Windows 7作為一款萬眾矚目的下一代主流操作系統註定將成為劃時代的產品。微軟除了充分吸取了開發Windows Vista的經驗教訓,還增加了不少方便實用的新功能,比如:可以直接給移動儲存裝置加密的BitLocker To GO、將系統安裝到VHD映像等。Windows 7的UAC的安全視窗的彈出頻率有所減少,不少朋友可能會認為Windows 7的使用者賬戶控制功能有所減弱了,其實,這是Windows 7對於繁瑣的使用者控制功能的改進。如果需要更加安全靈活地控制使用者執行程式、檔案以及指令碼,那麼,在Windows 7中已經有更加實用的AppLocker了,中文名稱是應用程式控制策略。那麼,我們怎麼來使用這個安全功能呢?
1.啟用AppLocker有竅門
啟用AppLocker功能比較簡單,我們可以採取以下方法。首先,我們在Windows 7的搜尋框輸入“Gpedit.msc”命令開啟組策略編輯器,依次進入“計算機配置-Windows設定-安全設定-應用程式控制策略-AppLocker”專案,AppLocker有可執行規則、Windows安裝程式規則和指令碼規則三種,預設沒有新增任何策略。我們不妨來建立一個最簡潔的可執行規則。只需右鍵單擊“可執行規則”專案,選擇“建立預設規則”命令即可建立三條可執行規則(如圖1)。第一條規則的含義是隻允許所有使用者執行“Program Files”資料夾的程式,第二條規則表示允許所有使用者執行“Windows”資料夾的程式,第三條規則含義是隻允許管理員使用者執行所有程式。當前使用者以普通使用者許可權執行程式的,因此,可以雙擊第一條規則,在彈出的視窗將“操作”設定為“拒絕”來獲得限制執行任何程式的效果(如圖2)。然而,我們發現該策略是無法生效的。這是什麼原因呢?
圖1
圖2
其實,AppLocker功能預設是被系統遮蔽的,我們需要予以開啟。我們在Windows 7的搜尋框輸入“Services.msc”命令開啟“服務”視窗,開啟“Application Identity”服務,這是一個驗證應用程式標識的服務,預設停用該服務將阻止系統強制執行AppLocker,因此,我們需要點選“啟動”按鈕開啟服務(如圖3)。接著,我們再次執行任意一個“Program Files”資料夾的程式就彈出了禁用的視窗(如圖4),剛才的策略生效了。由於拒絕策略的優先順序別較高,我們將無法啟動該資料夾的所有的程式,我們只能右鍵單擊程式選擇“以管理員身份執行”命令才能正常執行程式。
圖3
圖4
2.個性化AppLocker策略方法
即使將第一條策略恢復,我們發現Windows 7也將只允許普通使用者執行“Program Files”資料夾和“Windows”資料夾的程式,有時會感到很不方便,那麼怎麼來讓普通使用者執行任意目錄的程式呢?我們嘗試來修改第一條策略。開啟這條策略,進入“路徑”選項,我們發現只需將路徑修改成*就可以了(如圖5)。這時可能無法馬上起效,我們需要在搜尋框輸入“Gpupdate”命令更新組策略才能達到目的。
圖5
以上策略可以讓任何使用者執行所有的程式了,如果,我們需要限制他們執行某些程式怎麼辦呢?我們可以開啟剛才的第一條策略,進入“例外”選項,比如:希望限制執行Foxmail程式,那麼,選擇“新增例外”下的“路徑”,然後點選“新增”按鈕,點選“瀏覽檔案”按鈕新增Foxmail的可執行程式即可(如圖6)。接著,普通使用者執行Foxmail就會遇到禁止的提示了(如圖7)。
圖6
圖7
3.建立實用的程式限制策略
剛才我們透過預設的AppLocker策略介紹基本的設定方法和限制效果,那麼,如何將其更好地應用到程式限制呢?比如:我們希望建立一條限制孩子使用QQ2009 SP2的策略。我們可以右鍵單擊右側空白窗格選擇“建立新規則”命令,這時就彈出“建立可執行規則”的視窗(如圖8),點選“下一步”按鈕;接著需要選擇使用者的許可權,選擇操作為“拒絕”,點選“使用者或組”下的“選擇”按鈕選擇孩子的賬戶(如圖9);在彈出的“選擇使用者或組”視窗點選“高階”按鈕,接著點選“立即查詢”,接著雙擊下方的“小淘氣”使用者(假定的孩子使用者)即可選定(如圖10),退出到剛才的視窗,點選“下一步”按鈕;這時需要選擇建立主要條件的型別,如果應用程式已由軟體釋出者簽名,那麼,直接選擇“釋出者”是比較快速的,否則可以選擇“檔案雜湊”條件,這需要計算檔案的雜湊值,速度稍慢,而“路徑”則不推薦,因為,孩子只需改變程式的安裝路徑即可逃脫限制了(如圖11),這裡我們只需選擇“釋出者”條件,點選“下一步”按鈕;這時我們發現了選擇“釋出者”的視窗,點選“瀏覽”按鈕選擇QQ的可執行檔案,預設顯示了檔案的釋出者、產品名、檔案版本等資訊(如圖12),預設只能限制當前版本的QQ程式,可以向上拉動左側的滑竿到“檔名”位置,這時可以限制任意版本的QQ程式了(如圖13),再向上拉動到“釋出者”位置可以限制所有騰訊的軟體,最上方即可限制所有的程式了,我們只需拉動到“檔名”位置就足夠了,點選“下一步”按鈕;接著,我們可以新增例外的條件,比如:孩子可以執行一個低版本的QQ可以執行,選擇“路徑”條件,點選“新增”按鈕選擇QQ的路徑(如圖14),點選“下一步”按鈕;這時可以輸入名稱和描述資訊,點選“建立”即可完成了(如圖15)。
圖8
圖9
圖10
圖11
圖12
圖13
圖14
圖15
那麼,最後的限制效果會如何呢?孩子可以執行QQ2008,卻無法執行QQ2009 SP2(如圖16),成功達到了預定的目標。
圖16
AppLocker還可以建立Windows安裝程式和指令碼規則,方法和建立可執行規則類似。透過檔案雜湊條件限制安裝應用程式可以提高系統的安全性,而指令碼規則同樣可以保證只執行安全指令碼,避免中毒。AppLocker的操作過程方便快捷,適合普通使用者來加固系統安全防線,而且管理員透過組策略配置用於網路部署是很高效易用的。