Windows 7作為一款萬眾矚目的下一代主流操作系統注定將成為劃時代的產品。微軟除了充分吸取了開發Windows Vista的經驗教訓,還增加了不少方便實用的新功能,比如:可以直接給移動存儲設備加密的BitLocker To GO、將系統安裝到VHD映像等。Windows 7的UAC的安全窗口的彈出頻率有所減少,不少朋友可能會認為Windows 7的用戶賬戶控制功能有所減弱了,其實,這是Windows 7對於繁瑣的用戶控制功能的改進。如果需要更加安全靈活地控制用戶執行程序、文件以及腳本,那麼,在Windows 7中已經有更加實用的AppLocker了,中文名稱是應用程序控制策略。那麼,我們怎麼來使用這個安全功能呢?
1.啟用AppLocker有竅門
啟用AppLocker功能比較簡單,我們可以采取以下方法。首先,我們在Windows 7的搜索框輸入“Gpedit.msc”命令打開組策略編輯器,依次進入“計算機配置-Windows設置-安全設置-應用程序控制策略-AppLocker”項目,AppLocker有可執行規則、Windows安裝程序規則和腳本規則三種,默認沒有添加任何策略。我們不妨來創建一個最簡潔的可執行規則。只需右鍵單擊“可執行規則”項目,選擇“創建默認規則”命令即可建立三條可執行規則(如圖1)。第一條規則的含義是只允許所有用戶運行“Program Files”文件夾的程序,第二條規則表示允許所有用戶運行“Windows”文件夾的程序,第三條規則含義是只允許管理員用戶運行所有程序。當前用戶以普通用戶權限運行程序的,因此,可以雙擊第一條規則,在彈出的窗口將“操作”設置為“拒絕”來獲得限制運行任何程序的效果(如圖2)。然而,我們發現該策略是無法生效的。這是什麼原因呢?
圖1
圖2
其實,AppLocker功能默認是被系統屏蔽的,我們需要予以開啟。我們在Windows 7的搜索框輸入“Services.msc”命令打開“服務”窗口,打開“Application Identity”服務,這是一個驗證應用程序標識的服務,默認停用該服務將阻止系統強制執行AppLocker,因此,我們需要點擊“啟動”按鈕開啟服務(如圖3)。接著,我們再次運行任意一個“Program Files”文件夾的程序就彈出了禁用的窗口(如圖4),剛才的策略生效了。由於拒絕策略的優先級別較高,我們將無法啟動該文件夾的所有的程序,我們只能右鍵單擊程序選擇“以管理員身份運行”命令才能正常運行程序。
圖3
圖4
2.個性化AppLocker策略方法
即使將第一條策略恢復,我們發現Windows 7也將只允許普通用戶運行“Program Files”文件夾和“Windows”文件夾的程序,有時會感到很不方便,那麼怎麼來讓普通用戶運行任意目錄的程序呢?我們嘗試來修改第一條策略。打開這條策略,進入“路徑”選項,我們發現只需將路徑修改成*就可以了(如圖5)。這時可能無法馬上起效,我們需要在搜索框輸入“Gpupdate”命令更新組策略才能達到目的。
圖5
以上策略可以讓任何用戶運行所有的程序了,如果,我們需要限制他們運行某些程序怎麼辦呢?我們可以打開剛才的第一條策略,進入“例外”選項,比如:希望限制運行Foxmail程序,那麼,選擇“添加例外”下的“路徑”,然後點擊“添加”按鈕,點擊“浏覽文件”按鈕添加Foxmail的可執行程序即可(如圖6)。接著,普通用戶運行Foxmail就會遇到禁止的提示了(如圖7)。
圖6
圖7
3.創建實用的程序限制策略
剛才我們通過默認的AppLocker策略介紹基本的設置方法和限制效果,那麼,如何將其更好地應用到程序限制呢?比如:我們希望建立一條限制孩子使用QQ2009 SP2的策略。我們可以右鍵單擊右側空白窗格選擇“創建新規則”命令,這時就彈出“創建可執行規則”的窗口(如圖8),點擊“下一步”按鈕;接著需要選擇用戶的權限,選擇操作為“拒絕”,點擊“用戶或組”下的“選擇”按鈕選擇孩子的賬戶(如圖9);在彈出的“選擇用戶或組”窗口點擊“高級”按鈕,接著點擊“立即查找”,接著雙擊下方的“小淘氣”用戶(假定的孩子用戶)即可選定(如圖10),退出到剛才的窗口,點擊“下一步”按鈕;這時需要選擇創建主要條件的類型,如果應用程序已由軟件發布者簽名,那麼,直接選擇“發布者”是比較快速的,否則可以選擇“文件哈希”條件,這需要計算文件的哈希值,速度稍慢,而“路徑”則不推薦,因為,孩子只需改變程序的安裝路徑即可逃脫限制了(如圖11),這裡我們只需選擇“發布者”條件,點擊“下一步”按鈕;這時我們發現了選擇“發布者”的窗口,點擊“浏覽”按鈕選擇QQ的可執行文件,默認顯示了文件的發布者、產品名、文件版本等信息(如圖12),默認只能限制當前版本的QQ程序,可以向上拉動左側的滑竿到“文件名”位置,這時可以限制任意版本的QQ程序了(如圖13),再向上拉動到“發布者”位置可以限制所有騰訊的軟件,最上方即可限制所有的程序了,我們只需拉動到“文件名”位置就足夠了,點擊“下一步”按鈕;接著,我們可以添加例外的條件,比如:孩子可以運行一個低版本的QQ可以運行,選擇“路徑”條件,點擊“添加”按鈕選擇QQ的路徑(如圖14),點擊“下一步”按鈕;這時可以輸入名稱和描述信息,點擊“創建”即可完成了(如圖15)。
圖8
圖9
圖10
圖11
圖12
圖13
圖14
圖15
那麼,最後的限制效果會如何呢?孩子可以運行QQ2008,卻無法運行QQ2009 SP2(如圖16),成功達到了預定的目標。
圖16
AppLocker還可以創建Windows安裝程序和腳本規則,方法和創建可執行規則類似。通過文件哈希條件限制安裝應用程序可以提高系統的安全性,而腳本規則同樣可以保證只運行安全腳本,避免中毒。AppLocker的操作過程方便快捷,適合普通用戶來加固系統安全防線,而且管理員通過組策略配置用於網絡部署是很高效易用的。