Windows 7的AppLocker功能解析

核心提示：AppLocker即所谓的“应用程序控制策略”，是Windows 7系统中新增加的一项安全功能，Windows 7的AppLocker功能解析，利用AppLocker管理员可以非常方便地进行配置，以实现用户可在计算机上可运行哪些程序、安装哪些文件、运行哪些脚本，最后我们运行Bginfo.exe程

AppLocker即所谓的“应用程序控制策略”，是Windows 7系统中新增加的一项安全功能。利用AppLocker管理员可以非常方便地进行配置，以实现用户可在计算机上可运行哪些程序、安装哪些文件、运行哪些脚本。由于AppLocker是基于组策略管理和配置的，因此我们可以非常方便地将其部署到整个网络环境中，可谓一劳永逸。下面笔者结合实例对这一功能进行测试和解析。

1、牛刀小试

我们以管理员身份登录系统，默认情况下该用户可以运行所有的程序、脚本和没有限制地进行软件的安装。下面我们进行一个演示：在D盘根目录下有一个名为Bginfo.exe的程序，毫无疑问在没有部署AppLocker前它可以运行。然后我们部署AppLocker看看其效果：执行“开始”→ “运行”，输入pedit.msc打开组策略编辑器。在左侧的窗格中依次定位到“计算机配置” →“Windows 设置”→“安全设置”→“应用程序控制”，可以看到AppLocker组策略配置项。在其下有三项配置规则，分别是：可执行规则、Windows安装程序规则、脚本规则。(图1)

点击“可执行规则”组策略项，默认情况下规则为空白。在有窗格中单击鼠标右键选择“创建默认规则”可以生成三条规则，即允许所有用户运行“Program Files”文件夹中的应用程序;允许所有用户运行“Windows”文件夹中的应用程序;允许Administrator用户运行所有的应用程序。为了演示效果，我们双击打开第三条规则点选“拒绝”确定退出。然后打开命令提示符运行gpupdate更新组策略个，最后我们运行Bginfo.exe程序，可以看到弹出警告对话框，应用程序运行被禁止。(图2)