本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 保護 WorkSpaces 應用程式工作階段
<a name="securing-session"></a>

## 限制應用程式和作業系統控制
<a name="limiting-application-and-operating-system-controls"></a>

 WorkSpaces 應用程式可讓管理員指定可在應用程式串流模式下從網頁啟動哪些應用程式。不過，這並不保證只有指定的應用程式才能執行。

 Windows 公用程式和應用程式可透過其他方式透過作業系統啟動。 AWS 建議使用 [https://aws.amazon.com/blogs/desktop-and-application-streaming/using-microsoft-applocker-to-manage-application-experience-on-amazon-appstream-2-0/](https://aws.amazon.com/blogs/desktop-and-application-streaming/using-microsoft-applocker-to-manage-application-experience-on-amazon-appstream-2-0/)，以確保只有您組織所需的應用程式才能執行。預設規則必須修改，因為它們會授予每個人關鍵系統目錄的路徑存取權。

**注意**  
 Windows Server 2016 和 2019 需要執行 Windows Application Identity 服務，才能強制執行 AppLocker 規則。使用 Microsoft AppLocker 從 WorkSpaces 應用程式存取應用程式的詳細資訊，請參閱 [AppStream 管理員指南。](https://docs.aws.amazon.com/appstream2/latest/developerguide/data-protection.html#application-access)

 對於加入 Active Directory 網域的機群執行個體，請使用群組政策物件 (GPOs) 提供使用者和系統設定，以保護使用者應用程式和資源存取。