AppLocker 是一款用于替代軟件限制策略功能的全新系統(tǒng)管理工具。存在于 Windows Server 2008 R2 的所有版本以及 Windows 7 旗艦版 和 Windows 7 企業(yè)版 中。在 Windows 7 專業(yè)版 中，可以創(chuàng)建 AppLocker 規(guī)則，但 AppLocker 規(guī)則無(wú)法在運(yùn)行 Windows 7 專業(yè)版 的計(jì)算機(jī)上強(qiáng)制執(zhí)行。

AppLocker 允許用戶根據(jù)文件的唯一標(biāo)識(shí)，或者創(chuàng)建允許或拒絕應(yīng)用程序運(yùn)行的規(guī)則來(lái)指定哪些用戶或組具備何種運(yùn)行指定的應(yīng)用程序的權(quán)限。

AppLocker 解決了在控制應(yīng)用程序執(zhí)行方面的許多問(wèn)題，其中包括：

? 用戶的軟件運(yùn)行權(quán)限

? 用戶的軟件安裝權(quán)限

? 管理應(yīng)用程序版本

? 管理被許可的應(yīng)用程序

為了解決這些問(wèn)題，AppLocker 為管理員提供了指定哪些用戶可以運(yùn)行特定應(yīng)用程序的能力。

在 AppLocker 中，管理員被允許控制下列類型的應(yīng)用程序：

可執(zhí)行文件（.exe 和 .com）、腳本（.js、.ps1、.vbs、.cmd 和 bat）、Windows Installer 文件（.msi 和 .msp）和 DLL 文件（.dll 和 .ocx）。

這樣，通過(guò)降低了來(lái)自運(yùn)行不適當(dāng)應(yīng)用程序所帶來(lái)的各種問(wèn)題，有效幫助并減少了管理計(jì)算資源的成本。

在實(shí)際應(yīng)用管理中，通過(guò)使用 AppLocker，我們可以做到：

1. 基于從數(shù)字簽名派生的文件屬性（包括發(fā)布者、產(chǎn)品名稱、文件名和文件版本）定義規(guī)則。例如，可以根據(jù)更新過(guò)程中持續(xù)存在的發(fā)布者屬性創(chuàng)建規(guī)則，或者為特定版本的文件創(chuàng)建規(guī)則。

2. 向安全組或單個(gè)用戶分配規(guī)則。

3. 創(chuàng)建規(guī)則的例外。例如，可以創(chuàng)建一個(gè)規(guī)則，允許除注冊(cè)表編輯器（Regedit.exe）之外的所有 Windows 進(jìn)程運(yùn)行。

4. 使用僅審核模式部署策略并了解其影響，然后再?gòu)?qiáng)制該策略。

5. 導(dǎo)入和導(dǎo)出規(guī)則。導(dǎo)入和導(dǎo)出影響整個(gè)策略。例如，如果導(dǎo)出策略，則會(huì)導(dǎo)出所有規(guī)則集合中的所有規(guī)則，包括規(guī)則集合的強(qiáng)制設(shè)置。如果導(dǎo)入策略，則會(huì)覆蓋現(xiàn)有策略。

6. 使用 AppLocker PowerShell cmdlet 簡(jiǎn)化 AppLocker 規(guī)則的創(chuàng)建和管理。

?下表將 AppLocker 和軟件限制策略進(jìn)行了對(duì)比：

功能	軟件限制策略	AppLocker
規(guī)則作用域	所有用戶	特定用戶和組
提供的規(guī)則條件	文件哈希、路徑、證書、注冊(cè)表路徑和 Internet 區(qū)域規(guī)則	文件哈希、路徑和發(fā)布者規(guī)則
提供的規(guī)則類型	允許和拒絕	允許和拒絕
默認(rèn)規(guī)則操作	允許或拒絕	拒絕
僅審核模式	否	是
一次創(chuàng)建多個(gè)規(guī)則的向?qū)?/td>	否	是
策略導(dǎo)入或?qū)С?/td>	否	是
規(guī)則集合	否	是
PowerShell 支持	否	是
自定義錯(cuò)誤消息	否	是

?

轉(zhuǎn)載于:https://blog.51cto.com/marui/365150

總結(jié)

以上是生活随笔為你收集整理的应用程序控制策略——AppLocker的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。