引言:AppLocker是一項(xiàng)所謂“應(yīng)用程序控制策略”的安全功能,利用AppLocker,網(wǎng)管員可以方便地配置控制用戶在計(jì)算機(jī)上可運(yùn)行哪些程序、安裝哪些文件、運(yùn)行哪些腳本。由于AppLocker是基于組策略管理和配置的因此我們很容易將其部署到整個(gè)網(wǎng)絡(luò)環(huán)境中。
AppLocker最早出現(xiàn)在Windows 7系統(tǒng)中,是一項(xiàng)所謂“應(yīng)用程序控制策略”的安全功能。利用AppLocker,管理員可以方便地配置控制用戶在計(jì)算機(jī)上可運(yùn)行哪些程序、安裝哪些文件、運(yùn)行哪些腳本。
由 于AppLocker是基于組策略管理和配置的,因此我們很容易將其部署到整個(gè)網(wǎng)絡(luò)環(huán)境中。AppLocker同樣能夠在Windows Server 2008 R2中發(fā)揮作用。
AppLocker替代了之前版本的軟件約束策略SRP(Software Restriction Policies),在配置方面也更為簡(jiǎn)便。這里筆者介紹的是在本地計(jì)算機(jī)上對(duì)AppLocker進(jìn)行配置,但是大家通過(guò)活動(dòng)目錄組策略ADGP(Active Directory Group Policy)很容易應(yīng)用到多部機(jī)器之上。具體操作方式如下。
1.登 錄Windows Server 2012 R2,以管理員身份啟動(dòng)控制臺(tái)程序MMC。
2.從列表中選擇組策略Group Policy后點(diǎn)擊“添加”,然后從快照(snap-ins)列表中選擇服務(wù)Services,點(diǎn)擊“OK”。
3.在MMC控制臺(tái)左側(cè),依次擴(kuò)展開項(xiàng)目Local Computer Policy→Windows Setting s,Security Settings→Application Control Policies→ AppLocker,右擊執(zhí)行規(guī)則Executable Rules后從菜單中選擇生成默認(rèn)規(guī)則Create Default Rules,即可以看到可運(yùn)行所有文件的管理員組Administrators Group成員。
4.重復(fù)上述操作,即可設(shè)置系統(tǒng)安裝,規(guī)則Windows Installer Rules,腳本規(guī)則 Script Rules,以及應(yīng)用包件規(guī)則Packaged app Rules。
比如管理員不允許用戶擅自安裝瀏覽器Google Chrome,為此,管理員首先下載其安裝包Google Chrome.msi,然后執(zhí)行以下步驟。
1.在MMC控制臺(tái)點(diǎn)擊左側(cè)的安裝規(guī)則Windows Installer Rules,然 后 右擊“允許所有數(shù)字簽名的Windows安裝程序”(All digitally signed Windows Installer files)發(fā)布規(guī)則Publisher后,選擇“屬性”(Properties)。
2.在“所有屬性”對(duì)話框內(nèi)點(diǎn)擊“例外”(Exceptions)欄目,確?!鞍l(fā)布”選項(xiàng)選中后點(diǎn)擊“添加”,然 后通過(guò)瀏覽方式找到Google Chrome說(shuō)明文件。
3.在“打開”對(duì)話框中選中.msi文件后點(diǎn)擊“打開”,在“發(fā)布例外”對(duì)話框移動(dòng)選中Google Chrome,點(diǎn)擊“OK”。
4.在MMC窗口右點(diǎn)AppLocker后選擇“屬性”,在“強(qiáng)制”(Enforcement )欄目中勾選相應(yīng)規(guī)則后點(diǎn)擊“OK”。
5.為了讓設(shè)置生效,在MMC控制臺(tái)點(diǎn)擊面板左側(cè)的“服務(wù)”(Services ),在服務(wù)列表中定位 Application Identity,雙擊之。
圖1 程序運(yùn)行被AppLocker阻止界面
6.在屬性對(duì)話框內(nèi)的“通用”欄目下,將啟動(dòng)類型服務(wù)設(shè)置為自動(dòng)方式(Automatic),在服務(wù)狀態(tài)下點(diǎn)擊“啟用”(Start)后點(diǎn)擊“OK”。
經(jīng)過(guò)上述設(shè)置,當(dāng)用戶試圖安裝谷歌瀏覽器時(shí),就會(huì)被AppLocker阻止,顯示信息如圖1所示。
AppLocker能夠?yàn)橄到y(tǒng)管理帶來(lái)很多便利,通過(guò)使用動(dòng)態(tài)規(guī)則,可以阻止不同類型的影響系統(tǒng)安全的應(yīng)用程序(從游戲到惡意軟件等)侵入,還可以僅允許批準(zhǔn)的應(yīng)用程序在網(wǎng)絡(luò)中執(zhí)行。