Windows 7 AppLocker基于组策略的管理和配置实例

来源:岁月联盟 编辑:zhuzhu 时间:2009-11-23
Windows 7 AppLocker基于组策略的管理和配置实例内容简介:我们发现Windows 7增加了不少新功能,比如:XP模式和Bitlock To Go,诚然,这些功能可以使得用户的升级更加方便、数据安全性更高,但是,管理员却还在寻找多用户环境下灵活限制程序运行的工具。以往

我们发现Windows 7增加了不少新功能,比如:XP模式和Bitlock To Go,诚然,这些功能可以使得用户的升级更加方便、数据安全性更高,但是,管理员却还在寻找多用户环境下灵活限制程序运行的工具。以往的组策略经过复杂操作也能实现这一目的,而Windows 7则可以让管理员从繁重的劳动中解脱出来了,它的AppLocker(应用程序控制策略)可以很方便地配置多用户的程序、文件、脚本运行的策略。 AppLocker基于组策略管理和配置,这更加适用于网络环境的部署。

一、启用AppLocker有讲究

在进行AppLocker策略配置前,我们需要做必需的准备工作。我们在开始菜单的搜索框输入“Services.msc”命令启动服务窗口,接着我们在该窗口查找到Application Identity服务,该服务确定并验证应用程序的标识,禁用此服务将阻止强制执行 AppLocker,默认情况下该服务时手动并停止的,因此,只有启动了该服务才能正常使用AppLocker策略,我们可以将其“启动类型”设置为“自动”,再点击“启动”按钮即可启动成功了(如图1)。

Windows 7 AppLocker基于组策略的管理和配置实例【图】_

做好以上的准备工作,我们就可以在开始菜单搜索框输入“Gpedit.msc”命令启动组策略编辑器来设置AppLocker策略了。我们可以在组策略编辑器依次进入“计算机配置-Windows设置-安全设置-应用程序控制策略-AppLocker”菜单来设置(如图2)。

Windows 7 AppLocker基于组策略的管理和配置实例【图】_

二、限制用户使用某个程序

这里,我们就通过AppLocker来建立限制用户使用某个程序的策略吧。比如:我们希望王蓉这个用户不能使用Maxthon浏览器。我们可以这样来做。首先,在左侧选择“可执行规则”,在右侧空白窗口处右键单击选择“创建新规则”命令,接着会弹出“创建可执行规则”的窗口(如图 3),只需点击“下一步”按钮即可。

Windows 7 AppLocker基于组策略的管理和配置实例【图】_

接着在窗口中选择操作为“拒绝”,点击“用户或组”下的“选择”按钮,在弹出的“选择用户或组”窗口点击“高级”按钮,在弹出窗口点击“立即查找”按钮,在下面找到王蓉用户确定即可(如图4)。

Windows 7 AppLocker基于组策略的管理和配置实例【图】_

回到原来的窗口,点击“下一步”按钮(如图5)。

Windows 7 AppLocker基于组策略的管理和配置实例【图】_

在创建主要条件步骤,我们选择“发布者”条件(Maxthon已经由软件发布者签名,否则可以考虑选择“文件哈希”条件,如图6),点击“下一步”按钮。

Windows 7 AppLocker基于组策略的管理和配置实例【图】_

在出现的窗口,这时我们可以限制用户使用Maxthon2.5.0.0版本,而不能限制用户使用其他的版本,我们只需将“文件版本”旁的滑竿上移一格到“文件名”即可限制使用Maxthon的任意版本了(如图7)。

Windows 7 AppLocker基于组策略的管理和配置实例【图】_

如果Maxthon更改了程序名,这个限制依然会失效,不过,我们再将滑竿上移到“产品名”就可以继续限制了(如图8)。

Windows 7 AppLocker基于组策略的管理和配置实例【图】_

同理,当产品名变化时,我们再将滑竿上移到“发布者”就可以继续保持限制了,一般情况滑竿上移到“文件名”即可,点击“下一步”按钮;接着,我们点击“创建”按钮即可完成策略建立了,规则建立过程中会建议同时创建默认规则(当默认规则未建立时,如图9),确定即可。

Windows 7 AppLocker基于组策略的管理和配置实例【图】_

那么,创建了该规则后,王蓉用户登录系统运行Maxthon是否会生效呢?我们来测试一下吧。运行Maxthon时,弹出了禁止运行的窗口(如图10),这说明AppLocker已经通过组策略生效了。

Windows 7 AppLocker基于组策略的管理和配置实例【图】_

三、限制用户安装程序

为了防止用户随意安装程序,AppLocker也有相应的策略设置。我们打算让所有用户都不能安装cooliris这个浏览器插件。不过,该策略只能禁止用户安装.msi和.msp的程序。我们可以选择“Windows安装程序规则”,然后右键单击右侧的窗口选择“创建新规则”,同样会打开一个“创建Windows安装程序规则”窗口,点击“下一步”按钮;我们设置操作为“拒绝”,“用户或组”为“Everyone”,点击“下一步”按钮(如图11)。

Windows 7 AppLocker基于组策略的管理和配置实例【图】_

这里我们还是选择限制条件为“发布者”,点击“下一步”按钮(如图12)。

Windows 7 AppLocker基于组策略的管理和配置实例【图】_

这时,我们可以点击浏览按钮找到cooliris插件的文件,点击“创建”按钮即可完成了(如图13)。

Windows 7 AppLocker基于组策略的管理和配置实例【图】_

以后,我们运行该安装程序时都会弹出禁止安装的提示(如图14)。

Windows 7 AppLocker基于组策略的管理和配置实例【图】_

四、不同用户使用同程序的不同版本

我们发现QQ已经成为办公不可缺少的工具,但是娱乐性还是太强了,我们可以通过AppLocker让普通用户只能使用TM办公。我们让管理员用户直接使用QQ2009,而普通用户则使用TM2009。

我们就来创建这个规则吧。首先,在左侧选择“可执行规则”,右键单击右侧选择“创建新规则”命令,在“创建可执行规则”窗口点击“下一步”按钮;接着在“创建可执行规则”窗口选择“操作”为“拒绝”,选择“用户或组”为“users”(普通用户组),点击“下一步”按钮(如图15)。

Windows 7 AppLocker基于组策略的管理和配置实例【图】_

然后选择条件类型为“发布者”,点击“下一步”按钮;这时点击“浏览”按钮选择QQ2009的可执行程序(一般为安装目录/QQ/Bin /QQ.exe),勾选“使用自定义值”选项并将文件版本选项设置为“及以下版本”以达到限制使用任意版本QQ的目的(如图16),点击“下一步”按钮。

Windows 7 AppLocker基于组策略的管理和配置实例【图】_

这时我们可以添加普通用户可以使用的例外程序TM2009,点击“添加”按钮设置为TM2009的可执行程序即可(如图17)。

Windows 7 AppLocker基于组策略的管理和配置实例【图】_

确定之后回到原来窗口(如图18),点击“创建”按钮即可完成了。

Windows 7 AppLocker基于组策略的管理和配置实例【图】_

建立这个规则后,普通用户只能运行TM2009而无法运行QQ2009,这样就达到了目的。

大家在使用AppLocker的时候还需要注意:默认的规则会限制任何用户使用非“Program Files”和“Windows”文件夹的程序,我们需要将第二条默认规则的路径设置为*(如图19),因为,任何用户默认都是以普通用户身份运行的。

Windows 7 AppLocker基于组策略的管理和配置实例【图】_

相信大家在熟练使用AppLocker的过程中会摸索出更多更好的经验的。