用AppLocker设置控制策略

引言：AppLocker是一项所谓“应用程序控制策略”的安全功能，利用AppLocker，网管员可以方便地配置控制用户在计算机上可运行哪些程序、安装哪些文件、运行哪些脚本。由于AppLocker是基于组策略管理和配置的因此我们很容易将其部署到整个网络环境中。

AppLocker最早出现在Windows 7系统中，是一项所谓“应用程序控制策略”的安全功能。利用AppLocker，管理员可以方便地配置控制用户在计算机上可运行哪些程序、安装哪些文件、运行哪些脚本。

由 于AppLocker是基于组策略管理和配置的，因此我们很容易将其部署到整个网络环境中。AppLocker同样能够在Windows Server 2008 R2中发挥作用。

在Windows Server 2012 R2中配置AppLocker

AppLocker替代了之前版本的软件约束策略SRP（Software Restriction Policies），在配置方面也更为简便。这里笔者介绍的是在本地计算机上对AppLocker进行配置，但是大家通过活动目录组策略ADGP（Active Directory Group Policy）很容易应用到多部机器之上。具体操作方式如下。

1.登 录Windows Server 2012 R2，以管理员身份启动控制台程序MMC。

2.从列表中选择组策略Group Policy后点击“添加”，然后从快照（snap-ins）列表中选择服务Services，点击“OK”。

3.在MMC控制台左侧，依次扩展开项目Local Computer Policy→Windows Setting s,Security Settings→Application Control Policies→ AppLocker，右击执行规则Executable Rules后从菜单中选择生成默认规则Create Default Rules，即可以看到可运行所有文件的管理员组Administrators Group成员。

4.重复上述操作，即可设置系统安装，规则Windows Installer Rules，脚本规则 Script Rules，以及应用包件规则Packaged app Rules。

利用AppLocker阻止用户安装程序实例

比如管理员不允许用户擅自安装浏览器Google Chrome，为此，管理员首先下载其安装包Google Chrome.msi，然后执行以下步骤。

1.在MMC控制台点击左侧的安装规则Windows Installer Rules，然 后 右击“允许所有数字签名的Windows安装程序”（All digitally signed Windows Installer files）发布规则Publisher后，选择“属性”（Properties）。

2.在“所有属性”对话框内点击“例外”（Exceptions）栏目，确保“发布”选项选中后点击“添加”，然 后通过浏览方式找到Google Chrome说明文件。

3.在“打开”对话框中选中.msi文件后点击“打开”，在“发布例外”对话框移动选中Google Chrome，点击“OK”。

4.在MMC窗口右点AppLocker后选择“属性”，在“强制”（Enforcement ）栏目中勾选相应规则后点击“OK”。

5.为了让设置生效，在MMC控制台点击面板左侧的“服务”（Services ），在服务列表中定位 Application Identity，双击之。

图1 程序运行被AppLocker阻止界面

6.在属性对话框内的“通用”栏目下，将启动类型服务设置为自动方式（Automatic），在服务状态下点击“启用”（Start）后点击“OK”。

经过上述设置，当用户试图安装谷歌浏览器时，就会被AppLocker阻止，显示信息如图1所示。

经验总结

AppLocker能够为系统管理带来很多便利，通过使用动态规则，可以阻止不同类型的影响系统安全的应用程序（从游戏到恶意软件等）侵入，还可以仅允许批准的应用程序在网络中执行。