AppLocker作為Windows7和WindowsServer2008R2中的新功能，它取代了軟件限制策略功能。AppLocker包含減少管理開銷的新功能和擴展（如可執(zhí)行文件、腳本、Windows Installer 文件和DLL），幫助管理員控制用戶如何訪問和使用文件。使用 AppLocker，我們可以：

1、基于從數(shù)字簽名派生的文件屬性（包括發(fā)布者、產(chǎn)品名稱、文件名和文件版本）定義規(guī)則。例如，可以根據(jù)更新過程中持續(xù)存在的發(fā)布者屬性創(chuàng)建規(guī)則，或者為特定版本的文件創(chuàng)建規(guī)則。
2、向安全組或單個用戶分配規(guī)則。
3、創(chuàng)建規(guī)則的例外。例如，可以創(chuàng)建一個規(guī)則，允許除注冊表編輯器（Regedit.exe）之外的所有 Windows進程運行。
4、使用僅審核模式部署策略并了解其影響，然后再強制該策略。
5、導(dǎo)入和導(dǎo)出規(guī)則。導(dǎo)入和導(dǎo)出影響整個策略。例如，如果導(dǎo)出策略，則會導(dǎo)出所有規(guī)則集合中的所有規(guī)則，包括規(guī)則集合的強制設(shè)置。如果導(dǎo)入策略，則會覆蓋現(xiàn)有策略。
6、使用 AppLocker PowerShell cmdlet 簡化 AppLocker 規(guī)則的創(chuàng)建和管理。

下表將AppLocker 和軟件限制策略進行了對比。

AppLocker 在所有版本的 WindowsServer2008R2、Windows7旗艦版 和 Windows7 企業(yè)版 中可用。AppLocker允許管理員控制下列類型的應(yīng)用程序：可執(zhí)行文件（.exe 和 .com）、腳本（.js、.ps1、.vbs、.cmd 和bat）、Windows Installer 文件（.msi 和 .msp）和 DLL 文件（.dll 和 .ocx）。

下面將通過實驗來演示Applock

本實驗用到一臺安裝有Windows7旗艦版的計算機。實驗任務(wù)是設(shè)置允許所有用戶使用QQ 2010，但禁止使用QQ游戲。

注意在實際環(huán)境，我們一般在裝有2008R2的域控制器上，針對不同的用戶或計算機建立OU，然后進行部署。

一、運行GPRDIT.msc或secpol.msc，進行如下操作
1、新建可執(zhí)行規(guī)則（允許運行QQ的規(guī)則）。

發(fā)布者：此條件根據(jù)應(yīng)用程序的數(shù)字簽名和擴展屬性來標(biāo)識應(yīng)用程序。數(shù)字簽名包含有關(guān)創(chuàng)建此應(yīng)用程序的公司（發(fā)布者）的信息。從二進制資源獲取的擴展屬性包含產(chǎn)品（應(yīng)用程序是其一部分）的名稱和應(yīng)用程序版本號。當(dāng)發(fā)布者條件選擇引用文件時，向?qū)?chuàng)建指定發(fā)布者、產(chǎn)品、文件名和版本號的規(guī)則?？梢酝ㄟ^向下移動滑塊或在產(chǎn)品、文件名或版本號字段中使用通配符(*) 使規(guī)則更通用

AppLocker 使用 Windows 中目錄的路徑變量。下表詳細說明了這些路徑變量。

文件哈希：選擇文件哈希條件時，系統(tǒng)會計算已標(biāo)識文件的加密哈希

新建立禁止運行QQ游戲的哈希規(guī)則。由于文件是可以重命名的，在實際中可能針對文件名建立了規(guī)則，但將文件重命名時可能會發(fā)生規(guī)則無效的情況。由于文件的哈希值是唯一，所以在此使用創(chuàng)建哈希規(guī)則。

二、啟動應(yīng)用程序標(biāo)識服務(wù)
必須使用服務(wù)管理單元控制臺啟動應(yīng)用程序標(biāo)識服務(wù)，之后才能強制執(zhí)行 AppLocker 策略。
依次單擊「開始」、“管理工具”和“服務(wù)”。
在服務(wù)管理單元控制臺中，雙擊“應(yīng)用程序標(biāo)識”。
在“應(yīng)用程序標(biāo)識屬性”對話框中，依次單擊“啟動類型”列表中的“自動”、“開始”和“確定”。

三、更新組策略：運行Gpupdate /force

四、測試

運行QQ2010能成功運行；直接運行QQ游戲和將文件名重命名均不能運行；

愛華網(wǎng)本文地址 » http://www.klfzs.com/a/25101012/112962.html