一、白名单:程序运行自己说的算!
首先,我们来看看Windows 7中的程序运行白名单和黑名单功能。顾名思义,该功能就是限制只有在此名单中的程序才可以或不允许运行。
(本文来源于图老师网站,更多请访问http://m.tulaoshi.com/diannaorumen/)点击开始按钮,然后在搜索框中输入gpedit.msc打开组策略编辑器。在左侧的窗格中依次定位到用户配置-管理模板→系统下,在右侧我们可以看到不要运行指定的Windows应用程序和只运行指定的Windows应用程序两个选项,通过这两个位置我们即可实现限制程序运行的目的。
(本文来源于图老师网站,更多请访问http://m.tulaoshi.com/diannaorumen/)我们以禁止某个程序在Windows 7系统中使用为例,双击不要运行指定的Windows应用程序选项,打开设置对话框。在陌生状态下,该功能是没有被启动的,我们首先在左上方选择已启用选项。
这时,在界面下方不允许的应用程序列表就会变为可用状态,点击其中的显示按钮即可添加项目。在对话框中增加条目,并输入我们所要禁止的应用程序全名(包括扩展名)即可。
完成后保存设置并关闭组策略编辑器,回到桌面上我们重新运行刚才所添加的程序,这时Windows 7会阻止程序的运行,并弹出对话框提示。
在只运行指定的Windows应用程序中,设置的方法也是完全一样的,七仔就不再多说了。通过组策略编辑器我们即可轻松设置禁止和允许哪些程序运行,其实这个功能是从Windows 2000系统开始就有的了,并不是什么新鲜玩意,下面我们继续看看功能更强大的全新功能AppLocker。
二、设置更灵活 AppLocker功能详解
AppLocker是Windows 7系统中新增加的一项安全功能,它可以全方面地控制Windows 7系统中程序、安装文件和脚本的运行,相比其它的管理功能,设置更加方便和灵活,特别是可以针对不同的帐号进行权限设置。
在使用AppLocker功能之前,首先进入控制面板,然后选择系统和安全-管理工具-服务,找到Application Identity服务,设为自动启动;
接着,要进行AppLocker的设置,我们首先以管理员的身份登录Windows 7系统,打开开始菜单,输入gpedit.msc进行查找,打开组策略编辑器。在左侧的窗格中依次定位到计算机配置-Windows 设置-安全设置-应用程序控制策略,在其下我们即可看到AppLocker设置项。
当选中树形菜单中的AppLocker项时,在界面右侧我们可以看到提供了不少有关AppLocker的支持信息,可以Windows 7对于这项新功能是很重视的。召开AppLocker菜单项,其中有三个子项目可性质规则、Windows安装规则和脚本规则,我们首先就以最常用的可执行规则来看看如何进行设置吧。
在右侧空白处点击鼠标右键,然后选择创建默认规则,这时AppLocker会自动添加几条规则,它将保证我们所常用的Windows 7各种自带程序可以正常运行。
接着同样点击鼠标右键,选择创建新规则开始建立我们自己所需要的规则吧!AppLocker会弹出规则建立向导,我们只要按照提示一步步设计即可。首先选择权限,如我们想禁止某个程序运行当然就选择拒绝,而在用户或组中,我们可以设置规则所起作用的用户或组。点击选择按钮,在弹出的选择 用户 或 组窗口点击高级按钮,然后通过查找找到目标对象即可,如要对所有人起作用,那么选择everywhere。
进入下一步选择规则的条件,在此我们可通过发布者、路径或文件哈希值三种方式来设置过滤的条件。
在路径设置中,即可以我们所熟悉的方式选择文件或者文件夹,通过弹出的对话框进行定位;而设置发布者条件则更加实用和灵活。当我们在发布者规则设置中选择一个目标程序后,可以通过界面中的滑竿来改变规则的范围。如选择QQ.exe程序后,默认仅对文件版本为1.45.0.0的QQ2010进行限制,而如果我们拖动滑竿到产品名上,则所有版本的QQ2010都会被禁止,要是进一步拖动滑竿到发布者,那么腾讯的所有产品都进入黑名单了。
完成以上设置后一路下一步即可,当然如果愿意的话可以给规则创建一个名称。完成设置后运行QQ时,我们就会看到弹出了禁止运行的窗口。
对于安装程序和脚本规则的创建与七仔上面所介绍的可执行规则设置基本一样,大家可以举一反三。通过AppLocker我们即可轻松地限制哪些用户可以使用哪些程序,在Windows 7中的所有程序运行都可轻松掌控!