什麼是Applocker
AppLocker即“應用程式控制策略”,是Windows 7系統中新增加的一項安全功能。Applocker的關鍵特點
方便高效,例如您可以輕鬆配置一個程式高於其某個版本都能運行,對於IT人員來說,這可以節省大量的策略維護時間。利用AppLocker管理員可以非常方便地進行配置,以實現用戶可在計算機上可運行哪些程式、安裝哪些檔案、運行哪些腳本。由於AppLocker是基於組策略管理和配置的,因此我們可以非常方便地將其部署到整個網路環境中,可謂一勞永逸。Applocker使得企業IT管理員可以非常方便的配置用戶可以在計算機上運行哪些套用:包括程式,安裝檔案與腳本。還可以通過公司名來限制某個公司的產品運行,比如限制tencent公司的應用程式,那么qq,qqgame等等,都不能夠被運行。如何運行Applocker
執行“開始”→ “運行”,輸入gpedit.msc打開組策略編輯器。在左側的窗格中依次定位到“計算機配置” →“Windows 設定”→“安全設定”→“應用程式控制”,可以看到AppLocker組策略配置項。
AppLocker包含三部份功能:
1、可執行程式控制;
2、安裝程式控制;
3、腳本控制。
在XP下使用過軟體限制策略的部份朋友,也許會對此望而生畏,不過其實AppLocker是很容易使用的。
Applocker使用方法
一、這第一步非常重要,它決定了你的AppLocker是否能生效,計算機上右鍵→管理→服務,找到Application Identity服務,設為自動啟動;二、執行“開始”→ “運行”,輸入gpedit.msc打開組策略編輯器。在左側的窗格中依次定位到“計算機配置” →“Windows 設定”→“安全設定”→“應用程式控制”,可以看到AppLocker組策略配置項。
三、在“可執行程式規則”、“安裝程式規則”、“腳本規則”上分別右鍵,創建默認規則,即可。
四、大部份人的程式都不裝在C:\ProgramFiles\*下,怎么辦?在“可執行程式規則”、“腳本規則”(安裝程式規則保持默認即可)分別右鍵→新建規則,選擇允許或拒絕,用戶保持默認的Everyone(即任意用戶)→下一步,路徑處瀏覽到你的程式或目錄(最好是目錄,只需一條規則就搞定,比如d:\ProgramFiles\*)→創建。
五、第一次使用AppLocker,設定完以上後,必須重啟機器(註銷不行),才能使策略生效。
六、大功告成,現在用IE上任意掛馬網站,雙擊任意病毒吧,只要不要把病毒放在以上所允許過的路徑就可以。
七、疑問:網馬複製自已到系統目錄?沒有可能。在UAC開啟的狀態下,當前用戶及其所運行的程式,不能讀取HIPS中所謂的AD行為中的底層磁碟,不能除USER外的註冊表項,不可寫除USER目錄外的系統盤,可以說,UAC就是一個規則嚴密的HIPS。
八、疑問:我有一些不常用的綠色軟體比如註冊機,MD5驗證程式等,不是放在程式安裝目錄,我也沒有在AppLocker中創建過允許規則,那我想用它時會不會很麻煩?答案是:一點也不麻煩,右鍵以管理員運行就可以了。
Applocker默認規則的含義
1、任何用戶均可以運行c:\windows\*及C:\Program Files\*(如果是64位系統,則包含C:\Program Files(86)\*)下所有執行檔及腳本;2、提權後的管理員可以運行任何位置的程式。
註:在此默認規則下,你在非c:\windows\*及C:\Program Files\*位置,雙擊任意程式,程式無法運行,只能右鍵以管理員身份運行。
3、大部份人的程式都不裝在C:\ProgramFiles\*下,怎么辦?在“可執行程式規則”、“腳本規則”(安裝程式規則保持默認即可)分別右鍵→新建規則,選擇允許或拒絕,用戶保持默認的Everyone(即任意用戶)→下一步,路徑處瀏覽到你的程式或目錄(最好是目錄,只需一條規則就搞定,比如d:\ProgramFiles\*)→創建。
4、第一次使用AppLocker,設定完以上後,必須重啟機器(註銷不行),才能使策略生效。
5、大功告成,現在用IE上任意掛馬網站,雙擊任意病毒吧,只要不要把病毒放在以上所允許過的路徑就可以。
6、疑問:網馬複製自已到系統目錄?沒有可能。在UAC開啟的狀態下,當前用戶及其所運行的程式,不能讀取HIPS中所謂的AD行為中的底層磁碟,不能除USER外的註冊表項,不可寫除USER目錄外的系統盤,可以說,UAC就是一個規則嚴密的HIPS。
7、疑問:我有一些不常用的綠色軟體比如註冊機,MD5驗證程式等,不是放在程式安裝目錄,我也沒有在AppLocker中創建過允許規則,那我想用它時會不會很麻煩?答案是:一點也不麻煩,右鍵以管理員運行就可以了。
Applocker常見問題
我可以實機運行一些病毒樣本嗎?答:完全可以,只需像下面這樣設定,病毒就只能修改用戶臨時目錄USER了。
非系統盤,右鍵,屬性,安全,編輯,把Authenticated Users用戶組的修改、寫入、完全控制、特殊許可權等去掉勾,只保留讀取和執行。
這樣,你可以運行任意一個不需要提權(UAC沒有提示)的毒,但是毒無法破壞系統,也無法刪改你的重要資料。
注意,不要隨便對陌生程式提權,除非你完全確信這個軟體安全。
我用迅雷下載檔案到D糟,但無法保存,怎么辦?
答:沒關係,新建一個目錄專門用來下載東西,該目錄給予Authenticated Users修改、寫入、完全控制就可以了。
記得下載完轉移到安全目錄。
其他問題同理,比如有的人把電驢的配置檔案放到電驢安裝目錄下,電驢需要寫自身目錄,怎么辦?
請對電驢的配置目錄config及電驢安裝根目錄前幾個DAT及INI檔案允許Authenticated Users修改、寫入、完全控制就可以了。
我複製一個檔案到D糟是不是也無法複製?
答:可以複製。不過複製前UAC會有一個提示,允許,確定,即可。
也許有人問:火狐能夠進行升級嗎?它不是不能修改自身目錄?答案是可以升級,因為在升級前,UAC會提示,允許,確定,即可。
如果你不經常安裝軟體,一個月只裝一兩個軟體,你還可以:
先安裝好你的常用軟體。
開始選單,運行,輸入:gpedit.msc,回車。
展開:本地計算機策略——計算機配置——WINDOWS設定——安全設定——本地策略——安全選項,在右面找到:用戶帳戶控制(只提升簽名並驗證的執行檔),選中“已啟用”(默認是已禁用),套用,確定,重啟或註銷。
這樣:你能正常運行你的常用軟體,就算是運行了一個提權的病毒也沒有事了,因為它根本提不了權。