WEB开发网
开发学院操作系统Windows 7 AppLocker规则创建指南 阅读

AppLocker规则创建指南

 2009-09-12 00:00:00 来源:WEB开发网   
核心提示:在很多场合下,电脑并不是由一个人独自使用,AppLocker规则创建指南,而是有多人轮流使用,比如学校的计算机房等,完成规则创建通过AppLocker和登录帐户的组合设置,你可以很方便的对软件使用进行控制,出于各种因素考虑,对于这些场合下的计算机使用

在很多场合下,电脑并不是由一个人独自使用,而是有多人轮流使用,比如学校的计算机房等。出于各种因素考虑,对于这些场合下的计算机使用,肯定会有所限制,向学校机房的话肯定是不希望学生在上课时偷偷玩游戏,最常见的方法就是限制指定软件运行。

借助一些工具软件,就可以将指定程序封锁不让它运行,但是这些工具软件往往也存在很大局限性。首先是封锁方式,有些可能简单到仅通过判断程序启动文件名称来进行封锁,这种方式只需改下文件名就可以绕过,因此如今已经被淘汰。高级一点的,通过对比程序文件的校验值,如MD5或者hash值来判断,这种方法虽然先进一些,但也存在一定问题,对于那些经常自动更新的程序很难起作用,因为自动更新后启动文件本身往往会变动,校验值也随之更改,间接导致原有封锁失效。

除了方法上的局限性,还有一个不足之处就是程序数量如此多,用上述黑名单的方式几乎是不现实的,更何况新的应用程序每天都在增加。所以我们需要换一种思路来解决。

在即将正式发售的Windows 7里,微软 设置了一种名为AppLocker的软件运行限制功能,是基于黑名单和白名单的混合策略,判断依据也具有多种方式。

作为一个新增功能,微软 将它藏却有点深:点击Windows 7开始菜单,在搜索框里输入gpedit.msc,打开本地组策略编辑器;然后依次展开:计算机配置——Windows设置——安全设置——应用程序控制策略,这里就是AppLocker的所在地了。

AppLocker规则创建指南

找到AppLocker所在位置

再展开AppLocker后,你会看到三种规则类别,分别是“可执行规则”、“Windows安装程序规则”和“脚本规则”,依次对应应用程序,新下载的安装文件和各种脚本文件。

右键点击任一类别,选择“创建新规则”,然后跟随设置向导到开始配置这台电 脑的软件限制规则。

AppLocker规则创建指南

开始创建一个规则

首先你需要决定该策略的方向,是仅“允许”指定程序运行还是仅“拒绝”特定程序运行;然后选择使用该策略的用户或组对象,是所有登录用户还是某些特定登录用户。

比如我想让使用Guest(来宾帐户)登录的用户仅能运行指定程序,首先将行为选为“允许”,接着点击“用户或组”右侧的“选择”按钮,接着在弹出的窗口里点击“高级”,点击“立即查找”列出所有用户和组,选中“Guest”,然后依次按确定关闭窗口返回到向导窗口。此时用户或组这里会变更为 “XXXXXXXGuest”。

AppLocker规则创建指南

将用户限定为来宾

接下去选择判断依据。如果以“发布者”为条件,需要引用一个已安装的具有数字签名的程序作为参考依据,比如微软 的Office SharePoint(即原来的Frontpage)。点击浏览找到sharepoint的启动文件后,相应信息就会自动匹配完成。左侧滑块可以对条件进行增减,如果移动到产品名一档,那么所有属于Office 2007的组件都可以运行。下方“使用自定义 值”可以针对软件版本进行微调,允许使用更高版本或者低版本。

AppLocker规则创建指南

允许使用所有的Office 2007程序

如果上述条件里存在个别例外不想让别人用的,比如设置有个人邮箱的outlook,那么可以在接下去的例外里添加。

假如你对数字签名等不熟悉,也可以改用“路径”或者“文件哈希”规则。这些规则适合那些没有数字签名的应用程序,基本方法和上面差不多就不再赘述。

全部设置完毕后,编辑一下规则名称就可以完成整个创建过程了,最后系统会提示首先创建默认规则,确认即可。

AppLocker规则创建指南

完成规则创建

通过AppLocker和登录帐户的组合设置,你可以很方便的对软件使用进行控制,如此一来,还用担心别人搞乱你的电脑吗?

Tags:AppLocker 规则 创建

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接