我们发现Windows 7增加了不少新功能,比如:XP模式和Bitlock To Go,诚然,这些功能可以使得用户的升级更加方便、数据安全性更高,但是,管理员却还在寻找多用户环境下灵活限制程序运行的工具 。以往的组策略经过复杂操作也能实现这一目的,而Windows 7则可以让管理员从繁重的劳动中解脱出来了,它的AppLocker(应用程序控制策略)可以很方便地配置多用户的程序、文件、脚本运行的策略 。AppLocker基于组策略管理和配置,这更加适用于网络环境的部署 。
一、启用AppLocker有讲究
在进行AppLocker策略配置前,我们需要做必需的准备工作 。我们在开始菜单的搜索框输入“Services.msc命令启动服务窗口,接着我们在该窗口查找到Application Identity服务,该服务确定并验证应用程序的标识,禁用此服务将阻止强制执行 AppLocker,默认情况下该服务时手动并停止的,因此,只有启动了该服务才能正常使用AppLocker策略,我们可以将其“启动类型设置为“自动,再点击“启动按钮即可启动成功了(如图1) 。
做好以上的准备工作,我们就可以在开始菜单搜索框输入“Gpedit.msc命令启动组策略编辑器来设置AppLocker策略了 。我们可以在组策略编辑器依次进入“计算机配置-Windows设置-安全设置-应用程序控制策略-AppLocker菜单来设置(如图2) 。
二、限制用户使用某个程序
这里,我们就通过AppLocker来建立限制用户使用某个程序的策略吧 。比如:我们希望王蓉这个用户不能使用Maxthon浏览器 。我们可以这样来做 。首先,在左侧选择“可执行规则,在右侧空白窗口处右键单击选择“创建新规则命令,接着会弹出“创建可执行规则的窗口(如图3),只需点击“下一步按钮即可 。
接着在窗口中选择操作为“拒绝,点击“用户或组下的“选择按钮,在弹出的“选择用户或组窗口点击“高级按钮,在弹出窗口点击“立即查找按钮,在下面找到王蓉用户确定即可(如图4) 。
回到原来的窗口,点击“下一步按钮(如图5) 。
在创建主要条件步骤,我们选择“发布者条件(Maxthon已经由软件发布者签名,否则可以考虑选择“文件哈希条件,如图6),点击“下一步按钮 。
在出现的窗口,这时我们可以限制用户使用Maxthon2.5.0.0版本,而不能限制用户使用其他的版本,我们只需将“文件版本旁的滑竿上移一格到“文件名即可限制使用Maxthon的任意版本了(如图7) 。
如果Maxthon更改了程序名,这个限制依然会失效,不过,我们再将滑竿上移到“产品名就可以继续限制了(如图8) 。
同理,当产品名变化时,我们再将滑竿上移到“发布者就可以继续保持限制了,一般情况滑竿上移到“文件名即可,点击“下一步按钮;接着,我们点击“创建按钮即可完成策略建立了,规则建立过程中会建议同时创建默认规则(当默认规则未建立时,如图9),确定即可 。
那么,创建了该规则后,王蓉用户登录系统运行Maxthon是否会生效呢?我们来测试一下吧 。运行Maxthon时,弹出了禁止运行的窗口(如图10),这说明AppLocker已经通过组策略生效了 。
三、限制用户安装程序
为了防止用户随意安装程序,AppLocker也有相应的策略设置 。我们打算让所有用户都不能安装cooliris这个浏览器插件 。不过,该策略只能禁止用户安装.msi和.msp的程序 。我们可以选择“Windows安装程序规则,然后右键单击右侧的窗口选择“创建新规则,同样会打开一个“创建Windows安装程序规则窗口,点击“下一步按钮;我们设置操作为“拒绝,“用户或组为“Everyone,点击“下一步按钮(如图11) 。
推荐阅读
- 取得Win7文件的管理员权限
- win7修复excel损坏文件的方法
- 没有IE的Win7E版如何下载浏览器?
- 解决win7出现网页错误代码103的方法
- 2020年win7还能用吗
- 修改win7浏览器主页的教程
- Windows 7系统中再虚拟一个Windows 7
- 打开mht文件的方法
- 利用CAD编辑器实现多页打印的教程
- Windows 7主题包的更换方法详解