AppLocker 是Windows 7与Windows Server 2008 R2 中的一项安全功能，可阻止不明程序在网络运行。执行AppLocker的方式为：在Win 7开始菜单输入gpedit.msc；或在Windows Server 2008 R2内生成一个新的组策略对象，即依次浏览至Computer Configuration, Windows Settings, Security Settings, Application Control Policies, AppLocker。
在AppLocker内有3种选项，是针对不同文件类型的规则集，可归纳为下表：
规则集                                                        文件类型
可执行文件                                               .exe, .com
脚本                                                 .ps1, .bat, .cmd, .vbs, .js
Windows Installer 文件                         .msi, .msp

例如，要冻结.exe文件mstsc, 可右点可执行文件的Executable Rules，选择向导工具Create New Rule，比如我们要不准访问mstsc，此时可选Deny选项，并可将该策略应用于user或group ，比如选择user group；下一步需选择基本规则，此时有三种选择：(1) Publisher:条件最为灵活，但仅适用于应用软件主人所标注软件；（2）Path：对指定文件或文件夹路径生成rule；（3）File Hash：使用于未签名应用。
    应用程序MSTSC属于有签名者，所以选条件Publisher，然后浏览查找要阻止运行文件，即位于C:\Windows\System32\mstsc.exe；选中该文件后，会看到下拉条出现，可设置不同禁运等级：可以是该产品命名的任何应用，文件名本身，甚至包括各类版本。不难想象，由此我们可阻止某个游戏开发商的任何程序运行。此处我们要冻结mstsc.exe所有例程，不管其为何种版本号，所以将下拉条滑动到file name选项；下一步可加入例外情况，然后输入规则名称，点击Create使之生效。
    需要指出，如果该规则是你第一次生成的rule，系统将会提示你该规则将成为“Default Rules”，此时你必须yes，否则将会导致系统引导发生问题；在最后一步将规则应用生效时，需要勾选Application Identity服务并设置为自动运行，以便让AppLocker能够正确识别应用。还有另外一种方式，即在开始菜单输入services.msc，定位到Application Identity服务，双击之，点击Start，并且在Startup Type域选择Automatic，重启系统即可生效。
    在正式机构的安全机制其实更为严格，比如不准运行任何未经检验的程序，或曰不可信程序。我们利用AppLocker很容易实现。例如，我们为程序C:\folder\file.exe生成了一个准运rule，该规则可以设置为不准执行C:\folder下的file.exe以外的如何文件，我们可以对准予运行的程序一一这么做。有人也许会担心这样是否会阻挡正常的系统程序运行，为此系统已有考虑。
    首先，我们需要对所要的所有系统应用程序生成默认规则：右点规则集内的Executable Rules，选取Create Default Rules，然后再将允许每个人执行C:\Program Files下任何程序的规则删除。下一步是为系统自动生成准许规则，为此右点Executable Rules并选择Automatically Generate Executable Rules。应用程序主要存放在两个位置：一个是Windows目录，系统默认规则是准许用户执行该目录下任何事情，建议对该文件夹没必要生成任何准许规则；另一个是Program Files目录，在设置对话框选择文件夹，再选择应用策略作用的用户组如Users，然后为规则命名。
    下一步，会出现规则特性显屏，可选择要生成的规则类型，此时通常将具有数字签名的所有文件生成publisher规则，而对其它文件生成hash规则；点击下一步后规则会找到对位的应用程序，稍后显示对话框，你只要点击Create即可让规则生效。
    刚才笔者提到了有三种规则，其实还有一条应当补充，即DLL rules，它用于阻挡那些调用指定DLL文件的应用。该规则应当谨慎使用，因为它会要求AppLocker对每一应用在初始化时所调用的每个DLL进行审查，所以会耗用相当的系统资源。正因如此，在默认时系统不支持DLL rules。假如确实要设置的话，方法是：转至AppLocker主配置界面，选择Configure Rule Enforcement，点击Advanced按钮勾选Enable the DLL rule collection option。
    以上所谈的规则其实都具有强制性。在有些环境下，我们更倾向于采用审计方式，AppLocker中也有相关设置。在AppLocker配置主界面上，点击Configure Rule Enforcement，选择Configured以及Audit Only选项即可。另外，只要用户运行一例被AppLocker规则所作用的应用时，相关信息就会被加入到AppLocker的事件日志内。

文章如转载，请注明转载自：http://www.5iadmin.com/post/856.html