複製鏈接
請複製以下鏈接發送給好友
https://baike.baidu.hk/item/Applocker/2300852
複製
複製成功

Applocker

鎖定
AppLocker即“應用程序控制策略”,是Windows 7系統中新增加的一項安全功能。
外文名
Applocker
含    義
應用程序控制策略
系    統
Windows 7
性    質
安全功能
特    點
方便高效
功    能
安裝程序控制;腳本控制

目錄

  1. 1 關鍵特點
  2. 2 功能
  3. 3 使用方法
  4. 4 規則含義
  5. 5 常見問題

Applocker關鍵特點

方便高效,例如您可以輕鬆配置一個程序高於其某個版本都能運行,對於IT人員來説,這可以節省大量的策略維護時間。利用AppLocker管理員可以非常方便地進行配置,以實現用户可在計算機上可運行哪些程序、安裝哪些文件、運行哪些腳本。由於AppLocker是基於組策略管理和配置的,因此我們可以非常方便地將其部署到整個網絡環境中,可謂一勞永逸。Applocker使得企業IT管理員可以非常方便的配置用户可以在計算機上運行哪些應用:包括程序,安裝文件與腳本。還可以通過公司名來限制某個公司的產品運行,比如限制tencent公司的應用程序,那麼qq,qqgame等等,都不能夠被運行。

Applocker功能

AppLocker包含三部分功能:
1、可執行程序控制;
2、安裝程序控制;
3、腳本控制。
在XP下使用過軟件限制策略的部分朋友,也許會對此望而生畏,不過其實AppLocker是很容易使用的。

Applocker使用方法

一、這第一步非常重要,它決定了你的AppLocker是否能生效,計算機上右鍵→管理→服務,找到Application Identity服務,設為自動啓動;
二、執行“開始”→ “運行”,輸入gpedit.msc打開組策略編輯器。在左側的窗格中依次定位到“計算機配置” →“Windows 設置”→“安全設置”→“應用程序控制”,可以看到AppLocker組策略配置項。
三、在“可執行程序規則”、“安裝程序規則”、“腳本規則”上分別右鍵,創建默認規則,即可。
四、大部份人的程序都不裝在C:\ProgramFiles\*下,怎麼辦?在“可執行程序規則”、“腳本規則”(安裝程序規則保持默認即可)分別右鍵→新建規則,選擇允許或拒絕,用户保持默認的Everyone(即任意用户)→下一步,路徑處瀏覽到你的程序或目錄(最好是目錄,只需一條規則就搞定,比如d:\ProgramFiles\*)→創建。
五、第一次使用AppLocker,設置完以上後,必須重啓機器(註銷不行),才能使策略生效。
六、大功告成,用IE上任意掛馬網站,雙擊任意病毒吧,只要不要把病毒放在以上所允許過的路徑就可以。
七、疑問:網馬複製自已到系統目錄?沒有可能。在UAC開啓的狀態下,當前用户及其所運行的程序,不能讀取HIPS中所謂的AD行為中的底層磁盤,不能除USER外的註冊表項,不可寫除USER目錄外的系統盤,可以説,UAC就是一個規則嚴密的HIPS。
八、疑問:我有一些不常用的綠色軟件比如註冊機,MD5驗證程序等,不是放在程序安裝目錄,我也沒有在AppLocker中創建過允許規則,那我想用它時會不會很麻煩?答案是:一點也不麻煩,右鍵以管理員運行就可以了。

Applocker規則含義

1、任何用户均可以運行c:\windows\*及C:\Program Files\*(如果是64位系統,則包含C:\Program Files(86)\*)下所有可執行文件及腳本;
2、提權後的管理員可以運行任何位置的程序。
注:在此默認規則下,你在非c:\windows\*及C:\Program Files\*位置,雙擊任意程序,程序無法運行,只能右鍵以管理員身份運行。

Applocker常見問題

我可以實機運行一些病毒樣本嗎?
答:完全可以,只需像下面這樣設置,病毒就只能修改用户臨時目錄USER了。
系統盤,右鍵,屬性,安全,編輯,把Authenticated Users用户組的修改、寫入、完全控制、特殊權限等去掉勾,只保留讀取和執行。
這樣,你可以運行任意一個不需要提權(UAC沒有提示)的毒,但是毒無法破壞系統,也無法刪改你的重要資料。
注意,不要隨便對陌生程序提權,除非你完全確信這個軟件安全
我用迅雷下載文件到D盤,但無法保存,怎麼辦?
答:沒關係,新建一個目錄專門用來下載東西,該目錄給予Authenticated Users修改、寫入、完全控制就可以了。
記得下載完轉移到安全目錄。
其他問題同理,比如有的人把電驢的配置文件放到電驢安裝目錄下,電驢需要寫自身目錄,怎麼辦?
請對電驢的配置目錄config及電驢安裝根目錄前幾個DAT及INI文件允許Authenticated Users修改、寫入、完全控制就可以了。
我複製一個文件到D盤是不是也無法複製?
答:可以複製。不過複製前UAC會有一個提示,允許,確定,即可。
也許有人問:火狐能夠進行升級嗎?它不是不能修改自身目錄?答案是可以升級,因為在升級前,UAC會提示,允許,確定,即可。
如果你不經常安裝軟件,一個月只裝一兩個軟件,你還可以:
先安裝好你的常用軟件。
開始菜單,運行,輸入:gpedit.msc,回車。
展開:本地計算機策略——計算機配置——WINDOWS設置——安全設置——本地策略——安全選項,在右面找到:用户帳户控制(只提升簽名並驗證的可執行文件),選中“已啓用”(默認是已禁用),應用,確定,重啓或註銷。
這樣:你能正常運行你的常用軟件,就算是運行了一個提權的病毒也沒有事了,因為它根本提不了權。
請問配置策略後為什麼規則不生效?
答:applocker需要系統是旗艦版或企業版,專業版不支持,同時Application Identity服務要開啓。