windows 7的applocker的病毒预防应用
windows 7旗舰版组策略中新增了一个applocker。
applocker的默认规则设置操作很简单。这里不再一一赘述(网上的相关帖子都臭了街了!google一下即可找到。)本帖主要讨论其病毒预防作用及实际应用中需要注意的地方。
点击任务栏左下角的windows logo(开始),在”搜索程序和文件“窗口中键入 gpedit.msc , 按回车。即可见 windows7 的组策略编辑窗口:
在这里依次点击:计算机配置、windows设置、安全设置、应用程序控制策略,即可见到applocker( 如上图所示)。 要使applocker中的规则生效,必须先开启系统服务application identity(启动类型设置为:自动;见下图)。这个服务的安装默认启动类型为”手动“。更改此服务启动类型,可在”搜索程序和文件“窗口中键入services.msc ,找到这个服务,将其启动类型改为”自动“。然后重启系统。
重启后,便可再次进入组策略编辑窗口,创建相应的默认规则。这是我创建的”可执行程序默认规则“:
所有默认规则创建完后,还可针对特定参数修改。修改流程见下面几个图(以”windows安装程序规则“的”用户“更改为例):
修改完后的windows安装程序规则:
脚本规则:
全部搞掂后,运行一个桌面上的病毒样本 -.vbs:
需要注意的是:如果默认规则为路径限制,则除了规则中允许的路径以外的程序统统不能运行。
以windows安装程序规则为例,如果按照1楼的最后一个图所示设置了默认路径规则,并强制执行默认规则,则用户应在%windows%/installer/目录下自己建一个文件夹,将自己用到的安装程序放在这个文件夹中运行,才能实现期望的程序安装。
否则,安装程序程序运行时,将被相应的applocker默认规则禁止。下例就是安装程序不在默认规则允许的路径中运行时的情形:
