AppLocker实战:给Windows 7加把安全锁
  • 佚名
  • 2010年11月23日 11:52
  • 0

通过前面的介绍我们可以了解到,利用AppLocker可以很好地保护系统文件,从而避免计算机病毒对系统文件造成损害。只要系统文件完好无损,即便病毒感染了某些应用程序也无法影响系统的正常运行,在这样的情况下,利用杀毒软件就可以将病毒轻松搞定。怎么样?赶紧试试看吧!

点评:AppLocker是Win7当中新增的一项功能,并且在控制面板当中没有该功能的选项,因此很多用户都不了解它的功能,甚至不知道它的存在。其实灵活运用AppLocker,可以有效管理用户如何运行所有类型的应用程序文件,包括可执行文件、脚本文件、程序安装文件和动态链接库文件等,并可以很好地保护系统文件安全,不怕未知病毒的破坏。此外,灵活利用AppLocker的规则组合还可以实现更多的功能。例如只允许拥有一定权限的用户运行某一个程序,只允许某个用户运行某个目录下的某几款软件或者现有软件等。

AppLocker Q & A 问:如果我的主要程序没有安装在系统目录,但又想给它们也加上保护怎么办?

答:很简单,创建规则,将你的程序或程序安装目录添加进来,然后在“拒绝”的“例外”列表当中根据需要进行具体的设置即可。

问:一些软件没有在允许的目录当中,或者不在例外的列表当中该怎么办?

答:同样很简单,用鼠标右键点击并以管理员身份运行即可。

问:一些软件自身需要一些文件的写权限,或者会产生新的文件(例如下载),怎么办?

答:赋予相关目录和文件“Authenticated Users”用户完全控制权限即可。

Applocker的关键特点

方便高效,例如您可以轻松配置一个程序高于其某个版本都能运行,对于IT人员来说,这可以节省大量的策略维护时间。利用AppLocker管理员可以非常方便地进行配置,以实现用户可在计算机上可运行哪些程序、安装哪些文件、运行哪些脚本。由于AppLocker是基于组策略管理和配置的,因此我们可以非常方便地将其部署到整个网络环境中,可谓一劳永逸。Applocker使得企业IT管理员可以非常方便的配置用户可以在计算机上运行哪些应用:包括程序,安装文件与脚本。还可以通过公司名来限制某个公司的产品运行,比如限制tencent公司的应用程序,那么qq,qqgame等等,都不能够被运行。

Applocker使用方法

一、这第一步非常重要,它决定了你的AppLocker是否能生效,计算机上右键→管理→服务,找到Application Identity服务,设为自动启动。

二、执行“开始”→ “运行”,输入gpedit.msc打开组策略编辑器。在左侧的窗格中依次定位到“计算机配置” →“Windows 设置”→“安全设置”→“应用程序控制”,可以看到AppLocker组策略配置项。

三、在“可执行程序规则”、“安装程序规则”、“脚本规则”上分别右键,创建默认规则,即可。

四、大部份人的程序都不装在C:\ProgramFiles\*下,怎么办?在“可执行程序规则”、“脚本规则”(安装程序规则保持默认即可)分别右键→新建规则,选择允许或拒绝,用户保持默认的Everyone(即任意用户)→下一步,路径处浏览到你的程序或目录(最好是目录,只需一条规则就搞定,比如d:\ProgramFiles\*)→创建。

五、第一次使用AppLocker,设置完以上后,必须重启机器(注销不行),才能使策略生效。

六、大功告成,现在用IE上任意挂马网站,双击任意病毒吧,只要不要把病毒放在以上所允许过的路径就可以。 七、疑问:网马复制自已到系统目录?没有可能。在UAC开启的状态下,当前用户及其所运行的程序,不能读取HIPS中所谓的AD行为中的底层磁盘,不能除USER外的注册表项,不可写除USER目录外的系统盘,可以说,UAC就是一个规则严密的HIPS。

八、疑问:我有一些不常用的绿色软件比如注册机,MD5验证程序等,不是放在程序安装目录,我也没有在AppLocker中创建过允许规则,那我想用它时会不会很麻烦?答案是:一点也不麻烦,右键以管理员运行就可以了。 

Applocker 更多常见问题

问:我可以实机运行一些病毒样本吗?

答:完全可以,只需像下面这样设置,病毒就只能修改用户临时目录USER了。非系统盘,右键,属性,安全,编辑,把Authenticated Users用户组的修改、写入、完全控制、特殊权限等去掉勾,只保留读取和执行。这样,你可以运行任意一个不需要提权(UAC没有提示)的毒,但是毒无法破坏系统,也无法删改你的重要资料。注意,不要随便对陌生程序提权,除非你完全确信这个软件安全。 问:我用迅雷下载文件到D盘,但无法保存,怎么办?

答:没关系,新建一个目录专门用来下载东西,该目录给予Authenticated Users修改、写入、完全控制就可以了。记得下载完转移到安全目录。 其他问题同理,比如有的人把电驴的配置文件放到电驴安装目录下,电驴需要写自身目录,怎么办? 请对电驴的配置目录config及电驴安装根目录前几个DAT及INI文件允许Authenticated Users修改、写入、完全控制就可以了。

问:我复制一个文件到D盘是不是也无法复制?

答:可以复制。不过复制前UAC会有一个提示,允许,确定,即可。

也许有人问:火狐能够进行升级吗?它不是不能修改自身目录?答案是可以升级,因为在升级前,UAC会提示,允许,确定,即可。

如果你不经常安装软件,一个月只装一两个软件,你还可以:

先安装好你的常用软件。

开始菜单,运行,输入:gpedit.msc,回车。

展开:本地计算机策略——计算机配置——WINDOWS设置——安全设置——本地策略——安全选项,在右面找到:用户帐户控制(只提升签名并验证的可执行文件),选中“已启用”(默认是已禁用),应用,确定,重启或注销。

这样:你能正常运行你的常用软件,就算是运行了一个提权的病毒也没有事了,因为它根本提不了权。

提示:第一次使用AppLocker,配置完成后必须重新启动电脑才能使策略生效。



文章出处:IT之家

文章纠错

  • 好文点赞
  • 水文反对
观点发布 网站评论、账号管理说明
热门评论
查看全部评论
相关报道

最热文章排行查看排行详情

邮件订阅

评论0 | 点赞0| 分享0 | 收藏0