Windows 7的AppLocker功能解析

2、修改默认规则

AppLocker的默认规则方便了管理员快速部署策略，同时也可以根据需要对默认策略进行修改。右键点击相应的默认策略选择“属性”打开其设置面板，在“常规”选项卡下可设置规则类型、规则名称、规则描述、与规则相关的用户或者组;在“路径”选项卡下可设置改变该规则对应的路径(默认是所有路径);在“例外”选项卡下设置规则的例外项，系统提供了根据应用程序的发行者、程序路径及其文件hash值进行排除。(图3)

3、创建新规则

除了默认规则外，AppLocker最吸引管理员的是其可以定制应用程序限制策略。同样的以“可执行规则”为例我们创建一个自定义策略，右键点击“可执行规则”组策略项选择“创建新规则”弹出“创建可执行规则”向导。单击“下一步”进入“权限”设置页面，在此页面可以设置规则类型(允许或者拒绝)，指定规则针对的用户或者组。单击“下一步”进入“条件”设置页面，在此页面中可依据程序的发行者、路径、文件哈希值作为条件设置规则。我们默认选择“发行者”单击“下一步”进入具体的设置页面。单击“浏览”按钮找到目标应用程序(例如C:\Program Files\Internet Explorer\iexplore.exe，该应用程序应该具有完毕的信息，我们用它为模板进行规则的设置 )可以看到刚才还是灰色的选项都已经激活。默认情况下滑竿处于最下方，就说明该该规则就是针对版本为8的iexplore.exe。拖动滑竿到“文件名” 该规则的范围比上面大了，文件版本显示为*，意为该规则适用于所有版本的iexplore.exe。依次类推，滑竿每上升一格限制就更小一些，规则的范围就扩大一些。比如，我们将滑竿拖动到“发行者”上时，则该规则适用于所有的微软程序。当滑竿拖动最上边(Any publisher)是，说明该规则适用的范围是所有的应用程序。需要说明的是，上面的各项条件都只是个范例，在实战中我们可以根据需要进行修改，创建我们所需的规则。最后依据向导，设置规则的例外项并为规则起名等，这样就完成了一个应用程序规则的创建。(图4)

4、其他规则

和可执行规则类似，管理员可以创建“Windows 安装程序规则”和“脚本规则”。与“可执行规则”一样不仅可快速创建默认规则，也可根据需要创建自定义的规则。通过“Windows 安装程序规则”管理员可限制、规范用户安装使用应用程序。需要说明的是，通过设置“文件哈希”条件，可以保证用户安装可靠的应用程序(只能是msi的安装程序)，在很多程度上杜绝了因为私自安装而使系统中毒。“脚本规则”的创建和使用和上面的类似，在系统管理中可通过该策略保证运行可靠的脚本，并杜绝危险脚本的运行。(图5)

5、扩展延伸

AppLocker作为Windows 7新增的组策略项在系统管理中是非常有用的，增强了微软系统对应用程序的能力提升了安全性，同时赋予管理者更多的自由。除了AppLocker之外，在组策略管理器中还有两处与软件管理相关的项值得大家注意：一个是“软件限制策略”(在“计算机配置” →“Windows 设置”→“安全设置”下);另外一处是“不要运行指定的Windows应用程序”和“只运行指定的Windows应用程序”(在“用户配置”→“管理模板”→“系统”下)。相信，只要灵活应用这三个组策略项Windows 7的应用程序安全就会得到进一步的提升。