我们发现Windows 7增加了不少新功能,比如:XP模式和Bitlock To Go,诚然,这些功能可以使得用户的升级更加方便、数据安全性更高,但是,管理员却还在寻找多用户环境下灵活限制程序运行的工具。以往的组策略经过复杂操作也能实现这一目的,而Windows 7则可以让管理员从繁重的劳动中解脱出来了,它的AppLocker(应用程序控制策略)可以很方便地配置多用户的程序、文件、脚本运行的策略。AppLocker基于组策略管理和配置,这更加适用于网络环境的部署。
一、启用AppLocker有讲究
在进行AppLocker策略配置前,我们需要做必需的准备工作。我们在开始菜单的搜索框输入“Services.msc命令启动服务窗口,接着我们在该窗口查找到Application Identity服务,该服务确定并验证应用程序的标识,禁用此服务将阻止强制执行 AppLocker,默认情况下该服务时手动并停止的,因此,只有启动了该服务才能正常使用AppLocker策略,我们可以将其“启动类型设置为“自动,再点击“启动按钮即可启动成功了(如图1)。
做好以上的准备工作,我们就可以在开始菜单搜索框输入“Gpedit.msc命令启动组策略编辑器来设置AppLocker策略了。我们可以在组策略编辑器依次进入“计算机配置-Windows设置-安全设置-应用程序控制策略-AppLocker菜单来设置(如图2)。
二、限制用户使用某个程序
这里,我们就通过AppLocker来建立限制用户使用某个程序的策略吧。比如:我们希望王蓉这个用户不能使用Maxthon浏览器。我们可以这样来做。首先,在左侧选择“可执行规则,在右侧空白窗口处右键单击选择“创建新规则命令,接着会弹出“创建可执行规则的窗口(如图3),只需点击“下一步按钮即可。
接着在窗口中选择操作为“拒绝,点击“用户或组下的“选择按钮,在弹出的“选择用户或组窗口点击“高级按钮,在弹出窗口点击“立即查找按钮,在下面找到王蓉用户确定即可(如图4)。
回到原来的窗口,点击“下一步按钮(如图5)。
在创建主要条件步骤,我们选择“发布者条件(Maxthon已经由软件发布者签名,否则可以考虑选择“文件哈希条件,如图6),点击“下一步按钮。
在出现的窗口,这时我们可以限制用户使用Maxthon2.5.0.0版本,而不能限制用户使用其他的版本,我们只需将“文件版本旁的滑竿上移一格到“文件名即可限制使用Maxthon的任意版本了(如图7)。
如果Maxthon更改了程序名,这个限制依然会失效,不过,我们再将滑竿上移到“产品名就可以继续限制了(如图8)。
同理,当产品名变化时,我们再将滑竿上移到“发布者就可以继续保持限制了,一般情况滑竿上移到“文件名即可,点击“下一步按钮;接着,我们点击“创建按钮即可完成策略建立了,规则建立过程中会建议同时创建默认规则(当默认规则未建立时,如图9),确定即可。
那么,创建了该规则后,王蓉用户登录系统运行Maxthon是否会生效呢?我们来测试一下吧。运行Maxthon时,弹出了禁止运行的窗口(如图10),这说明AppLocker已经通过组策略生效了。
三、限制用户安装程序
为了防止用户随意安装程序,AppLocker也有相应的策略设置。我们打算让所有用户都不能安装cooliris这个浏览器插件。不过,该策略只能禁止用户安装.msi和.msp的程序。我们可以选择“Windows安装程序规则,然后右键单击右侧的窗口选择“创建新规则,同样会打开一个“创建Windows安装程序规则窗口,点击“下一步按钮;我们设置操作为“拒绝,“用户或组为“Everyone,点击“下一步按钮(如图11)。
这里我们还是选择限制条件为“发布者,点击“下一步按钮(如图12)。
这时,我们可以点击浏览按钮找到cooliris插件的文件,点击“创建按钮即可完成了(如图13)。
以后,我们运行该安装程序时都会弹出禁止安装的提示(如图14)。
四、不同用户使用同程序的不同版本
我们发现QQ已经成为办公不可缺少的工具,但是娱乐性还是太强了,我们可以通过AppLocker让普通用户只能使用TM办公。我们让管理员用户直接使用QQ2009,而普通用户则使用TM2009。
我们就来创建这个规则吧。首先,在左侧选择“可执行规则,右键单击右侧选择“创建新规则命令,在“创建可执行规则窗口点击“下一步按钮;接着在“创建可执行规则窗口选择“操作为“拒绝,选择“用户或组为“users(普通用户组),点击“下一步按钮(如图15)。
然后选择条件类型为“发布者,点击“下一步按钮;这时点击“浏览按钮选择QQ2009的可执行程序(一般为安装目录/QQ/Bin/QQ.exe),勾选“使用自定义值选项并将文件版本选项设置为“及以下版本以达到限制使用任意版本QQ的目的(如图16),点击“下一步按钮。
这时我们可以添加普通用户可以使用的例外程序TM2009,点击“添加按钮设置为TM2009的可执行程序即可(如图17)。
确定之后回到原来窗口(如图18),点击“创建按钮即可完成了。
建立这个规则后,普通用户只能运行TM2009而无法运行QQ2009,这样就达到了目的。
大家在使用AppLocker的时候还需要注意:默认的规则会限制任何用户使用非“Program Files和“Windows文件夹的程序,我们需要将第二条默认规则的路径设置为*(如图19),因为,任何用户默认都是以普通用户身份运行的。
相信大家在熟练使用AppLocker的过程中会摸索出更多更好的经验的。
标签: