引言：AppLocker是一項(xiàng)所謂“應(yīng)用程序控制策略”的安全功能，利用AppLocker，網(wǎng)管員可以方便地配置控制用戶在計(jì)算機(jī)上可運(yùn)行哪些程序、安裝哪些文件、運(yùn)行哪些腳本。由于AppLocker是基于組策略管理和配置的因此我們很容易將其部署到整個(gè)網(wǎng)絡(luò)環(huán)境中。

AppLocker最早出現(xiàn)在Windows 7系統(tǒng)中，是一項(xiàng)所謂“應(yīng)用程序控制策略”的安全功能。利用AppLocker，管理員可以方便地配置控制用戶在計(jì)算機(jī)上可運(yùn)行哪些程序、安裝哪些文件、運(yùn)行哪些腳本。

由 于AppLocker是基于組策略管理和配置的，因此我們很容易將其部署到整個(gè)網(wǎng)絡(luò)環(huán)境中。AppLocker同樣能夠在Windows Server 2008 R2中發(fā)揮作用。

在Windows Server 2012 R2中配置AppLocker

AppLocker替代了之前版本的軟件約束策略SRP（Software Restriction Policies），在配置方面也更為簡(jiǎn)便。這里筆者介紹的是在本地計(jì)算機(jī)上對(duì)AppLocker進(jìn)行配置，但是大家通過(guò)活動(dòng)目錄組策略ADGP（Active Directory Group Policy）很容易應(yīng)用到多部機(jī)器之上。具體操作方式如下。

1.登 錄Windows Server 2012 R2，以管理員身份啟動(dòng)控制臺(tái)程序MMC。

2.從列表中選擇組策略Group Policy后點(diǎn)擊“添加”，然后從快照（snap-ins）列表中選擇服務(wù)Services，點(diǎn)擊“OK”。

3.在MMC控制臺(tái)左側(cè)，依次擴(kuò)展開項(xiàng)目Local Computer Policy→Windows Setting s,Security Settings→Application Control Policies→ AppLocker，右擊執(zhí)行規(guī)則Executable Rules后從菜單中選擇生成默認(rèn)規(guī)則Create Default Rules，即可以看到可運(yùn)行所有文件的管理員組Administrators Group成員。

4.重復(fù)上述操作，即可設(shè)置系統(tǒng)安裝，規(guī)則Windows Installer Rules，腳本規(guī)則 Script Rules，以及應(yīng)用包件規(guī)則Packaged app Rules。

利用AppLocker阻止用戶安裝程序?qū)嵗?/h2>

比如管理員不允許用戶擅自安裝瀏覽器Google Chrome，為此，管理員首先下載其安裝包Google Chrome.msi，然后執(zhí)行以下步驟。

1.在MMC控制臺(tái)點(diǎn)擊左側(cè)的安裝規(guī)則Windows Installer Rules，然 后 右擊“允許所有數(shù)字簽名的Windows安裝程序”（All digitally signed Windows Installer files）發(fā)布規(guī)則Publisher后，選擇“屬性”（Properties）。

2.在“所有屬性”對(duì)話框內(nèi)點(diǎn)擊“例外”（Exceptions）欄目，確?！鞍l(fā)布”選項(xiàng)選中后點(diǎn)擊“添加”，然 后通過(guò)瀏覽方式找到Google Chrome說(shuō)明文件。

3.在“打開”對(duì)話框中選中.msi文件后點(diǎn)擊“打開”，在“發(fā)布例外”對(duì)話框移動(dòng)選中Google Chrome，點(diǎn)擊“OK”。

4.在MMC窗口右點(diǎn)AppLocker后選擇“屬性”，在“強(qiáng)制”（Enforcement ）欄目中勾選相應(yīng)規(guī)則后點(diǎn)擊“OK”。

5.為了讓設(shè)置生效，在MMC控制臺(tái)點(diǎn)擊面板左側(cè)的“服務(wù)”（Services ），在服務(wù)列表中定位 Application Identity，雙擊之。

圖1 程序運(yùn)行被AppLocker阻止界面

6.在屬性對(duì)話框內(nèi)的“通用”欄目下，將啟動(dòng)類型服務(wù)設(shè)置為自動(dòng)方式（Automatic），在服務(wù)狀態(tài)下點(diǎn)擊“啟用”（Start）后點(diǎn)擊“OK”。

經(jīng)過(guò)上述設(shè)置，當(dāng)用戶試圖安裝谷歌瀏覽器時(shí)，就會(huì)被AppLocker阻止，顯示信息如圖1所示。

經(jīng)驗(yàn)總結(jié)

AppLocker能夠?yàn)橄到y(tǒng)管理帶來(lái)很多便利，通過(guò)使用動(dòng)態(tài)規(guī)則，可以阻止不同類型的影響系統(tǒng)安全的應(yīng)用程序（從游戲到惡意軟件等）侵入，還可以僅允許批準(zhǔn)的應(yīng)用程序在網(wǎng)絡(luò)中執(zhí)行。