Windows7之AppLocker win7 applocker教程

AppLocker作为Windows7和WindowsServer2008R2中的新功能，它取代了软件限制策略功能。AppLocker包含减少管理开销的新功能和扩展（如可执行文件、脚本、Windows Installer 文件和DLL），帮助管理员控制用户如何访问和使用文件。使用 AppLocker，我们可以：

1、基于从数字签名派生的文件属性（包括发布者、产品名称、文件名和文件版本）定义规则。例如，可以根据更新过程中持续存在的发布者属性创建规则，或者为特定版本的文件创建规则。
2、向安全组或单个用户分配规则。
3、创建规则的例外。例如，可以创建一个规则，允许除注册表编辑器（Regedit.exe）之外的所有 Windows进程运行。
4、使用仅审核模式部署策略并了解其影响，然后再强制该策略。
5、导入和导出规则。导入和导出影响整个策略。例如，如果导出策略，则会导出所有规则集合中的所有规则，包括规则集合的强制设置。如果导入策略，则会覆盖现有策略。
6、使用 AppLocker PowerShell cmdlet 简化 AppLocker 规则的创建和管理。

下表将AppLocker 和软件限制策略进行了对比。

AppLocker 在所有版本的 WindowsServer2008R2、Windows7旗舰版 和 Windows7 企业版 中可用。AppLocker允许管理员控制下列类型的应用程序：可执行文件（.exe 和 .com）、脚本（.js、.ps1、.vbs、.cmd 和bat）、Windows Installer 文件（.msi 和 .msp）和 DLL 文件（.dll 和 .ocx）。

下面将通过实验来演示Applock

本实验用到一台安装有Windows7旗舰版的计算机。实验任务是设置允许所有用户使用QQ 2010，但禁止使用QQ游戏。

注意在实际环境，我们一般在装有2008R2的域控制器上，针对不同的用户或计算机建立OU，然后进行部署。

一、运行GPRDIT.msc或secpol.msc，进行如下操作
1、新建可执行规则（允许运行QQ的规则）。

发布者：此条件根据应用程序的数字签名和扩展属性来标识应用程序。数字签名包含有关创建此应用程序的公司（发布者）的信息。从二进制资源获取的扩展属性包含产品（应用程序是其一部分）的名称和应用程序版本号。当发布者条件选择引用文件时，向导会创建指定发布者、产品、文件名和版本号的规则。可以通过向下移动滑块或在产品、文件名或版本号字段中使用通配符(*) 使规则更通用

AppLocker 使用 Windows 中目录的路径变量。下表详细说明了这些路径变量。

文件哈希：选择文件哈希条件时，系统会计算已标识文件的加密哈希

新建立禁止运行QQ游戏的哈希规则。由于文件是可以重命名的，在实际中可能针对文件名建立了规则，但将文件重命名时可能会发生规则无效的情况。由于文件的哈希值是唯一，所以在此使用创建哈希规则。

二、启动应用程序标识服务
必须使用服务管理单元控制台启动应用程序标识服务，之后才能强制执行 AppLocker 策略。
依次单击「开始」、“管理工具”和“服务”。
在服务管理单元控制台中，双击“应用程序标识”。
在“应用程序标识属性”对话框中，依次单击“启动类型”列表中的“自动”、“开始”和“确定”。

三、更新组策略：运行Gpupdate /force

四、测试

运行QQ2010能成功运行；直接运行QQ游戏和将文件名重命名均不能运行；

爱华网本文地址 » http://www.aihuau.com/a/25101012/112962.html