如果您将目录列入白名单，那么可以肯定，该目录中的任何恶意软件都可以运行。

这就是为什么您不将目录列入白名单的原因。相反，您将程序列入白名单，并采取预防措施确保这些程序不被修改。例如，不是将“c:\Program Files\Internet Explorer”列入白名单，而是将“c:\Program Files\Internet Explorer\iexplore.exe 与 SHA-256 校验和 c09bc04058f1e2d4eae481490b998381486311e02ff782e99383c16d77c1b3bc”列入白名单。

在企业环境中，白名单的目的是管理员可以授权程序运行，但普通用户不能。

在这种情况下，可以将普通用户没有写入权限的目录列入白名单。事实上，有一个标准的 AppLocker 配置文件允许从 C:\Program Files 和 C:\Windows 执行，但不包括用户可写目录。在实践中很少看到这种情况，但我认为这是一种出色的安全控制。特别是，它会阻止用户从 Internet 下载和运行 exe 文件。

Mark 提到的散列单个 exe 和 dll 文件的方法虽然在理论上很好，但通常被认为无法在实践中实施。

我可以想象您的后续问题：如果恶意软件进行特权升级并将自己写入白名单目录怎么办？好吧，很明显，恶意软件将来会再次运行。AppLocker 白名单不能防止这种情况。事实上，很少有保护措施可以防止将权限提升到 root/administrator 的恶意软件。白名单是一种有用的技术——但它不是灵丹妙药。