一、“白名单”:程序运行自己说的算!
首先,我们来看看Windows 7中的程序运行“白名单”和“黑名单”功能。顾名思义,该功能就是限制只有在此名单中的程序才可以或不允许运行。
点击“开始”按钮,然后在搜索框中输入“gpedit.msc”打开组策略编辑器。在左侧的窗格中依次定位到“用户配置”-“管理模板”→“系统”下,在右侧我们可以看到“不要运行指定的Windows应用程序”和“只运行指定的Windows应用程序”两个选项,通过这两个位置我们即可实现限制程序运行的目的。
我们以禁止某个程序在Windows 7系统中使用为例,双击“不要运行指定的Windows应用程序”选项,打开设置对话框。在陌生状态下,该功能是没有被启动的,我们首先在左上方选择“已启用”选项。
这时,在界面下方“不允许的应用程序列表”就会变为可用状态,点击其中的“显示”按钮即可添加项目。在对话框中增加条目,并输入我们所要禁止的应用程序全名(包括扩展名)即可。
完成后保存设置并关闭组策略编辑器,回到桌面上我们重新运行刚才所添加的程序,这时Windows 7会阻止程序的运行,并弹出对话框提示。
在“只运行指定的Windows应用程序”中,设置的方法也是完全一样的,七仔就不再多说了。通过组策略编辑器我们即可轻松设置禁止和允许哪些程序运行,其实这个功能是从Windows 2000系统开始就有的了,并不是什么新鲜玩意,下面我们继续看看功能更强大的全新功能——AppLocker。
二、设置更灵活 AppLocker功能详解
AppLocker是Windows 7系统中新增加的一项安全功能,它可以全方面地控制Windows 7系统中程序、安装文件和脚本的运行,相比其它的管理功能,设置更加方便和灵活,特别是可以针对不同的帐号进行权限设置。
在使用AppLocker功能之前,首先进入控制面板,然后选择“系统和安全”-“管理工具”-“服务”,找到Application Identity服务,设为自动启动;
接着,要进行AppLocker的设置,我们首先以管理员的身份登录Windows 7系统,打开开始菜单,输入“gpedit.msc”进行查找,打开组策略编辑器。在左侧的窗格中依次定位到“计算机配置”-“Windows 设置”-“安全设置”-“应用程序控制策略”,在其下我们即可看到AppLocker设置项。
当选中树形菜单中的AppLocker项时,在界面右侧我们可以看到提供了不少有关AppLocker的支持信息,可以Windows 7对于这项新功能是很重视的。召开AppLocker菜单项,其中有三个子项目“可性质规则”、“Windows安装规则”和“脚本规则”,我们首先就以最常用的“可执行规则”来看看如何进行设置吧。
在右侧空白处点击鼠标右键,然后选择“创建默认规则”,这时AppLocker会自动添加几条规则,它将保证我们所常用的Windows 7各种自带程序可以正常运行。
接着同样点击鼠标右键,选择“创建新规则”开始建立我们自己所需要的规则吧!AppLocker会弹出规则建立向导,我们只要按照提示一步步设计即可。首先选择权限,如我们想禁止某个程序运行当然就选择“拒绝”,而在“用户或组”中,我们可以设置规则所起作用的用户或组。点击“选择”按钮,在弹出的“选择 用户 或 组”窗口点击“高级”按钮,然后通过查找找到目标对象即可,如要对所有人起作用,那么选择“everywhere”。
进入下一步选择规则的条件,在此我们可通过发布者、路径或文件哈希值三种方式来设置过滤的条件。
在“路径”设置中,即可以我们所熟悉的方式选择文件或者文件夹,通过弹出的对话框进行定位;而设置“发布者”条件则更加实用和灵活。当我们在“发布者”规则设置中选择一个目标程序后,可以通过界面中的滑竿来改变规则的范围。如选择“QQ.exe”程序后,默认仅对文件版本为“1.45.0.0”的QQ2010进行限制,而如果我们拖动滑竿到“产品名”上,则所有版本的QQ2010都会被禁止,要是进一步拖动滑竿到“发布者”,那么腾讯的所有产品都进入“黑名单”了。
完成以上设置后一路“下一步”即可,当然如果愿意的话可以给规则创建一个名称。完成设置后运行QQ时,我们就会看到弹出了禁止运行的窗口。
对于安装程序和脚本规则的创建与七仔上面所介绍的可执行规则设置基本一样,大家可以举一反三。通过AppLocker我们即可轻松地限制哪些用户可以使用哪些程序,在Windows 7中的所有程序运行都可轻松掌控!