在我們開始建立自定義的各種新應用過程控制策略之前,是否需要預先完成一些基本設置?的確需要的!首先請在“群組策略編輯器”界面點選“安全性設置→Security Settings→Application Control Policies→ AppLocker”項 目節(jié)點上。接著點選位于中間內(nèi)容頁面中的“Configure rule enforcement”來設置應用程序策略的屬性繼續(xù)。
如圖1所示,接下來將會開啟“AppLocker Properties”頁面。首先在“Enforcement”頁面中,分別設置針對應用程序執(zhí)行規(guī)則、Windows安裝程序(MSI、MSP)規(guī)則、手稿文件程序(Script)規(guī)則的組態(tài)配置。您可以選擇要強制套用規(guī)則設置(Enforce)還是僅進行稽核事件的記錄,如果以后需要管理這三種類型的策略設置,需要將它們都設置為“Enforce”。
切 換 到“Advanced”頁面中,在此您可以決定是否要讓針對DLL檔案規(guī)則的管理功能設置項目,出現(xiàn)在應用程序策略管理接口中,如果需要的話,請將“Enable the DLL rule collection”項目勾選即可,在默認狀態(tài)下是沒有勾選的。這是因為如果在后續(xù)的管理中,若有不當?shù)囊?guī)則配置,可能會導致系統(tǒng)無法正常運作,并且會影響系統(tǒng)執(zhí)行效果。
如果您想要針對目前已經(jīng)安裝在客戶端Windows 7上面的應用程序,進行存取管理上的限制,請按照以下的操作進行設置。首先在“群組策略編輯器”接口中點選“安全性設置→Security Settings→Application Control Policies→AppLocker→ Executable Rules”項,在動作窗口中點選“Create New Rule”。接著將會開啟向?qū)гO置頁面。首先請在“Permissions”頁面中 決 定此規(guī)則的建立,是基于允許(Allow)執(zhí)行還是拒絕(Deny)執(zhí)行之上。在此我們選取“Deny”來作為范例,并且必須點選“Select”按鈕來設置規(guī)則套用的對象(用戶或群組)。點選“下一步”繼續(xù)。
圖1 AppLocker屬性設置
圖2 以應用程序發(fā)行信息為例
在“Conditions” 頁 面中,必須選擇準備用來設置應用過程控制策略的方法,分別有應用程序發(fā)行信息規(guī) 則(Publisher)、路徑 規(guī) 則(Path)以及檔案哈希規(guī)則(File hash)。其中Publisher方式將會根據(jù)應用程序發(fā)行時的各類字段信息來作為條件判斷(例如:產(chǎn)品名稱),而Path規(guī)則是可以針對特定的檔案或整個文件夾路徑來作為條件判斷,至于File hash方式,則可以在一個應用程序沒有相關(guān)發(fā)行信息時,來作為條件判斷的最佳選擇。在此我們選取Publisher,并且點選“下一步”繼續(xù)。
在“Publisher”頁面中,如圖2所示,首先您必須點選“Browse”按鈕來加載所要管理的應用程序執(zhí)行文檔。筆者以Outlook 2007執(zhí)行程序為例,接下來便可以看到四大字段的相關(guān)發(fā)行信息,分別是文檔版本(File version)、文件名(File name)、產(chǎn)品名稱(Product name)、發(fā) 行 者(Publisher)。最后,您便可以根據(jù)條件判斷的需求,來調(diào)整其精確度即可。點選“下一步”繼續(xù)。
在“Exceptions”頁面中,您可以額外設置例外清單。舉例來說,我們雖然設置不允許執(zhí)行Outlook 2007應用程序,但是如果該程序是安裝在某一個特定的路徑下時,則將允許它可以正常執(zhí)行。根據(jù)這樣的需求,我們便可以在這個頁面中新增一個例外的路徑(Path)規(guī)則。
最 后,在“Name and Description”頁面中,必須設置這項規(guī)則的識別名稱以及選用設置的說明信息。再次回到了主管理頁面之后,便可以看到在第一次建立規(guī)則時,系統(tǒng)會詢問我們是否要建立默認的規(guī)則設置,在此建議您務必選擇“是”,主要是因為這默認的三條規(guī)則,主要目的在確保系統(tǒng)管理員以及所有用戶,都可以正常存取默認位于C:Windows與C:Program Files路徑下的程序。事實上,對于后續(xù)我們所要建立的其他規(guī)則,系統(tǒng)也都會幫助我們自動建立默認的三條規(guī)則。
注意:當設置為“拒絕(Deny)”的規(guī)則遇到了設置為“允許(Allow)”的規(guī)則時,系統(tǒng)將會以“拒絕(Deny)”的規(guī)則為優(yōu)先。
完成以上應用程序執(zhí)行規(guī)則的建立之后,接下來我們便可以在Windows 7的客戶端計算機上,開啟命令提示字符,然后輸入gpupdate /target:computer /force命令參數(shù)(或是直接重新啟動),來立即進行計算機策略的更新與套用。當Windows 7客戶端成功套用了所設置的群組策略之后,一旦使用者去執(zhí)行了受管理的應用程序時,將會出現(xiàn)類似此應用程序被群組策略封鎖的錯誤信息而無法成功開啟。