AppLocker 實(shí)戰(zhàn)：給Windows 7 加把安全鎖

Win7之家（ www.airtaxifl.com）：AppLocker 實(shí)戰(zhàn)：給Windows 7 加把安全鎖

隨著計(jì)算機(jī)和互聯(lián)網(wǎng)的普及，各種病毒和木馬也越來(lái)越多，特別是一些新型病毒和木馬，往往在殺毒軟件提供有效查殺方法前就已經(jīng)對(duì)用戶利益造成了嚴(yán)重?fù)p害，而在越來(lái)越多的重要數(shù)據(jù)和信息存儲(chǔ)在電腦當(dāng)中的情況下，電腦的安全問(wèn)題就更顯重要。

在Windows7當(dāng)中，我們可以利用系統(tǒng)自帶的AppLocker功能進(jìn)一步提升系統(tǒng)安全性，做到既不影響平時(shí)的正常操作，又可以有效防范惡意程序的運(yùn)行！

啟用AppLocker 別忘記運(yùn)行服務(wù)

首先，用鼠標(biāo)右鍵點(diǎn)擊計(jì)算機(jī)，依次選擇“管理→服務(wù)”，找到“Application Identity”服務(wù)并設(shè)為自動(dòng)啟動(dòng)。這一步非常重要，因?yàn)橹挥性O(shè)置為自動(dòng)啟動(dòng)才能使AppLocker生效。

然后在開(kāi)始菜單中的搜索框中輸入“gpedit.msc”啟動(dòng)組策略編輯器。依次展開(kāi)“計(jì)算機(jī)配置→Windows設(shè)置→安全設(shè)置→應(yīng)用程序控制策略”，就可以看到一個(gè)名為AppLocker的相關(guān)設(shè)置項(xiàng)目。

選擇這個(gè)設(shè)置項(xiàng)目以后，在右側(cè)窗口可以看到“可執(zhí)行規(guī)則”、“Windows安裝程序規(guī)則”和“腳本規(guī)則”三種類型(如圖1所示)。在每一種規(guī)則上單擊鼠標(biāo)右鍵都可以創(chuàng)建新規(guī)則，就可以根據(jù)自己的需要，創(chuàng)建相應(yīng)的操作規(guī)則——

提示：第一次使用AppLocker，配置完成后必須重新啟動(dòng)電腦才能使策略生效。

牛刀小試 讓閃存病毒無(wú)計(jì)可施

平時(shí)我們經(jīng)常要用到閃存，利用它傳輸或共享一些文件�？墒乾F(xiàn)在閃存病毒十分猖獗，也常常導(dǎo)致我們的系統(tǒng)反復(fù)中毒。這時(shí)我們就可以利用AppLocker創(chuàng)建一條相應(yīng)的規(guī)則，避免閃存病毒對(duì)系統(tǒng)的入侵破壞。閃存病毒傳播的一個(gè)關(guān)鍵文件就是“AutoRun.inf”，所以只需要禁止這個(gè)文件的運(yùn)行就可以了。

首先我們?cè)谧髠?cè)窗口列表中選中“腳本規(guī)則”，然后在右側(cè)窗口單擊鼠標(biāo)右鍵選擇“創(chuàng)建新規(guī)則”命令，這時(shí)系統(tǒng)就會(huì)彈出“創(chuàng)建腳本規(guī)則”的窗口。在窗口的“操作”中選擇“拒絕”，然后在“用戶或組”里面選擇“Everyone”，再點(diǎn)擊“下一步”按鈕。接著在窗口的創(chuàng)建條件中選擇“路徑”選項(xiàng)，接著點(diǎn)擊“下一步”。然后在“路徑”框中輸入“？:\AutoRun.inf”(如圖2所示)，再繼續(xù)點(diǎn)擊“下一步”按鈕。由于后面沒(méi)有其他必需的操作了，所以直接點(diǎn)擊“創(chuàng)建”按鈕完成規(guī)則的創(chuàng)建�，F(xiàn)在再插上閃存，就不會(huì)因?yàn)殚W存的自動(dòng)運(yùn)行而中毒了。

提示：根據(jù)上面的設(shè)置，閃存和光盤(pán)的自動(dòng)運(yùn)行功能都將被禁用，如果你只想禁用閃存的自動(dòng)運(yùn)行功能，只需要指定閃存的盤(pán)符即可。此外，AppLocker除了可以設(shè)置文件或文件夾的絕對(duì)路徑以外，還可以使用文件或文件夾的相對(duì)路徑或系統(tǒng)變量。比如“%WINDIR%”代表操作系統(tǒng)目錄的位置，而“%TEMP%”則代表當(dāng)前系統(tǒng)默認(rèn)的臨時(shí)目錄。

進(jìn)階應(yīng)用 保護(hù)系統(tǒng)文件安全

現(xiàn)在的計(jì)算機(jī)病毒可是無(wú)孔不入，就算自己再小心謹(jǐn)慎也可能中招。而很多病毒都利用Windows對(duì)自己目錄當(dāng)中的文件的“過(guò)分信任”來(lái)運(yùn)行或感染系統(tǒng)文件，所以我們可以編寫(xiě)一條規(guī)則，禁止病毒的可執(zhí)行文件在系統(tǒng)目錄中運(yùn)行。原理很簡(jiǎn)單，只需要禁止Windows目錄當(dāng)中除系統(tǒng)的可執(zhí)行文件以外的其他程序文件即可。

同樣，還是在右側(cè)窗口中創(chuàng)建一條新的可執(zhí)行規(guī)則。首先在窗口的“操作”中選擇“拒絕”，在“用戶或組”里面選擇“Everyone”，點(diǎn)擊“下一步”按鈕，在窗口的創(chuàng)建條件中選擇“路徑”選項(xiàng)，接著在“路徑”框中輸入“%WINDIR%\*.exe”，然后在“例外”窗口中選擇“發(fā)布者”并點(diǎn)擊“添加”按鈕，在彈出的窗口里面點(diǎn)擊“瀏覽”按鈕。從彈出的窗口中隨意選擇一款微軟的程序文件，再將滑塊移動(dòng)到“發(fā)布者”這個(gè)位置上(如圖3所示)，然后點(diǎn)擊窗口中的“確定”按鈕，確認(rèn)剛才的相關(guān)設(shè)置就可以了。這時(shí)在“例外”列表中就可以看到發(fā)布者的相關(guān)信息，最后直接點(diǎn)擊“創(chuàng)建”按鈕完成規(guī)則的創(chuàng)建。

提示：由于已經(jīng)將微軟作為發(fā)布者的例外情況，因此系統(tǒng)目錄當(dāng)中所有系統(tǒng)自帶的軟件都可以正常運(yùn)行，而病毒或木馬即便“潛入”了系統(tǒng)目錄也無(wú)法運(yùn)行，當(dāng)然也就無(wú)法竄改系統(tǒng)文件，也就不能危害系統(tǒng)和用戶的信息安全。同時(shí)，規(guī)則當(dāng)中的路徑或文件名稱還可以使用通配符，這樣可以很方便地對(duì)某一類文件進(jìn)行設(shè)置，例如“?:\*.exe”，就表示任何目錄下的任何可執(zhí)行文件，“D:\*”就表示D盤(pán)下的任何文件。不過(guò)該操作要求有一定的電腦基礎(chǔ)，新手慎用!

擴(kuò)展應(yīng)用 限制已知程序運(yùn)行

其實(shí)AppLocker除了具有病毒主動(dòng)防御功能外，還可以用來(lái)限制已知程序軟件的運(yùn)行!

例如需要限制孩子運(yùn)行某一款游戲，就可以通過(guò)AppLocker創(chuàng)建規(guī)則，阻止游戲的運(yùn)行。如果游戲不需要安裝，那么利用“路徑”來(lái)判斷，顯然就無(wú)法避免出現(xiàn)孩子將游戲移動(dòng)到其他目錄就可以運(yùn)行的問(wèn)題，不過(guò)沒(méi)關(guān)系，只要?jiǎng)?chuàng)建“文件哈希”類型的規(guī)則即可。這樣不論游戲移動(dòng)到什么位置，規(guī)則只要發(fā)現(xiàn)文件哈希是一樣的值，就會(huì)毫不留情地阻止其運(yùn)行。

此外，我們的電腦當(dāng)中都會(huì)存放一些重要的文件，為了防止他人隨意修改，就可以用AppLocker創(chuàng)建規(guī)則將這些文件保護(hù)起來(lái)。方法非常簡(jiǎn)單，只需要暫時(shí)禁用打開(kāi)這些文件的軟件程序即可。

通過(guò)前面的介紹我們可以了解到，利用AppLocker可以很好地保護(hù)系統(tǒng)文件，從而避免計(jì)算機(jī)病毒對(duì)系統(tǒng)文件造成損害。只要系統(tǒng)文件完好無(wú)損，即便病毒感染了某些應(yīng)用程序也無(wú)法影響系統(tǒng)的正常運(yùn)行，在這樣的情況下，利用殺毒軟件就可以將病毒輕松搞定。怎么樣？趕緊試試看吧!

點(diǎn)評(píng)：AppLocker是Win7當(dāng)中新增的一項(xiàng)功能，并且在控制面板當(dāng)中沒(méi)有該功能的選項(xiàng)，因此很多用戶都不了解它的功能，甚至不知道它的存在。其實(shí)靈活運(yùn)用AppLocker，可以有效管理用戶如何運(yùn)行所有類型的應(yīng)用程序文件，包括可執(zhí)行文件、腳本文件、程序安裝文件和動(dòng)態(tài)鏈接庫(kù)文件等，并可以很好地保護(hù)系統(tǒng)文件安全，不怕未知病毒的破壞。此外，靈活利用AppLocker的規(guī)則組合還可以實(shí)現(xiàn)更多的功能。例如只允許擁有一定權(quán)限的用戶運(yùn)行某一個(gè)程序，只允許某個(gè)用戶運(yùn)行某個(gè)目錄下的某幾款軟件或者現(xiàn)有軟件等。

AppLocker Q & A

問(wèn)：如果我的主要程序沒(méi)有安裝在系統(tǒng)目錄，但又想給它們也加上保護(hù)怎么辦？
答：很簡(jiǎn)單，創(chuàng)建規(guī)則，將你的程序或程序安裝目錄添加進(jìn)來(lái)，然后在“拒絕”的“例外”列表當(dāng)中根據(jù)需要進(jìn)行具體的設(shè)置即可。

問(wèn)：一些軟件沒(méi)有在允許的目錄當(dāng)中，或者不在例外的列表當(dāng)中該怎么辦？
答：同樣很簡(jiǎn)單，用鼠標(biāo)右鍵點(diǎn)擊并以管理員身份運(yùn)行即可。

問(wèn)：一些軟件自身需要一些文件的寫(xiě)權(quán)限，或者會(huì)產(chǎn)生新的文件(例如下載)，怎么辦？
答：賦予相關(guān)目錄和文件“Authenticated Users”用戶完全控制權(quán)限即可。

//////////  附錄：AppLocker 更多知識(shí)和相關(guān)問(wèn)答 /////////

AppLocker即“應(yīng)用程序控制策略”，是Windows7系統(tǒng)中新增加的一項(xiàng)安全功能。

Applocker的關(guān)鍵特點(diǎn)

　　方便高效，例如您可以輕松配置一個(gè)程序高于其某個(gè)版本都能運(yùn)行，對(duì)于IT人員來(lái)說(shuō)，這可以節(jié)省大量的策略維護(hù)時(shí)間。利用AppLocker管理員可以非常方便地進(jìn)行配置，以實(shí)現(xiàn)用戶可在計(jì)算機(jī)上可運(yùn)行哪些程序、安裝哪些文件、運(yùn)行哪些腳本。由于AppLocker是基于組策略管理和配置的，因此我們可以非常方便地將其部署到整個(gè)網(wǎng)絡(luò)環(huán)境中，可謂一勞永逸。Applocker使得企業(yè)IT管理員可以非常方便的配置用戶可以在計(jì)算機(jī)上運(yùn)行哪些應(yīng)用：包括程序，安裝文件與腳本。還可以通過(guò)公司名來(lái)限制某個(gè)公司的產(chǎn)品運(yùn)行，比如限制tencent公司的應(yīng)用程序，那么qq，qqgame等等，都不能夠被運(yùn)行。

Applocker使用方法

　　一、這第一步非常重要，它決定了你的AppLocker是否能生效，計(jì)算機(jī)上右鍵→管理→服務(wù)，找到Application Identity服務(wù)，設(shè)為自動(dòng)啟動(dòng)；

　　二、執(zhí)行“開(kāi)始”→ “運(yùn)行”，輸入gpedit.msc打開(kāi)組策略編輯器。在左側(cè)的窗格中依次定位到“計(jì)算機(jī)配置” →“Windows 設(shè)置”→“安全設(shè)置”→“應(yīng)用程序控制”，可以看到AppLocker組策略配置項(xiàng)。

　　三、在“可執(zhí)行程序規(guī)則”、“安裝程序規(guī)則”、“腳本規(guī)則”上分別右鍵，創(chuàng)建默認(rèn)規(guī)則，即可。

　　四、大部份人的程序都不裝在C:\ProgramFiles\*下，怎么辦？在“可執(zhí)行程序規(guī)則”、“腳本規(guī)則”（安裝程序規(guī)則保持默認(rèn)即可）分別右鍵→新建規(guī)則，選擇允許或拒絕，用戶保持默認(rèn)的Everyone（即任意用戶）→下一步，路徑處瀏覽到你的程序或目錄（最好是目錄，只需一條規(guī)則就搞定，比如d:\ProgramFiles\*)→創(chuàng)建。

　　五、第一次使用AppLocker，設(shè)置完以上后，必須重啟機(jī)器（注銷不行），才能使策略生效。

　　六、大功告成，現(xiàn)在用IE上任意掛馬網(wǎng)站，雙擊任意病毒吧，只要不要把病毒放在以上所允許過(guò)的路徑就可以。

　　七、疑問(wèn)：網(wǎng)馬復(fù)制自已到系統(tǒng)目錄？沒(méi)有可能。在UAC開(kāi)啟的狀態(tài)下，當(dāng)前用戶及其所運(yùn)行的程序，不能讀取HIPS中所謂的AD行為中的底層磁盤(pán)，不能除USER外的注冊(cè)表項(xiàng)，不可寫(xiě)除USER目錄外的系統(tǒng)盤(pán)，可以說(shuō)，UAC就是一個(gè)規(guī)則嚴(yán)密的HIPS。

　　八、疑問(wèn)：我有一些不常用的綠色軟件比如注冊(cè)機(jī)，MD5驗(yàn)證程序等，不是放在程序安裝目錄，我也沒(méi)有在AppLocker中創(chuàng)建過(guò)允許規(guī)則，那我想用它時(shí)會(huì)不會(huì)很麻煩？答案是：一點(diǎn)也不麻煩，右鍵以管理員運(yùn)行就可以了。

Applocker 更多常見(jiàn)問(wèn)題

　　問(wèn)：我可以實(shí)機(jī)運(yùn)行一些病毒樣本嗎？

　　答：完全可以，只需像下面這樣設(shè)置，病毒就只能修改用戶臨時(shí)目錄USER了。

　　非系統(tǒng)盤(pán)，右鍵，屬性，安全，編輯，把Authenticated Users用戶組的修改、寫(xiě)入、完全控制、特殊權(quán)限等去掉勾，只保留讀取和執(zhí)行。

　　這樣，你可以運(yùn)行任意一個(gè)不需要提權(quán)（UAC沒(méi)有提示）的毒，但是毒無(wú)法破壞系統(tǒng)，也無(wú)法刪改你的重要資料。

　　注意，不要隨便對(duì)陌生程序提權(quán)，除非你完全確信這個(gè)軟件安全。

　　問(wèn)：我用迅雷下載文件到D盤(pán)，但無(wú)法保存，怎么辦？

　　答：沒(méi)關(guān)系，新建一個(gè)目錄專門(mén)用來(lái)下載東西，該目錄給予Authenticated Users修改、寫(xiě)入、完全控制就可以了。

　　記得下載完轉(zhuǎn)移到安全目錄。

　　其他問(wèn)題同理，比如有的人把電驢的配置文件放到電驢安裝目錄下，電驢需要寫(xiě)自身目錄，怎么辦？

　　請(qǐng)對(duì)電驢的配置目錄config及電驢安裝根目錄前幾個(gè)DAT及INI文件允許Authenticated Users修改、寫(xiě)入、完全控制就可以了。

　　問(wèn)：我復(fù)制一個(gè)文件到D盤(pán)是不是也無(wú)法復(fù)制？

　　答：可以復(fù)制。不過(guò)復(fù)制前UAC會(huì)有一個(gè)提示，允許，確定，即可。

　　也許有人問(wèn)：火狐能夠進(jìn)行升級(jí)嗎？它不是不能修改自身目錄？答案是可以升級(jí)，因?yàn)樵谏��?jí)前，UAC會(huì)提示，允許，確定，即可。

　　如果你不經(jīng)常安裝軟件，一個(gè)月只裝一兩個(gè)軟件，你還可以：

　　先安裝好你的常用軟件。

　　開(kāi)始菜單，運(yùn)行，輸入：gpedit.msc,回車。

　　展開(kāi)：本地計(jì)算機(jī)策略——計(jì)算機(jī)配置——WINDOWS設(shè)置——安全設(shè)置——本地策略——安全選項(xiàng)，在右面找到：用戶帳戶控制（只提升簽名并驗(yàn)證的可執(zhí)行文件），選中“已啟用”（默認(rèn)是已禁用），應(yīng)用，確定，重啟或注銷。

　　這樣：你能正常運(yùn)行你的常用軟件，就算是運(yùn)行了一個(gè)提權(quán)的病毒也沒(méi)有事了，因?yàn)樗�根本提不了�?quán)。