Windows 7 AppLocker应用体验
下面我就简单介绍一下怎么用这个AppLocker。
首先在“搜索程序和文件”框中输入gpedit.msc,点击找到组策略编辑器。
然后依次展开“计算机配置”->“Windows设置”->“安全设置”->“应用程序控制策略”->“AppLocker”
再展开AppLocker的话,我们可以看到如下图所示的情况。
AppLocker支持三种规则,分别是可执行规则、Windows安装程序规则和脚本规则。不同的规则针对不同的应用,默认的情况下Applocker里面是没有任何规则的。下面我以可执行规则为主讲一讲怎么创建规则。
一、创建默认规则
右击“可执行规则”,在弹出的右键菜单中可以看到有三种创建规则的方式,分别是“创建新规则”、“自动生成规则”和“创建默认规则”,如下图所示:
咱们先看看创建默认规则是怎么个情况。选择“创建默认规则”后就生成三条默认的规则,如下图所示:
这三条默认的规则的意思,应该很好理解。第一条是允许Everyone执行Program Files文件夹中所有文件;第二条是允许Everyone执行Windows文件夹中的所有文件;第三条是允许管理员执行所有文件。
二、自动生成规则
如果我们选择“自动生成规则”的话,就会弹出如下图所示的窗口。
第一项是选择文件所有的位置,第二项是选择那些用户被允许/拒绝执行,第三项是命名。这些都设置好之后,点击“下一步”按钮。
这是设置根据什么来判断文件是符合条件的。简单的说,文件哈希就是系统有哈希算法算出这个文件的哈希值,只要这个文件的哈希值没有变,这个文件放到哪里相应的用户都被允许/拒绝执行。路径就是根据文件的路径判断,只要这个文件放在规则中定义好的路径中,相应的用户就可以被允许/拒绝执行,但放到其他地方就要根据实际情况而定。一般按照默认的设置就行,点击“下一步”按钮,就会开始自动生成规则了,如下图所示。
这上面是自动生成规则的相关信息,我们可以通过“查看已分析的文件”和“查看将自动创建的规则”这两个连接来看看具体有哪些文件被分析到,以及都生成了一些什么样的规则,如下图所示:
如果没有什么问题的话,再点“创建”按钮即可完成自动生成规则的流程了,下图为我的系统应用自动生成规则所产生的规则(默认的三条规则+自动生成的九规则)。
三、创建新规则
如果我们选择的是“创建新规则”的话,就会弹出下面的窗口。
点击“下一步”按钮,就会转到下面的画面
在这里可以选择是允许还是拒绝执行,比自动生成规则和创建默认规则默认生成的都是允许操作来得更灵活些。再次点击“下一步”按钮,就会进入到如下的画面。
这个跟前面的自动生成规则时候遇到的设置条件差不多,就是多了个根据发布者来判断条件,不过得该软件有发布者的签名才行。设置完之后点击“下一步”按钮,就会跳转到下面的画面。
在这里可以通过“浏览”按钮指定要应该这个规则的文件,以及其他一些相关的设置。设置完成后点击“下一步”按钮。
这里是要设置例外的情况,跟前面设置条件那差不多。如果没有直接点击“下一步”按钮。
这里是为这条规则添加一些描述性的文字。完成后点击“创建”就完成了创建新规则的流程了,下图所示为我刚才创建的规则。
四、检验规则是否执行
这些规则虽然被创建出来了,但是否真的在执行了,得检验一下。那么如何检验了。首先得到服务那里启动Application Identity服务,如下三张图所示。
然后在命令提示符中输入"gpupdate /force"命令强制刷新一下组策略。
接着就打开事情查看器,定位到应用程序和服务日志->Microsoft->Windows->AppLocker->ExE and DLL,如下图所示:
从上图可见,刚才所定义的规则都已经运行了。
Windows 7 Professional可用于创建Applocker规则,但不能用于管理,也就是说创建的默认规则和自动生成规则都不能更改,只有Windows Server 2008 R2,Windows 7 Ultimate与Enterprise版本全部的功能。
