本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 保护 WorkSpaces 应用程序会话
<a name="securing-session"></a>

## 限制应用程序和操作系统的控制
<a name="limiting-application-and-operating-system-controls"></a>

 WorkSpaces 应用程序使管理员能够准确指定哪些应用程序可以在应用程序流模式下从网页启动。但是，这并不能保证只能运行指定的应用程序。

 Windows实用程序和应用程序可以通过其他方式通过操作系统启动。 AWS 建议使用 [https://aws.amazon.com/blogs/desktop-and-application-streaming/using-microsoft-applocker-to-manage-application-experience-on-amazon-appstream-2-0/](https://aws.amazon.com/blogs/desktop-and-application-streaming/using-microsoft-applocker-to-manage-application-experience-on-amazon-appstream-2-0/) 来确保只有你的组织需要的应用程序才能运行。必须修改默认规则，因为它们授予所有人访问关键系统目录的路径权限。

**注意**  
 Windows Server 2016 和 2019 要求运行 Windows 应用程序身份服务才能强制执行 AppLocker 规则。《[AppStream 管理指南》详细介绍了使用 Micro AppLocker soft 的 WorkSpaces 应用程序访问应用程序。](https://docs.aws.amazon.com/appstream2/latest/developerguide/data-protection.html#application-access)

 对于加入 Active Directory 域的队列实例，请使用组策略对象 (GPOs) 提供用户和系统设置，以保护用户的应用程序和资源访问权限。