AppLocker 實戰(zhàn)：給Windows 7 加把安全鎖

Win7之家（ airtaxifl.com）：AppLocker 實戰(zhàn)：給Windows 7 加把安全鎖

隨著計算機和互聯(lián)網(wǎng)的普及，各種病毒和木馬也越來越多，特別是一些新型病毒和木馬，往往在殺毒軟件提供有效查殺方法前就已經(jīng)對用戶利益造成了嚴(yán)重損害，而在越來越多的重要數(shù)據(jù)和信息存儲在電腦當(dāng)中的情況下，電腦的安全問題就更顯重要。

在Windows7當(dāng)中，我們可以利用系統(tǒng)自帶的AppLocker功能進一步提升系統(tǒng)安全性，做到既不影響平時的正常操作，又可以有效防范惡意程序的運行！

啟用AppLocker 別忘記運行服務(wù)

首先，用鼠標(biāo)右鍵點擊計算機，依次選擇“管理→服務(wù)”，找到“Application Identity”服務(wù)并設(shè)為自動啟動。這一步非常重要，因為只有設(shè)置為自動啟動才能使AppLocker生效。

然后在開始菜單中的搜索框中輸入“gpedit.msc”啟動組策略編輯器。依次展開“計算機配置→Windows設(shè)置→安全設(shè)置→應(yīng)用程序控制策略”，就可以看到一個名為AppLocker的相關(guān)設(shè)置項目。

選擇這個設(shè)置項目以后，在右側(cè)窗口可以看到“可執(zhí)行規(guī)則”、“Windows安裝程序規(guī)則”和“腳本規(guī)則”三種類型(如圖1所示)。在每一種規(guī)則上單擊鼠標(biāo)右鍵都可以創(chuàng)建新規(guī)則，就可以根據(jù)自己的需要，創(chuàng)建相應(yīng)的操作規(guī)則——

提示：第一次使用AppLocker，配置完成后必須重新啟動電腦才能使策略生效。

牛刀小試 讓閃存病毒無計可施

平時我們經(jīng)常要用到閃存，利用它傳輸或共享一些文件�？墒乾F(xiàn)在閃存病毒十分猖獗，也常常導(dǎo)致我們的系統(tǒng)反復(fù)中毒。這時我們就可以利用AppLocker創(chuàng)建一條相應(yīng)的規(guī)則，避免閃存病毒對系統(tǒng)的入侵破壞。閃存病毒傳播的一個關(guān)鍵文件就是“AutoRun.inf”，所以只需要禁止這個文件的運行就可以了。

首先我們在左側(cè)窗口列表中選中“腳本規(guī)則”，然后在右側(cè)窗口單擊鼠標(biāo)右鍵選擇“創(chuàng)建新規(guī)則”命令，這時系統(tǒng)就會彈出“創(chuàng)建腳本規(guī)則”的窗口。在窗口的“操作”中選擇“拒絕”，然后在“用戶或組”里面選擇“Everyone”，再點擊“下一步”按鈕。接著在窗口的創(chuàng)建條件中選擇“路徑”選項，接著點擊“下一步”。然后在“路徑”框中輸入“？:\AutoRun.inf”(如圖2所示)，再繼續(xù)點擊“下一步”按鈕。由于后面沒有其他必需的操作了，所以直接點擊“創(chuàng)建”按鈕完成規(guī)則的創(chuàng)建�，F(xiàn)在再插上閃存，就不會因為閃存的自動運行而中毒了。

提示：根據(jù)上面的設(shè)置，閃存和光盤的自動運行功能都將被禁用，如果你只想禁用閃存的自動運行功能，只需要指定閃存的盤符即可。此外，AppLocker除了可以設(shè)置文件或文件夾的絕對路徑以外，還可以使用文件或文件夾的相對路徑或系統(tǒng)變量。比如“%WINDIR%”代表操作系統(tǒng)目錄的位置，而“%TEMP%”則代表當(dāng)前系統(tǒng)默認的臨時目錄。

進階應(yīng)用 保護系統(tǒng)文件安全

現(xiàn)在的計算機病毒可是無孔不入，就算自己再小心謹(jǐn)慎也可能中招。而很多病毒都利用Windows對自己目錄當(dāng)中的文件的“過分信任”來運行或感染系統(tǒng)文件，所以我們可以編寫一條規(guī)則，禁止病毒的可執(zhí)行文件在系統(tǒng)目錄中運行。原理很簡單，只需要禁止Windows目錄當(dāng)中除系統(tǒng)的可執(zhí)行文件以外的其他程序文件即可。

同樣，還是在右側(cè)窗口中創(chuàng)建一條新的可執(zhí)行規(guī)則。首先在窗口的“操作”中選擇“拒絕”，在“用戶或組”里面選擇“Everyone”，點擊“下一步”按鈕，在窗口的創(chuàng)建條件中選擇“路徑”選項，接著在“路徑”框中輸入“%WINDIR%\*.exe”，然后在“例外”窗口中選擇“發(fā)布者”并點擊“添加”按鈕，在彈出的窗口里面點擊“瀏覽”按鈕。從彈出的窗口中隨意選擇一款微軟的程序文件，再將滑塊移動到“發(fā)布者”這個位置上(如圖3所示)，然后點擊窗口中的“確定”按鈕，確認剛才的相關(guān)設(shè)置就可以了。這時在“例外”列表中就可以看到發(fā)布者的相關(guān)信息，最后直接點擊“創(chuàng)建”按鈕完成規(guī)則的創(chuàng)建。

提示：由于已經(jīng)將微軟作為發(fā)布者的例外情況，因此系統(tǒng)目錄當(dāng)中所有系統(tǒng)自帶的軟件都可以正常運行，而病毒或木馬即便“潛入”了系統(tǒng)目錄也無法運行，當(dāng)然也就無法竄改系統(tǒng)文件，也就不能危害系統(tǒng)和用戶的信息安全。同時，規(guī)則當(dāng)中的路徑或文件名稱還可以使用通配符，這樣可以很方便地對某一類文件進行設(shè)置，例如“?:\*.exe”，就表示任何目錄下的任何可執(zhí)行文件，“D:\*”就表示D盤下的任何文件。不過該操作要求有一定的電腦基礎(chǔ)，新手慎用!

擴展應(yīng)用 限制已知程序運行

其實AppLocker除了具有病毒主動防御功能外，還可以用來限制已知程序軟件的運行!

例如需要限制孩子運行某一款游戲，就可以通過AppLocker創(chuàng)建規(guī)則，阻止游戲的運行。如果游戲不需要安裝，那么利用“路徑”來判斷，顯然就無法避免出現(xiàn)孩子將游戲移動到其他目錄就可以運行的問題，不過沒關(guān)系，只要創(chuàng)建“文件哈希”類型的規(guī)則即可。這樣不論游戲移動到什么位置，規(guī)則只要發(fā)現(xiàn)文件哈希是一樣的值，就會毫不留情地阻止其運行。

此外，我們的電腦當(dāng)中都會存放一些重要的文件，為了防止他人隨意修改，就可以用AppLocker創(chuàng)建規(guī)則將這些文件保護起來。方法非常簡單，只需要暫時禁用打開這些文件的軟件程序即可。

通過前面的介紹我們可以了解到，利用AppLocker可以很好地保護系統(tǒng)文件，從而避免計算機病毒對系統(tǒng)文件造成損害。只要系統(tǒng)文件完好無損，即便病毒感染了某些應(yīng)用程序也無法影響系統(tǒng)的正常運行，在這樣的情況下，利用殺毒軟件就可以將病毒輕松搞定。怎么樣？趕緊試試看吧!

點評：AppLocker是Win7當(dāng)中新增的一項功能，并且在控制面板當(dāng)中沒有該功能的選項，因此很多用戶都不了解它的功能，甚至不知道它的存在。其實靈活運用AppLocker，可以有效管理用戶如何運行所有類型的應(yīng)用程序文件，包括可執(zhí)行文件、腳本文件、程序安裝文件和動態(tài)鏈接庫文件等，并可以很好地保護系統(tǒng)文件安全，不怕未知病毒的破壞。此外，靈活利用AppLocker的規(guī)則組合還可以實現(xiàn)更多的功能。例如只允許擁有一定權(quán)限的用戶運行某一個程序，只允許某個用戶運行某個目錄下的某幾款軟件或者現(xiàn)有軟件等。

AppLocker Q & A

問：如果我的主要程序沒有安裝在系統(tǒng)目錄，但又想給它們也加上保護怎么辦？
答：很簡單，創(chuàng)建規(guī)則，將你的程序或程序安裝目錄添加進來，然后在“拒絕”的“例外”列表當(dāng)中根據(jù)需要進行具體的設(shè)置即可。

問：一些軟件沒有在允許的目錄當(dāng)中，或者不在例外的列表當(dāng)中該怎么辦？
答：同樣很簡單，用鼠標(biāo)右鍵點擊并以管理員身份運行即可。

問：一些軟件自身需要一些文件的寫權(quán)限，或者會產(chǎn)生新的文件(例如下載)，怎么辦？
答：賦予相關(guān)目錄和文件“Authenticated Users”用戶完全控制權(quán)限即可。

//////////  附錄：AppLocker 更多知識和相關(guān)問答 /////////

AppLocker即“應(yīng)用程序控制策略”，是Windows7系統(tǒng)中新增加的一項安全功能。

Applocker的關(guān)鍵特點

　　方便高效，例如您可以輕松配置一個程序高于其某個版本都能運行，對于IT人員來說，這可以節(jié)省大量的策略維護時間。利用AppLocker管理員可以非常方便地進行配置，以實現(xiàn)用戶可在計算機上可運行哪些程序、安裝哪些文件、運行哪些腳本。由于AppLocker是基于組策略管理和配置的，因此我們可以非常方便地將其部署到整個網(wǎng)絡(luò)環(huán)境中，可謂一勞永逸。Applocker使得企業(yè)IT管理員可以非常方便的配置用戶可以在計算機上運行哪些應(yīng)用：包括程序，安裝文件與腳本。還可以通過公司名來限制某個公司的產(chǎn)品運行，比如限制tencent公司的應(yīng)用程序，那么qq，qqgame等等，都不能夠被運行。

Applocker使用方法

　　一、這第一步非常重要，它決定了你的AppLocker是否能生效，計算機上右鍵→管理→服務(wù)，找到Application Identity服務(wù)，設(shè)為自動啟動；

　　二、執(zhí)行“開始”→ “運行”，輸入gpedit.msc打開組策略編輯器。在左側(cè)的窗格中依次定位到“計算機配置” →“Windows 設(shè)置”→“安全設(shè)置”→“應(yīng)用程序控制”，可以看到AppLocker組策略配置項。

　　三、在“可執(zhí)行程序規(guī)則”、“安裝程序規(guī)則”、“腳本規(guī)則”上分別右鍵，創(chuàng)建默認規(guī)則，即可。

　　四、大部份人的程序都不裝在C:\ProgramFiles\*下，怎么辦？在“可執(zhí)行程序規(guī)則”、“腳本規(guī)則”（安裝程序規(guī)則保持默認即可）分別右鍵→新建規(guī)則，選擇允許或拒絕，用戶保持默認的Everyone（即任意用戶）→下一步，路徑處瀏覽到你的程序或目錄（最好是目錄，只需一條規(guī)則就搞定，比如d:\ProgramFiles\*)→創(chuàng)建。

　　五、第一次使用AppLocker，設(shè)置完以上后，必須重啟機器（注銷不行），才能使策略生效。

　　六、大功告成，現(xiàn)在用IE上任意掛馬網(wǎng)站，雙擊任意病毒吧，只要不要把病毒放在以上所允許過的路徑就可以。

　　七、疑問：網(wǎng)馬復(fù)制自已到系統(tǒng)目錄？沒有可能。在UAC開啟的狀態(tài)下，當(dāng)前用戶及其所運行的程序，不能讀取HIPS中所謂的AD行為中的底層磁盤，不能除USER外的注冊表項，不可寫除USER目錄外的系統(tǒng)盤，可以說，UAC就是一個規(guī)則嚴(yán)密的HIPS。

　　八、疑問：我有一些不常用的綠色軟件比如注冊機，MD5驗證程序等，不是放在程序安裝目錄，我也沒有在AppLocker中創(chuàng)建過允許規(guī)則，那我想用它時會不會很麻煩？答案是：一點也不麻煩，右鍵以管理員運行就可以了。

Applocker 更多常見問題

　　問：我可以實機運行一些病毒樣本嗎？

　　答：完全可以，只需像下面這樣設(shè)置，病毒就只能修改用戶臨時目錄USER了。

　　非系統(tǒng)盤，右鍵，屬性，安全，編輯，把Authenticated Users用戶組的修改、寫入、完全控制、特殊權(quán)限等去掉勾，只保留讀取和執(zhí)行。

　　這樣，你可以運行任意一個不需要提權(quán)（UAC沒有提示）的毒，但是毒無法破壞系統(tǒng)，也無法刪改你的重要資料。

　　注意，不要隨便對陌生程序提權(quán)，除非你完全確信這個軟件安全。

　　問：我用迅雷下載文件到D盤，但無法保存，怎么辦？

　　答：沒關(guān)系，新建一個目錄專門用來下載東西，該目錄給予Authenticated Users修改、寫入、完全控制就可以了。

　　記得下載完轉(zhuǎn)移到安全目錄。

　　其他問題同理，比如有的人把電驢的配置文件放到電驢安裝目錄下，電驢需要寫自身目錄，怎么辦？

　　請對電驢的配置目錄config及電驢安裝根目錄前幾個DAT及INI文件允許Authenticated Users修改、寫入、完全控制就可以了。

　　問：我復(fù)制一個文件到D盤是不是也無法復(fù)制？

　　答：可以復(fù)制。不過復(fù)制前UAC會有一個提示，允許，確定，即可。

　　也許有人問：火狐能夠進行升級嗎？它不是不能修改自身目錄？答案是可以升級，因為在升級前，UAC會提示，允許，確定，即可。

　　如果你不經(jīng)常安裝軟件，一個月只裝一兩個軟件，你還可以：

　　先安裝好你的常用軟件。

　　開始菜單，運行，輸入：gpedit.msc,回車。

　　展開：本地計算機策略——計算機配置——WINDOWS設(shè)置——安全設(shè)置——本地策略——安全選項，在右面找到：用戶帳戶控制（只提升簽名并驗證的可執(zhí)行文件），選中“已啟用”（默認是已禁用），應(yīng)用，確定，重啟或注銷。

　　這樣：你能正常運行你的常用軟件，就算是運行了一個提權(quán)的病毒也沒有事了，因為它根本提不了權(quán)。