我們在操作系統中要如何管理繁多的應用程序呢?特別是對於一台電腦有多人使用的情況下,如何對每個用戶的應用程序使用權限作出設置呢?在Windows 7中這些問題非常簡單即可解決。Windows 7不僅僅具備了舊版本系統的應用程序組策略功能,且新增加了一項叫做AppLocker的安全功能,可對用戶在計算機上可運行哪些程序、安裝哪些文件、運行哪些腳本作出限制。下面就隨七仔結合實例來看看Windows 7關於應用程序管理的這些功能吧!
一、“白名單”:程序運行自己說的算!
首先,我們來看看Windows 7中的程序運行“白名單”和“黑名單”功能。顧名思義,該功能就是限制只有在此名單中的程序才可以或不允許運行。
點擊“開始”按鈕,然後在搜索框中輸入“gpedit.msc”打開組策略編輯器。在左側的窗格中依次定位到“用戶配置”-“管理模板”→“系統”下,在右側我們可以看到“不要運行指定的Windows應用程序”和“只運行指定的Windows應用程序”兩個選項(如圖1),通過這兩個位置我們即可實現限制程序運行的目的。
圖1 組策略編輯器
我們以禁止某個程序在Windows 7系統中使用為例,雙擊“不要運行指定的Windows應用程序”選項,打開設置對話框。在陌生狀態下,該功能是沒有被啟動的,我們首先在左上方選擇“已啟用”選項(如圖2)。
圖2 啟用禁止指定程序運行的功能
這時,在界面下方“不允許的應用程序列表”就會變為可用狀態,點擊其中的“顯示”按鈕即可添加項目(如圖3)。在對話框中增加條目,並輸入我們所要禁止的應用程序全名(包括擴展名)即可。
圖3 添加不允許運行的應用程序
完成後保存設置並關閉組策略編輯器,回到桌面上我們重新運行剛才所添加的程序,這時Windows 7會阻止程序的運行,並彈出對話框提示(如圖4)。
圖4 程序運行被阻止
在“只運行指定的Windows應用程序”中,設置的方法也是完全一樣的,七仔就不再多說了。通過組策略編輯器我們即可輕松設置禁止和允許哪些程序運行,其實這個功能是從Windows 2000系統開始就有的了,並不是什麼新鮮玩意,下面我們繼續看看功能更強大的全新功能——AppLocker。
二、設置更靈活 AppLocker功能詳解
AppLocker是Windows 7系統中新增加的一項安全功能,它可以全方面地控制Windows 7系統中程序、安裝文件和腳本的運行,相比其它的管理功能,設置更加方便和靈活,特別是可以針對不同的帳號進行權限設置。
在使用AppLocker功能之前,首先進入控制面板,然後選擇“系統和安全”-“管理工具”-“服務”,找到Application Identity服務,設為自動啟動;
接著,要進行AppLocker的設置,我們首先以管理員的身份登錄Windows 7系統,打開開始菜單,輸入“gpedit.msc”進行查找,打開組策略編輯器。在左側的窗格中依次定位到“計算機配置”-“Windows 設置”-“安全設置”-“應用程序控制策略”,在其下我們即可看到AppLocker設置項。
圖5 在組策略編輯器中打開AppLocker設置項
當選中樹形菜單中的AppLocker項時,在界面右側我們可以看到提供了不少有關AppLocker的支持信息,可以Windows 7對於這項新功能是很重視的。召開AppLocker菜單項,其中有三個子項目“可性質規則”、“Windows安裝規則”和“腳本規則”,我們首先就以最常用的“可執行規則”來看看如何進行設置吧。
在右側空白處點擊鼠標右鍵,然後選擇“創建默認規則”,這時AppLocker會自動添加幾條規則,它將保證我們所常用的Windows 7各種自帶程序可以正常運行。
圖6 創建默認規則
接著同樣點擊鼠標右鍵,選擇“創建新規則”開始建立我們自己所需要的規則吧!AppLocker會彈出規則建立向導,我們只要按照提示一步步設計即可。首先選擇權限,如我們想禁止某個程序運行當然就選擇“拒絕”,而在“用戶或組”中,我們可以設置規則所起作用的用戶或組。點擊“選擇”按鈕,在彈出的“選擇 用戶 或 組”窗口點擊“高級”按鈕,然後通過查找找到目標對象即可,如要對所有人起作用,那麼選擇“everywhere”。
圖7 設置規則的權限
進入下一步選擇規則的條件,在此我們可通過發布者、路徑或文件哈希值三種方式來設置過濾的條件。
圖8 設置規則的條件
在“路徑”設置中,即可以我們所熟悉的方式選擇文件或者文件夾,通過彈出的對話框進行定位;而設置“發布者”條件則更加實用和靈活。當我們在“發布者”規則設置中選擇一個目標程序後,可以通過界面中的滑竿來改變規則的范圍。如選擇“QQ.exe”程序後,默認僅對文件版本為“1.45.0.0”的QQ2010進行限制,而如果我們拖動滑竿到“產品名”上,則所有版本的QQ2010都會被禁止,要是進一步拖動滑竿到“發布者”,那麼騰訊的所有產品都進入“黑名單”了。