Windows 7作為一款萬眾矚目的下一代主流操作系統(tǒng)注定將成為劃時(shí)代的產(chǎn)品。微軟除了充分吸取了開發(fā)Windows Vista的經(jīng)驗(yàn)教訓(xùn)，還增加了不少方便實(shí)用的新功能，比如：可以直接給移動(dòng)存儲(chǔ)設(shè)備加密的BitLocker To GO、將系統(tǒng)安裝到VHD映像等。Windows 7的UAC的安全窗口的彈出頻率有所減少，不少朋友可能會(huì)認(rèn)為Windows 7的用戶賬戶控制功能有所減弱了，其實(shí)，這是Windows 7對(duì)于繁瑣的用戶控制功能的改進(jìn)。如果需要更加安全靈活地控制用戶執(zhí)行程序、文件以及腳本，那么，在Windows 7中已經(jīng)有更加實(shí)用的AppLocker了，中文名稱是應(yīng)用程序控制策略。那么，我們?cè)趺磥硎褂眠@個(gè)安全功能呢?

　　1.啟用AppLocker有竅門

　　啟用AppLocker功能比較簡單，我們可以采取以下方法。首先，我們?cè)赪indows 7的搜索框輸入“Gpedit.msc”命令打開組策略編輯器，依次進(jìn)入“計(jì)算機(jī)配置-Windows設(shè)置-安全設(shè)置-應(yīng)用程序控制策略-AppLocker”項(xiàng)目，AppLocker有可執(zhí)行規(guī)則、Windows安裝程序規(guī)則和腳本規(guī)則三種，默認(rèn)沒有添加任何策略。我們不妨來創(chuàng)建一個(gè)最簡潔的可執(zhí)行規(guī)則。只需右鍵單擊“可執(zhí)行規(guī)則”項(xiàng)目，選擇“創(chuàng)建默認(rèn)規(guī)則”命令即可建立三條可執(zhí)行規(guī)則(如圖1)。第一條規(guī)則的含義是只允許所有用戶運(yùn)行“Program Files”文件夾的程序，第二條規(guī)則表示允許所有用戶運(yùn)行“Windows”文件夾的程序，第三條規(guī)則含義是只允許管理員用戶運(yùn)行所有程序。當(dāng)前用戶以普通用戶權(quán)限運(yùn)行程序的，因此，可以雙擊第一條規(guī)則，在彈出的窗口將“操作”設(shè)置為“拒絕”來獲得限制運(yùn)行任何程序的效果(如圖2)。然而，我們發(fā)現(xiàn)該策略是無法生效的。這是什么原因呢?

　　圖1

　　圖2

　　其實(shí)，AppLocker功能默認(rèn)是被系統(tǒng)屏蔽的，我們需要予以開啟。我們?cè)赪indows 7的搜索框輸入“Services.msc”命令打開“服務(wù)”窗口，打開“Application Identity”服務(wù)，這是一個(gè)驗(yàn)證應(yīng)用程序標(biāo)識(shí)的服務(wù)，默認(rèn)停用該服務(wù)將阻止系統(tǒng)強(qiáng)制執(zhí)行AppLocker，因此，我們需要點(diǎn)擊“啟動(dòng)”按鈕開啟服務(wù)(如圖3)。接著，我們?cè)俅芜\(yùn)行任意一個(gè)“Program Files”文件夾的程序就彈出了禁用的窗口(如圖4)，剛才的策略生效了。由于拒絕策略的優(yōu)先級(jí)別較高，我們將無法啟動(dòng)該文件夾的所有的程序，我們只能右鍵單擊程序選擇“以管理員身份運(yùn)行”命令才能正常運(yùn)行程序。

　　圖3

　　圖4

　　2.個(gè)性化AppLocker策略方法

　　即使將第一條策略恢復(fù)，我們發(fā)現(xiàn)Windows 7也將只允許普通用戶運(yùn)行“Program Files”文件夾和“Windows”文件夾的程序，有時(shí)會(huì)感到很不方便，那么怎么來讓普通用戶運(yùn)行任意目錄的程序呢?我們嘗試來修改第一條策略。打開這條策略，進(jìn)入“路徑”選項(xiàng)，我們發(fā)現(xiàn)只需將路徑修改成*就可以了(如圖5)。這時(shí)可能無法馬上起效，我們需要在搜索框輸入“Gpupdate”命令更新組策略才能達(dá)到目的。

　　圖5

　　以上策略可以讓任何用戶運(yùn)行所有的程序了，如果，我們需要限制他們運(yùn)行某些程序怎么辦呢?我們可以打開剛才的第一條策略，進(jìn)入“例外”選項(xiàng)，比如：希望限制運(yùn)行Foxmail程序，那么，選擇“添加例外”下的“路徑”，然后點(diǎn)擊“添加”按鈕，點(diǎn)擊“瀏覽文件”按鈕添加Foxmail的可執(zhí)行程序即可(如圖6)。接著，普通用戶運(yùn)行Foxmail就會(huì)遇到禁止的提示了(如圖7)。

　　圖6

　　圖7

　　3.創(chuàng)建實(shí)用的程序限制策略

　　剛才我們通過默認(rèn)的AppLocker策略介紹基本的設(shè)置方法和限制效果，那么，如何將其更好地應(yīng)用到程序限制呢?比如：我們希望建立一條限制孩子使用QQ2009 SP2的策略。我們可以右鍵單擊右側(cè)空白窗格選擇“創(chuàng)建新規(guī)則”命令，這時(shí)就彈出“創(chuàng)建可執(zhí)行規(guī)則”的窗口(如圖8)，點(diǎn)擊“下一步”按鈕;接著需要選擇用戶的權(quán)限，選擇操作為“拒絕”，點(diǎn)擊“用戶或組”下的“選擇”按鈕選擇孩子的賬戶(如圖9);在彈出的“選擇用戶或組”窗口點(diǎn)擊“高級(jí)”按鈕，接著點(diǎn)擊“立即查找”，接著雙擊下方的“小淘氣”用戶(假定的孩子用戶)即可選定(如圖10)，退出到剛才的窗口，點(diǎn)擊“下一步”按鈕;這時(shí)需要選擇創(chuàng)建主要條件的類型，如果應(yīng)用程序已由軟件發(fā)布者簽名，那么，直接選擇“發(fā)布者”是比較快速的，否則可以選擇“文件哈希”條件，這需要計(jì)算文件的哈希值，速度稍慢，而“路徑”則不推薦，因?yàn)椋⒆又恍韪淖兂绦虻陌惭b路徑即可逃脫限制了(如圖11)，這里我們只需選擇“發(fā)布者”條件，點(diǎn)擊“下一步”按鈕;這時(shí)我們發(fā)現(xiàn)了選擇“發(fā)布者”的窗口，點(diǎn)擊“瀏覽”按鈕選擇QQ的可執(zhí)行文件，默認(rèn)顯示了文件的發(fā)布者、產(chǎn)品名、文件版本等信息(如圖12)，默認(rèn)只能限制當(dāng)前版本的QQ程序，可以向上拉動(dòng)左側(cè)的滑竿到“文件名”位置，這時(shí)可以限制任意版本的QQ程序了(如圖13)，再向上拉動(dòng)到“發(fā)布者”位置可以限制所有騰訊的軟件，最上方即可限制所有的程序了，我們只需拉動(dòng)到“文件名”位置就足夠了，點(diǎn)擊“下一步”按鈕;接著，我們可以添加例外的條件，比如：孩子可以運(yùn)行一個(gè)低版本的QQ可以運(yùn)行，選擇“路徑”條件，點(diǎn)擊“添加”按鈕選擇QQ的路徑(如圖14)，點(diǎn)擊“下一步”按鈕;這時(shí)可以輸入名稱和描述信息，點(diǎn)擊“創(chuàng)建”即可完成了(如圖15)。

　　圖8

　　圖9

　　圖10

　　圖11

　　圖12

　　圖13

　　圖14

　　圖15

　　那么，最后的限制效果會(huì)如何呢?孩子可以運(yùn)行QQ2008，卻無法運(yùn)行QQ2009 SP2(如圖16)，成功達(dá)到了預(yù)定的目標(biāo)。

　　圖16

　　AppLocker還可以創(chuàng)建Windows安裝程序和腳本規(guī)則，方法和創(chuàng)建可執(zhí)行規(guī)則類似。通過文件哈希條件限制安裝應(yīng)用程序可以提高系統(tǒng)的安全性，而腳本規(guī)則同樣可以保證只運(yùn)行安全腳本，避免中毒。AppLocker的操作過程方便快捷，適合普通用戶來加固系統(tǒng)安全防線，而且管理員通過組策略配置用于網(wǎng)絡(luò)部署是很高效易用的。