Windows 7的AppLocker功能解析
AppLocker即所谓的“应用程序控制策略,是Windows 7系统中新增加的一项安全功能。利用AppLocker管理员可以非常方便地进行配置,以实现用户可在计算机上可运行哪些程序、安装哪些文件、运行哪些脚本。由于AppLocker是基于组策略管理和配置的,因此我们可以非常方便地将其部署到整个网络环境中,可谓一劳永逸。下面笔者结合实例对这一功能进行测试和解析。
1、牛刀小试
我们以管理员身份登录系统,默认情况下该用户可以运行所有的程序、脚本和没有限制地进行软件的安装。下面我们进行一个演示:在D盘根目录下有一个名为Bginfo.exe的程序,毫无疑问在没有部署AppLocker前它可以运行。然后我们部署AppLocker看看其效果:执行“开始→ “运行,输入pedit.msc打开组策略编辑器。在左侧的窗格中依次定位到“计算机配置 →“Windows 设置→“安全设置→“应用程序控制,可以看到AppLocker组策略配置项。在其下有三项配置规则,分别是:可执行规则、Windows安装程序规则、脚本规则。(图1)
点击“可执行规则组策略项,默认情况下规则为空白。在有窗格中单击鼠标右键选择“创建默认规则可以生成三条规则,即允许所有用户运行“Program Files文件夹中的应用程序;允许所有用户运行“Windows文件夹中的应用程序;允许Administrator用户运行所有的应用程序。为了演示效果,我们双击打开第三条规则点选“拒绝确定退出。然后打开命令提示符运行gpupdate更新组策略个,最后我们运行Bginfo.exe程序,可以看到弹出警告对话框,应用程序运行被禁止。(图2)
2、修改默认规则
AppLocker的默认规则方便了管理员快速部署策略,同时也可以根据需要对默认策略进行修改。右键点击相应的默认策略选择“属性打开其设置面板,在“常规选项卡下可设置规则类型、规则名称、规则描述、与规则相关的用户或者组;在“路径选项卡下可设置改变该规则对应的路径(默认是所有路径);在“例外选项卡下设置规则的例外项,系统提供了根据应用程序的发行者、程序路径及其文件hash值进行排除。(图3)
3、创建新规则
除了默认规则外,AppLocker最吸引管理员的是其可以定制应用程序限制策略。同样的以“可执行规则为例我们创建一个自定义策略,右键点击“可执行规则组策略项选择“创建新规则弹出“创建可执行规则向导。单击“下一步进入“权限设置页面,在此页面可以设置规则类型(允许或者拒绝),指定规则针对的用户或者组。单击“下一步进入“条件设置页面,在此页面中可依据程序的发行者、路径、文件哈希值作为条件设置规则。我们默认选择“发行者单击“下一步进入具体的设置页面。单击“浏览按钮找到目标应用程序(例如C:/Program Files/Internet Explorer/IExplore.exe,该应用程序应该具有完毕的信息,我们用它为模板进行规则的设置 )可以看到刚才还是灰色的选项都已经激活。默认情况下滑竿处于最下方,就说明该该规则就是针对版本为8的iexplore.exe。拖动滑竿到“文件名 该规则的范围比上面大了,文件版本显示为*,意为该规则适用于所有版本的iexplore.exe。依次类推,滑竿每上升一格限制就更小一些,规则的范围就扩大一些。比如,我们将滑竿拖动到“发行者上时,则该规则适用于所有的微软程序。当滑竿拖动最上边(Any publisher)是,说明该规则适用的范围是所有的应用程序。需要说明的是,上面的各项条件都只是个范例,在实战中我们可以根据需要进行修改,创建我们所需的规则。最后依据向导,设置规则的例外项并为规则起名等,这样就完成了一个应用程序规则的创建。(图4)
4、其他规则
和可执行规则类似,管理员可以创建“Windows 安装程序规则和“脚本规则。与“可执行规则一样不仅可快速创建默认规则,也可根据需要创建自定义的规则。通过“Windows 安装程序规则管理员可限制、规范用户安装使用应用程序。需要说明的是,通过设置“文件哈希条件,可以保证用户安装可靠的应用程序(只能是msi的安装程序),在很多程度上杜绝了因为私自安装而使系统中毒。“脚本规则的创建和使用和上面的类似,在系统管理中可通过该策略保证运行可靠的脚本,并杜绝危险脚本的运行。(图5)
5、扩展延伸
AppLocker作为Windows 7新增的组策略项在系统管理中是非常有用的,增强了微软系统对应用程序的能力提升了安全性,同时赋予管理者更多的自由。除了AppLocker之外,在组策略管理器中还有两处与软件管理相关的项值得大家注意:一个是“软件限制策略(在“计算机配置 →“Windows 设置→“安全设置下);另外一处是“不要运行指定的Windows应用程序和“只运行指定的Windows应用程序(在“用户配置→“管理模板→“系统下)。相信,只要灵活应用这三个组策略项Windows 7的应用程序安全就会得到进一步的提升。
2、修改默认规则
AppLocker的默认规则方便了管理员快速部署策略,同时也可以根据需要对默认策略进行修改。右键点击相应的默认策略选择“属性打开其设置面板,在“常规选项卡下可设置规则类型、规则名称、规则描述、与规则相关的用户或者组;在“路径选项卡下可设置改变该规则对应的路径(默认是所有路径);在“例外选项卡下设置规则的例外项,系统提供了根据应用程序的发行者、程序路径及其文件hash值进行排除。(图3)
3、创建新规则
除了默认规则外,AppLocker最吸引管理员的是其可以定制应用程序限制策略。同样的以“可执行规则为例我们创建一个自定义策略,右键点击“可执行规则组策略项选择“创建新规则弹出“创建可执行规则向导。单击“下一步进入“权限设置页面,在此页面可以设置规则类型(允许或者拒绝),指定规则针对的用户或者组。单击“下一步进入“条件设置页面,在此页面中可依据程序的发行者、路径、文件哈希值作为条件设置规则。我们默认选择“发行者单击“下一步进入具体的设置页面。单击“浏览按钮找到目标应用程序(例如C:/Program Files/Internet Explorer/IExplore.exe,该应用程序应该具有完毕的信息,我们用它为模板进行规则的设置 )可以看到刚才还是灰色的选项都已经激活。默认情况下滑竿处于最下方,就说明该该规则就是针对版本为8的iexplore.exe。拖动滑竿到“文件名 该规则的范围比上面大了,文件版本显示为*,意为该规则适用于所有版本的iexplore.exe。依次类推,滑竿每上升一格限制就更小一些,规则的范围就扩大一些。比如,我们将滑竿拖动到“发行者上时,则该规则适用于所有的微软程序。当滑竿拖动最上边(Any publisher)是,说明该规则适用的范围是所有的应用程序。需要说明的是,上面的各项条件都只是个范例,在实战中我们可以根据需要进行修改,创建我们所需的规则。最后依据向导,设置规则的例外项并为规则起名等,这样就完成了一个应用程序规则的创建。(图4)
4、其他规则
和可执行规则类似,管理员可以创建“Windows 安装程序规则和“脚本规则。与“可执行规则一样不仅可快速创建默认规则,也可根据需要创建自定义的规则。通过“Windows 安装程序规则管理员可限制、规范用户安装使用应用程序。需要说明的是,通过设置“文件哈希条件,可以保证用户安装可靠的应用程序(只能是msi的安装程序),在很多程度上杜绝了因为私自安装而使系统中毒。“脚本规则的创建和使用和上面的类似,在系统管理中可通过该策略保证运行可靠的脚本,并杜绝危险脚本的运行。(图5)
5、扩展延伸
AppLocker作为Windows 7新增的组策略项在系统管理中是非常有用的,增强了微软系统对应用程序的能力提升了安全性,同时赋予管理者更多的自由。除了AppLocker之外,在组策略管理器中还有两处与软件管理相关的项值得大家注意:一个是“软件限制策略(在“计算机配置 →“Windows 设置→“安全设置下);另外一处是“不要运行指定的Windows应用程序和“只运行指定的Windows应用程序(在“用户配置→“管理模板→“系统下)。相信,只要灵活应用这三个组策略项Windows 7的应用程序安全就会得到进一步的提升。
Windows 7有很多新玩意,不过GUI界面上的东西两三天就觉得没啥意思了,下面偶想说话题是Windows 7的一个新功能——Windows 7引导系统内置了VHD磁盘驱动,它让我们将Windows 7系统安装在虚拟磁盘上(实际上,也支持Windows server 2008)。
当然,搞这玩意,对于大部分人来说,纯粹就是折腾,想折腾的就往下看——
玩法一:
假设硬盘上有C、D两个分区,其中C分区已经安装了Vista系统,现在偶想再安装一个Windows 7系统,不过为了系统简洁,不想直接将它安装任何一个物理磁盘上,于是把它安装在C:/VHD目录下的Windows 7.VHD文件中,并与Vista系统组成双系统.
PS:此玩法需要注意,C盘的容量不能太小,如果Vista占15GB,而Windows 7.VHD至少也要有10GB以上,因此,C盘容量至少在30GB以上才可以玩。
在开始之前,你需要准备两个东西:
1.一个Windows 7 ISO镜像文件
2.一个名叫imagex.exe工具(在Windows AIK包中可以找到),用于将install.wim灌进VHD中。
方法和步骤:
第一步:在Vista系统下,将Windows 7 ISO文件中的所有文件解压到第二个分区(即D盘),顺便把准备好的imagex.exe也放在D盘根目录中。
第二步:然后打开系统的磁盘管理器,将D分区设置为活动分区,重启后系统将从这里启动,进入和光盘一样的安装环境(Vista系统以后都是可以这样取代光驱的。当然,如果你有一个4GB以上的U盘,那么将U盘格式化为NTFS,并将其设为活动分区,那么将Vist a/Windows 7/WIN2008光盘内容拷贝进去,然后主板设置为USB启动,那么U盘=光驱)。
尽管Windows7尚未发布,但由于使用者众,因此已经有几个Bug被用户挖出来了。先是有不少用户表示在Vista升级到Windows7的过程中遭遇无限轮回重启,如今,又有用户发现了与休眠相关的一个Bug。
部分用户在Windows7进入休眠时,系统提示
STOP 0×000000A0 INTERNAL_POWER_ERROR (0×0000000B, 0x????????, 0x????????, 0x????????)
蓝屏错误,好在目前已经有解决方法:
* 开始 - 所有 - 附件 - 命令提示符
* 右键- 以管理员身份运行
* 输入如下命令并回车
powercfg /hibernate /size 100
此外,从Vista时代,由于睡眠功能的存在,休眠功能其实已经趋向于可有可无了,同时,禁用休眠功能还可以节省出于内存同等大小的硬盘空间,因此,我们建议大家使用Windows 7优化大师 (点此下载) 或魔方 (点此下载)中的系统设置关闭休眠功能。
图片看不清楚?请点击这里查看原图(大图)。
2、修改默认规则
AppLocker的默认规则方便了管理员快速部署策略,同时也可以根据需要对默认策略进行修改。右键点击相应的默认策略选择“属性打开其设置面板,在“常规选项卡下可设置规则类型、规则名称、规则描述、与规则相关的用户或者组;在“路径选项卡下可设置改变该规则对应的路径(默认是所有路径);在“例外选项卡下设置规则的例外项,系统提供了根据应用程序的发行者、程序路径及其文件hash值进行排除。(图3)
3、创建新规则
除了默认规则外,AppLocker最吸引管理员的是其可以定制应用程序限制策略。同样的以“可执行规则为例我们创建一个自定义策略,右键点击“可执行规则组策略项选择“创建新规则弹出“创建可执行规则向导。单击“下一步进入“权限设置页面,在此页面可以设置规则类型(允许或者拒绝),指定规则针对的用户或者组。单击“下一步进入“条件设置页面,在此页面中可依据程序的发行者、路径、文件哈希值作为条件设置规则。我们默认选择“发行者单击“下一步进入具体的设置页面。单击“浏览按钮找到目标应用程序(例如C:/Program Files/Internet Explorer/IExplore.exe,该应用程序应该具有完毕的信息,我们用它为模板进行规则的设置 )可以看到刚才还是灰色的选项都已经激活。默认情况下滑竿处于最下方,就说明该该规则就是针对版本为8的iexplore.exe。拖动滑竿到“文件名 该规则的范围比上面大了,文件版本显示为*,意为该规则适用于所有版本的iexplore.exe。依次类推,滑竿每上升一格限制就更小一些,规则的范围就扩大一些。比如,我们将滑竿拖动到“发行者上时,则该规则适用于所有的微软程序。当滑竿拖动最上边(Any publisher)是,说明该规则适用的范围是所有的应用程序。需要说明的是,上面的各项条件都只是个范例,在实战中我们可以根据需要进行修改,创建我们所需的规则。最后依据向导,设置规则的例外项并为规则起名等,这样就完成了一个应用程序规则的创建。(图4)
4、其他规则
和可执行规则类似,管理员可以创建“Windows 安装程序规则和“脚本规则。与“可执行规则一样不仅可快速创建默认规则,也可根据需要创建自定义的规则。通过“Windows 安装程序规则管理员可限制、规范用户安装使用应用程序。需要说明的是,通过设置“文件哈希条件,可以保证用户安装可靠的应用程序(只能是msi的安装程序),在很多程度上杜绝了因为私自安装而使系统中毒。“脚本规则的创建和使用和上面的类似,在系统管理中可通过该策略保证运行可靠的脚本,并杜绝危险脚本的运行。(图5)
5、扩展延伸
AppLocker作为Windows 7新增的组策略项在系统管理中是非常有用的,增强了微软系统对应用程序的能力提升了安全性,同时赋予管理者更多的自由。除了AppLocker之外,在组策略管理器中还有两处与软件管理相关的项值得大家注意:一个是“软件限制策略(在“计算机配置 →“Windows 设置→“安全设置下);另外一处是“不要运行指定的Windows应用程序和“只运行指定的Windows应用程序(在“用户配置→“管理模板→“系统下)。相信,只要灵活应用这三个组策略项Windows 7的应用程序安全就会得到进一步的提升。
2、修改默认规则
AppLocker的默认规则方便了管理员快速部署策略,同时也可以根据需要对默认策略进行修改。右键点击相应的默认策略选择“属性打开其设置面板,在“常规选项卡下可设置规则类型、规则名称、规则描述、与规则相关的用户或者组;在“路径选项卡下可设置改变该规则对应的路径(默认是所有路径);在“例外选项卡下设置规则的例外项,系统提供了根据应用程序的发行者、程序路径及其文件hash值进行排除。(图3)
3、创建新规则
除了默认规则外,AppLocker最吸引管理员的是其可以定制应用程序限制策略。同样的以“可执行规则为例我们创建一个自定义策略,右键点击“可执行规则组策略项选择“创建新规则弹出“创建可执行规则向导。单击“下一步进入“权限设置页面,在此页面可以设置规则类型(允许或者拒绝),指定规则针对的用户或者组。单击“下一步进入“条件设置页面,在此页面中可依据程序的发行者、路径、文件哈希值作为条件设置规则。我们默认选择“发行者单击“下一步进入具体的设置页面。单击“浏览按钮找到目标应用程序(例如C:/Program Files/Internet Explorer/IExplore.exe,该应用程序应该具有完毕的信息,我们用它为模板进行规则的设置 )可以看到刚才还是灰色的选项都已经激活。默认情况下滑竿处于最下方,就说明该该规则就是针对版本为8的iexplore.exe。拖动滑竿到“文件名 该规则的范围比上面大了,文件版本显示为*,意为该规则适用于所有版本的iexplore.exe。依次类推,滑竿每上升一格限制就更小一些,规则的范围就扩大一些。比如,我们将滑竿拖动到“发行者上时,则该规则适用于所有的微软程序。当滑竿拖动最上边(Any publisher)是,说明该规则适用的范围是所有的应用程序。需要说明的是,上面的各项条件都只是个范例,在实战中我们可以根据需要进行修改,创建我们所需的规则。最后依据向导,设置规则的例外项并为规则起名等,这样就完成了一个应用程序规则的创建。(图4)
4、其他规则
和可执行规则类似,管理员可以创建“Windows 安装程序规则和“脚本规则。与“可执行规则一样不仅可快速创建默认规则,也可根据需要创建自定义的规则。通过“Windows 安装程序规则管理员可限制、规范用户安装使用应用程序。需要说明的是,通过设置“文件哈希条件,可以保证用户安装可靠的应用程序(只能是msi的安装程序),在很多程度上杜绝了因为私自安装而使系统中毒。“脚本规则的创建和使用和上面的类似,在系统管理中可通过该策略保证运行可靠的脚本,并杜绝危险脚本的运行。(图5)
5、扩展延伸
AppLocker作为Windows 7新增的组策略项在系统管理中是非常有用的,增强了微软系统对应用程序的能力提升了安全性,同时赋予管理者更多的自由。除了AppLocker之外,在组策略管理器中还有两处与软件管理相关的项值得大家注意:一个是“软件限制策略(在“计算机配置 →“Windows 设置→“安全设置下);另外一处是“不要运行指定的Windows应用程序和“只运行指定的Windows应用程序(在“用户配置→“管理模板→“系统下)。相信,只要灵活应用这三个组策略项Windows 7的应用程序安全就会得到进一步的提升。
相关文章: