用AppLocker設置控制策略

引言：AppLocker是一項所謂“應用程序控制策略”的安全功能，利用AppLocker，網(wǎng)管員可以方便地配置控制用戶在計算機上可運行哪些程序、安裝哪些文件、運行哪些腳本。由于AppLocker是基于組策略管理和配置的因此我們很容易將其部署到整個網(wǎng)絡環(huán)境中。

AppLocker最早出現(xiàn)在Windows 7系統(tǒng)中，是一項所謂“應用程序控制策略”的安全功能。利用AppLocker，管理員可以方便地配置控制用戶在計算機上可運行哪些程序、安裝哪些文件、運行哪些腳本。

由 于AppLocker是基于組策略管理和配置的，因此我們很容易將其部署到整個網(wǎng)絡環(huán)境中。AppLocker同樣能夠在Windows Server 2008 R2中發(fā)揮作用。

在Windows Server 2012 R2中配置AppLocker

AppLocker替代了之前版本的軟件約束策略SRP（Software Restriction Policies），在配置方面也更為簡便。這里筆者介紹的是在本地計算機上對AppLocker進行配置，但是大家通過活動目錄組策略ADGP（Active Directory Group Policy）很容易應用到多部機器之上。具體操作方式如下。

1.登 錄Windows Server 2012 R2，以管理員身份啟動控制臺程序MMC。

2.從列表中選擇組策略Group Policy后點擊“添加”，然后從快照（snap-ins）列表中選擇服務Services，點擊“OK”。

3.在MMC控制臺左側，依次擴展開項目Local Computer Policy→Windows Setting s,Security Settings→Application Control Policies→ AppLocker，右擊執(zhí)行規(guī)則Executable Rules后從菜單中選擇生成默認規(guī)則Create Default Rules，即可以看到可運行所有文件的管理員組Administrators Group成員。

4.重復上述操作，即可設置系統(tǒng)安裝，規(guī)則Windows Installer Rules，腳本規(guī)則 Script Rules，以及應用包件規(guī)則Packaged app Rules。

利用AppLocker阻止用戶安裝程序實例

比如管理員不允許用戶擅自安裝瀏覽器Google Chrome，為此，管理員首先下載其安裝包Google Chrome.msi，然后執(zhí)行以下步驟。

1.在MMC控制臺點擊左側的安裝規(guī)則Windows Installer Rules，然 后 右擊“允許所有數(shù)字簽名的Windows安裝程序”（All digitally signed Windows Installer files）發(fā)布規(guī)則Publisher后，選擇“屬性”（Properties）。

2.在“所有屬性”對話框內點擊“例外”（Exceptions）欄目，確?！鞍l(fā)布”選項選中后點擊“添加”，然 后通過瀏覽方式找到Google Chrome說明文件。

3.在“打開”對話框中選中.msi文件后點擊“打開”，在“發(fā)布例外”對話框移動選中Google Chrome，點擊“OK”。

4.在MMC窗口右點AppLocker后選擇“屬性”，在“強制”（Enforcement ）欄目中勾選相應規(guī)則后點擊“OK”。

5.為了讓設置生效，在MMC控制臺點擊面板左側的“服務”（Services ），在服務列表中定位 Application Identity，雙擊之。

圖1 程序運行被AppLocker阻止界面

6.在屬性對話框內的“通用”欄目下，將啟動類型服務設置為自動方式（Automatic），在服務狀態(tài)下點擊“啟用”（Start）后點擊“OK”。

經過上述設置，當用戶試圖安裝谷歌瀏覽器時，就會被AppLocker阻止，顯示信息如圖1所示。

經驗總結

AppLocker能夠為系統(tǒng)管理帶來很多便利，通過使用動態(tài)規(guī)則，可以阻止不同類型的影響系統(tǒng)安全的應用程序（從游戲到惡意軟件等）侵入，還可以僅允許批準的應用程序在網(wǎng)絡中執(zhí)行。