我們發現Windows 7增加了不少新功能�����,比如:XP模式和Bitlock To Go,誠然,這些功能可以使得用戶的升級更加方便����、數據安全性更高�����,但是,管理員卻還在尋找多用戶環境下靈活限制程序運行的工具��。以往的組策略經過復雜操作也能實現這一目的�����,而Windows 7則可以讓管理員從繁重的勞動中解脫出來了�����,它的AppLocker(應用程序控制策略)可以很方便地配置多用戶的程序���、文件���、腳本運行的策略�����。AppLocker基于組策略管理和配置��,這更加適用于網絡環境的部署。 一���、啟用AppLocker有講究
在進行AppLocker策略配置前,我們需要做必需的準備工作�����。我們在開始菜單的搜索框輸入“Services.msc”命令啟動服務窗口�,接著我們在該窗口查找到application Identity服務,該服務確定并驗證應用程序的標識��,禁用此服務將阻止強制執行 AppLocker���,默認情況下該服務時手動并停止的�,因此,只有啟動了該服務才能正常使用AppLocker策略�����,我們可以將其“啟動類型”設置為“自動”���,再點擊“啟動”按鈕即可啟動成功了(如圖1)����。
做好以上的準備工作�,我們就可以在開始菜單搜索框輸入“Gpedit.msc”命令啟動組策略編輯器來設置AppLocker策略了。我們可以在組策略編輯器依次進入“計算機配置-Windows設置-安全設置-應用程序控制策略-AppLocker”菜單來設置(如圖2)�����。
二�、限制用戶使用某個程序
這里,我們就通過AppLocker來建立限制用戶使用某個程序的策略吧�。比如:我們希望王蓉這個用戶不能使用Maxthon瀏覽器���。我們可以這樣來做�。首先��,在左側選擇“可執行規則”����,在右側空白窗口處右鍵單擊選擇“創建新規則”命令,接著會彈出“創建可執行規則”的窗口(如圖3)���,只需點擊“下一步”按鈕即可。
接著在窗口中選擇操作為“拒絕”���,點擊“用戶或組”下的“選擇”按鈕,在彈出的“選擇用戶或組”窗口點擊“高級”按鈕�,在彈出窗口點擊“立即查找”按鈕�����,在下面找到王蓉用戶確定即可(如圖4)。
回到原來的窗口�,點擊“下一步”按鈕(如圖5)�。
在創建主要條件步驟�����,我們選擇“發布者”條件(Maxthon已經由軟件發布者簽名,否則可以考慮選擇“文件哈?!睏l件��,如圖6),點擊“下一步”按鈕。
在出現的窗口�,這時我們可以限制用戶使用Maxthon2.5.0.0版本��,而不能限制用戶使用其他的版本,我們只需將“文件版本”旁的滑竿上移一格到“文件名”即可限制使用Maxthon的任意版本了(如圖7)。
如果Maxthon更改了程序名����,這個限制依然會失效���,不過�,我們再將滑竿上移到“產品名”就可以繼續限制了(如圖8)���。
同理����,當產品名變化時,我們再將滑竿上移到“發布者”就可以繼續保持限制了���,一般情況滑竿上移到“文件名”即可,點擊“下一步”按鈕����;接著���,我們點擊“創建”按鈕即可完成策略建立了���,規則建立過程中會建議同時創建默認規則(當默認規則未建立時�����,如圖9)�,確定即可。
那么���,創建了該規則后,王蓉用戶登錄系統運行Maxthon是否會生效呢����?我們來測試一下吧�。運行Maxthon時��,彈出了禁止運行的窗口(如圖10)�����,這說明AppLocker已經通過組策略生效了。
三、限制用戶安裝程序
為了防止用戶隨意安裝程序,AppLocker也有相應的策略設置。我們打算讓所有用戶都不能安裝cooliris這個瀏覽器插件�。不過����,該策略只能禁止用戶安裝.msi和.msp的程序���。我們可以選擇“Windows安裝程序規則”,然后右鍵單擊右側的窗口選擇“創建新規則”,同樣會打開一個“創建Windows安裝程序規則”窗口��,點擊“下一步”按鈕�����;我們設置操作為“拒絕”�����,“用戶或組”為“Everyone”,點擊“下一步”按鈕(如圖11)。
這里我們還是選擇限制條件為“發布者”����,點擊“下一步”按鈕(如圖12)。
這時���,我們可以點擊瀏覽按鈕找到cooliris插件的文件,點擊“創建”按鈕即可完成了(如圖13)�����。
以后�����,我們運行該安裝程序時都會彈出禁止安裝的提示(如圖14)����。
四���、不同用戶使用同程序的不同版本
我們發現QQ已經成為辦公不可缺少的工具���,但是娛樂性還是太強了��,我們可以通過AppLocker讓普通用戶只能使用TM辦公�����。我們讓管理員用戶直接使用QQ2009,而普通用戶則使用TM2009��。
我們就來創建這個規則吧����。首先�����,在左側選擇“可執行規則”�����,右鍵單擊右側選擇“創建新規則”命令,在“創建可執行規則”窗口點擊“下一步”按鈕��;接著在“創建可執行規則”窗口選擇“操作”為“拒絕”�,選擇“用戶或組”為“users”(普通用戶組),點擊“下一步”按鈕(如圖15)�。
然后選擇條件類型為“發布者”���,點擊“下一步”按鈕��;這時點擊“瀏覽”按鈕選擇QQ2009的可執行程序(一般為安裝目錄/QQ/Bin/QQ.exe),勾選“使用自定義值”選項并將文件版本選項設置為“及以下版本”以達到限制使用任意版本QQ的目的(如圖16)�����,點擊“下一步”按鈕���。
這時我們可以添加普通用戶可以使用的例外程序TM2009��,點擊“添加”按鈕設置為TM2009的可執行程序即可(如圖17)��。
確定之后回到原來窗口(如圖18)��,點擊“創建”按鈕即可完成了。
建立這個規則后����,普通用戶只能運行TM2009而無法運行QQ2009���,這樣就達到了目的。
大家在使用AppLocker的時候還需要注意:默認的規則會限制任何用戶使用非“PRogram Files”和“Windows”文件夾的程序,我們需要將第二條默認規則的路徑設置為*(如圖19),因為���,任何用戶默認都是以普通用戶身份運行的。
相信大家在熟練使用AppLocker的過程中會摸索出更多更好的經驗的��。
