應用過程控制策略基本設置

在我們開始建立自定義的各種新應用過程控制策略之前，是否需要預先完成一些基本設置？的確需要的！首先請在“群組策略編輯器”界面點選“安全性設置→Security Settings→Application Control Policies→ AppLocker”項 目節(jié)點上。接著點選位于中間內(nèi)容頁面中的“Configure rule enforcement”來設置應用程序策略的屬性繼續(xù)。

如圖1所示，接下來將會開啟“AppLocker Properties”頁面。首先在“Enforcement”頁面中，分別設置針對應用程序執(zhí)行規(guī)則、Windows安裝程序（MSI、MSP）規(guī)則、手稿文件程序（Script）規(guī)則的組態(tài)配置。您可以選擇要強制套用規(guī)則設置（Enforce）還是僅進行稽核事件的記錄，如果以后需要管理這三種類型的策略設置，需要將它們都設置為“Enforce”。

切 換 到“Advanced”頁面中，在此您可以決定是否要讓針對DLL檔案規(guī)則的管理功能設置項目，出現(xiàn)在應用程序策略管理接口中，如果需要的話，請將“Enable the DLL rule collection”項目勾選即可，在默認狀態(tài)下是沒有勾選的。這是因為如果在后續(xù)的管理中，若有不當?shù)囊?guī)則配置，可能會導致系統(tǒng)無法正常運作，并且會影響系統(tǒng)執(zhí)行效果。

應用程序執(zhí)行規(guī)則的設置

如果您想要針對目前已經(jīng)安裝在客戶端Windows 7上面的應用程序，進行存取管理上的限制，請按照以下的操作進行設置。首先在“群組策略編輯器”接口中點選“安全性設置→Security Settings→Application Control Policies→AppLocker→ Executable Rules”項，在動作窗口中點選“Create New Rule”。接著將會開啟向?qū)гO置頁面。首先請在“Permissions”頁面中 決 定此規(guī)則的建立，是基于允許（Allow）執(zhí)行還是拒絕（Deny）執(zhí)行之上。在此我們選取“Deny”來作為范例，并且必須點選“Select”按鈕來設置規(guī)則套用的對象（用戶或群組）。點選“下一步”繼續(xù)。

圖1 AppLocker屬性設置

圖2 以應用程序發(fā)行信息為例

在“Conditions” 頁 面中，必須選擇準備用來設置應用過程控制策略的方法，分別有應用程序發(fā)行信息規(guī) 則（Publisher）、路徑 規(guī) 則（Path）以及檔案哈希規(guī)則（File hash）。其中Publisher方式將會根據(jù)應用程序發(fā)行時的各類字段信息來作為條件判斷（例如：產(chǎn)品名稱），而Path規(guī)則是可以針對特定的檔案或整個文件夾路徑來作為條件判斷，至于File hash方式，則可以在一個應用程序沒有相關(guān)發(fā)行信息時，來作為條件判斷的最佳選擇。在此我們選取Publisher，并且點選“下一步”繼續(xù)。

在“Publisher”頁面中，如圖2所示，首先您必須點選“Browse”按鈕來加載所要管理的應用程序執(zhí)行文檔。筆者以Outlook 2007執(zhí)行程序為例，接下來便可以看到四大字段的相關(guān)發(fā)行信息，分別是文檔版本（File version）、文件名（File name）、產(chǎn)品名稱（Product name）、發(fā) 行 者（Publisher）。最后，您便可以根據(jù)條件判斷的需求，來調(diào)整其精確度即可。點選“下一步”繼續(xù)。

在“Exceptions”頁面中，您可以額外設置例外清單。舉例來說，我們雖然設置不允許執(zhí)行Outlook 2007應用程序，但是如果該程序是安裝在某一個特定的路徑下時，則將允許它可以正常執(zhí)行。根據(jù)這樣的需求，我們便可以在這個頁面中新增一個例外的路徑（Path）規(guī)則。

最 后，在“Name and Description”頁面中，必須設置這項規(guī)則的識別名稱以及選用設置的說明信息。再次回到了主管理頁面之后，便可以看到在第一次建立規(guī)則時，系統(tǒng)會詢問我們是否要建立默認的規(guī)則設置，在此建議您務必選擇“是”，主要是因為這默認的三條規(guī)則，主要目的在確保系統(tǒng)管理員以及所有用戶，都可以正常存取默認位于C:Windows與C:Program Files路徑下的程序。事實上，對于后續(xù)我們所要建立的其他規(guī)則，系統(tǒng)也都會幫助我們自動建立默認的三條規(guī)則。

注意：當設置為“拒絕（Deny）”的規(guī)則遇到了設置為“允許（Allow）”的規(guī)則時，系統(tǒng)將會以“拒絕（Deny）”的規(guī)則為優(yōu)先。

完成以上應用程序執(zhí)行規(guī)則的建立之后，接下來我們便可以在Windows 7的客戶端計算機上，開啟命令提示字符，然后輸入gpupdate /target:computer /force命令參數(shù)（或是直接重新啟動），來立即進行計算機策略的更新與套用。當Windows 7客戶端成功套用了所設置的群組策略之后，一旦使用者去執(zhí)行了受管理的應用程序時，將會出現(xiàn)類似此應用程序被群組策略封鎖的錯誤信息而無法成功開啟。