Windows 7给程序加锁妙用.docx

Windows 7给程序加锁妙用教程贴士：在Windows 7中已经有更加实用的AppLocker 了，中文名称是应用程序控制策略。那么，我 们怎么来使用这个安全功能呢？Windows 7作为一款万众瞩目的下一代主流操作系统注定将成为划时代的产品。微软除 了充分吸取了开发Windows Vista的经验教训，还增加了不少方便实用的新功能，比如： 可以直接给移动存储设备加密的BitLocker To GO、将系统安装到VHD映像等。Windows 7 的UAC的安全窗口的弹出频率有所减少，不少朋友可能会认为Windows 7的用户账户控制 功能有所减弱了，其实，这是Windows 7对于繁琐的用户控制功能的改进。如果需要更加 安全灵活地控制用户执行程序、文件以及脚本，那么，在Windows 7中已经有更加实用的 AppLocker 了，中文名称是应用程序控制策略。那么，我们怎么来使用这个安全功能呢？1.启用AppLocker有窍门启用AppLocker功能比较简单，我们可以采取以下方法。首先，我们在Windows 7 的搜索框输入“Gpedit.msc”命令打开组策略编辑器，依次进入“计算机配置-Windows设置- 安全设置-应用程序控制策略-AppLocker”项目，AppLocker有可执行规则、Windows安装 程序规则和脚本规则三种，默认没有添加任何策略。我们不妨来创建一个最简洁的可执行规 则。只需右键单击“可执行规则”项目，选择“创建默认规则”命令即可建立三条可执行规则（如 图1）。第一条规则的含义是只允许所有用户运行“Program Files”文件夹的程序，第二条规 则表示允许所有用户运行'“Windows”文件夹的程序，第三条规则含义是只允许管理员用户运 行所有程序。当前用户以普通用户权限运行程序的，因此，可以双击第一条规则，在弹出的 窗口将“操作”设置为“拒绝”来获得限制运行任何程序的效果（如图2）。然而，我们发现该策略是无法生效的。这是什么原因呢?A莎*陌5gw福推城壬干也ri,Srfg"曲±iMJhllFML.gJUllAWPBd-其实，AppLocker功能默认是被系统屏蔽的，我们需要予以开启。我们在Windows7的搜索框输入“Services.msc”命令打开“服务”窗口，打开“Application Identity”服务，这是 一个验证应用程序标识的服务，默认停用该服务将阻止系统强制执行AppLocker,因此，我 们需要点击“启动”按钮开启服务（如图3）。接着，我们再次运行任意一个“Program Files” 文件夹的程序就弹出了禁用的窗口（如图4），刚才的策略生效了。由于拒绝策略的优先级 别较高，我们将无法启动该文件夹的所有的程序，我们只能右键单击程序选择“以管理员身 份运行”命令才能正常运行程序。ApcJicatior :去响时的嵬性？L：单十耕K：.2.个性化AppLocker策略方法即使将第一条策略恢复，我们发现 Windows 7也将只允许普通用户运行“ProgramFiles”文件夹和“Windows”文件夹的程序，有时会感到很不方便，那么怎么来让普通用户运 行任意目录的程序呢？我们尝试来修改第一条策略。打开这条策略，进尺路径”选项，我们 发现只需将路径修改成*就可以了（如图5）。这时可能无法马上起效，我们需要在搜索框输入“Gpupdate ”命令更新组策略才能达到目的。譬淑群野涕蜓爵 妲林打 游建跖 上颇片皿-:衬克五件大的.以上策略可以让任何用户运行所有的程序了，如果，我们需要限制他们运行某些程 序怎么办呢？我们可以打开刚才的第一条策略，进入“例外”选项，比如：希望限制运行 Foxmail程序，那么，选择“添加例外”下的“路径”，然后点击“添加”按钮，点击“浏览文件”按钮添加Foxmail的可执行程序即可（如图6）。接着，普通用户运行Foxmail就会遇到禁止的提示了（如图7）。3.创建实用的程序限制策略刚才我们通过默认的AppLocker策略介绍基本的设置方法和限制效果，那么，如何将 其更好地应用到程序限制呢？比如：我们希望建立一条限制孩子使用Q Q2009 SP2的策略。 我们可以右键单击右侧空白窗格选择“创建新规则”命令，这时就弹出“创建可执行规则”的窗 口（如图8），点击“下一步”按钮；接着需要选择用户的权限，选择操作为“拒绝”，点击“用 户或组”下的“选择”按钮选择孩子的账户（如图9）；在弹出的“选择用户或组”窗口点击“高级” 按钮，接着点击“立即查找”，接着双击下方的“小淘气”用户（假定的孩子用户）即可选定（如 图10），退出到刚才的窗口，点击“下一步”按钮；这时需要选择创建主要条件的类型，如果 应用程序已由软件发布者签名，那么，直接选择“发布者”是比较快速的，否则可以选择“文 件哈希”条件，这需要计算文件的哈希值，速度稍慢，而“路径”则不推荐，因为，孩子只需 改变程序的安装路径即可逃脱限制了（如图11），这里我们只需选择“发布者”条件，点击“下 一步”按钮；这时我们发现了选择“发布者”的窗口，点击“浏览”按钮选择QQ的可执行文件， 默认显示了文件的发布者、产品名、文件版本等信息（如图12），默认只能限制当前版本的 QQ程序，可以向上拉动左侧的滑竿到'文件名”位置，这时可以限制任意版本的QQ程序了（如图13），再向上拉动到“发布者”位置可以限制所有腾讯的软件，最上方即可限制所有的 程序了，我们只需拉动到“文件名”位置就足够了，点击'下一步”按钮；接着，我们可以添加 例外的条件，比如：孩子可以运行一个低版本的QQ可以运行，选择“路径”条件，点击“添 加”按钮选择QQ的路径（如图14），点击“下一步”按钮；这时可以输入名称和描述信息，点 击“创建”即可完成了（如图15）。图9图10图11图12GL园W园园那么，最后的限制效果会如何呢？孩子可以运行QQ2008,却无法运行QQ2009 SP2（如图16），成功达到了预定的目标。图16AppLocker还可以创建Windows安装程序和脚本规则，方法和创建可执行规则类似。通过文件哈希条件限制安装应用程序可以提高系统的安全性，而脚本规则同样可以保证只运行安全脚本，避免中毒。AppLocker的操作过程方便快捷，适合普通用户来加固系统安全防线，而且管理员通过组策略配置用于网络部署是很高效易用的。