WINDOWS不可用。

警告：删除默认规则可能会导致WINDOWS不可用。

警告：删除默认规则可能会导致WINDOWS不可用。

话虽如此，如果您打算将白名单规则添加到本文底部列出的最小文件中，您可以删除默认规则。

一些应用程序需要为正常操作禁用锁定(或者它们的程序路径必须被列入白名单。这可能发生在任何使用非标准位置作为其可执行文件的应用程序上，例如%appdata%中的任何位置。

应用锁定设置(启用/禁用或添加/删除白名单或黑名单项目)后，您必须注销或重新启动电脑才能使策略生效；这是由于组策略的工作方式。

锁有以下命令行参数供静默使用：

/enable

/禁用

/白名单=[项目]-将项目添加到白名单中

/-白名单=[项目]-从白名单中删除一个项目

/黑名单=[项目]-从黑名单中添加项目

/-黑名单=[项目]-从黑名单中删除项目

import白名单=[路径\文件]-从导出的文件中导入白名单。

/import黑名单=[路径\文件]-从导出的文件导入黑名单。

export白名单=[路径\文件]-将当前白名单导出到文件。

/export黑名单=[路径\文件]-将当前黑名单导出到文件。

gpupdate—相当于运行Windows命令gpupdate /force /wait:0，因为它用于刷新组策略，但如上所述，由于Windows的操作方式，您可能需要注销或重新启动才能完全应用更改。

命令行参数可以应用并堆叠在命令行上，如下所示：

Lockdown.exe/启用/黑名单=syskey . exe/黑名单=vssadmin . exe/白名单=%appdata%\ACME /gpupdate

锁定可以作为单个部署。但是图形用户界面模式需要包含锁定资源目录。