Windows 7的AppLocker功能解析

AppLocker即所谓的“应用程序控制策略,是Windows 7系统中新增加的一项安全功能 。利用AppLocker管理员可以非常方便地进行配置,以实现用户可在计算机上可运行哪些程序、安装哪些文件、运行哪些脚本 。由于AppLocker是基于组策略管理和配置的,因此我们可以非常方便地将其部署到整个网络环境中,可谓一劳永逸 。下面笔者结合实例对这一功能进行测试和解析 。
1、牛刀小试
我们以管理员身份登录系统,默认情况下该用户可以运行所有的程序、脚本和没有限制地进行软件的安装 。下面我们进行一个演示:在D盘根目录下有一个名为Bginfo.exe的程序,毫无疑问在没有部署AppLocker前它可以运行 。然后我们部署AppLocker看看其效果:执行“开始→ “运行,输入pedit.msc打开组策略编辑器 。在左侧的窗格中依次定位到“计算机配置 →“Windows 设置→“安全设置→“应用程序控制,可以看到AppLocker组策略配置项 。在其下有三项配置规则,分别是:可执行规则、Windows安装程序规则、脚本规则 。(图1)
点击“可执行规则组策略项,默认情况下规则为空白 。在有窗格中单击鼠标右键选择“创建默认规则可以生成三条规则,即允许所有用户运行“Program Files文件夹中的应用程序;允许所有用户运行“Windows文件夹中的应用程序;允许Administrator用户运行所有的应用程序 。为了演示效果,我们双击打开第三条规则点选“拒绝确定退出 。然后打开命令提示符运行gpupdate更新组策略个,最后我们运行Bginfo.exe程序,可以看到弹出警告对话框,应用程序运行被禁止 。(图2)
2、修改默认规则
AppLocker的默认规则方便了管理员快速部署策略,同时也可以根据需要对默认策略进行修改 。右键点击相应的默认策略选择“属性打开其设置面板,在“常规选项卡下可设置规则类型、规则名称、规则描述、与规则相关的用户或者组;在“路径选项卡下可设置改变该规则对应的路径(默认是所有路径);在“例外选项卡下设置规则的例外项,系统提供了根据应用程序的发行者、程序路径及其文件hash值进行排除 。(图3)
3、创建新规则
除了默认规则外,AppLocker最吸引管理员的是其可以定制应用程序限制策略 。同样的以“可执行规则为例我们创建一个自定义策略,右键点击“可执行规则组策略项选择“创建新规则弹出“创建可执行规则向导 。单击“下一步进入“权限设置页面,在此页面可以设置规则类型(允许或者拒绝),指定规则针对的用户或者组 。单击“下一步进入“条件设置页面,在此页面中可依据程序的发行者、路径、文件哈希值作为条件设置规则 。我们默认选择“发行者单击“下一步进入具体的设置页面 。单击“浏览按钮找到目标应用程序(例如C:/Program Files/Internet Explorer/IExplore.exe,该应用程序应该具有完毕的信息,我们用它为模板进行规则的设置 )可以看到刚才还是灰色的选项都已经激活 。默认情况下滑竿处于最下方,就说明该该规则就是针对版本为8的iexplore.exe 。拖动滑竿到“文件名 该规则的范围比上面大了,文件版本显示为*,意为该规则适用于所有版本的iexplore.exe 。依次类推,滑竿每上升一格限制就更小一些,规则的范围就扩大一些 。比如,我们将滑竿拖动到“发行者上时,则该规则适用于所有的微软程序 。当滑竿拖动最上边(Any publisher)是,说明该规则适用的范围是所有的应用程序 。需要说明的是,上面的各项条件都只是个范例,在实战中我们可以根据需要进行修改,创建我们所需的规则 。最后依据向导,设置规则的例外项并为规则起名等,这样就完成了一个应用程序规则的创建 。(图4)

推荐阅读