Windows 7作為一款萬眾矚目的下一代主流操作系統(tǒng)注定將成為劃時代的產(chǎn)品。微軟除了充分吸取了開發(fā)Windows Vista的經(jīng)驗教訓(xùn)，還增加了不少方便實用的新功能，比如：可以直接給移動存儲設(shè)備加密的BitLocker To GO、將系統(tǒng)安裝到VHD映像等。Windows 7的UAC的安全窗口的彈出頻率有所減少，不少朋友可能會認(rèn)為Windows 7的用戶賬戶控制功能有所減弱了，其實，這是Windows 7對于繁瑣的用戶控制功能的改進。如果需要更加安全靈活地控制用戶執(zhí)行程序、文件以及腳本，那么，在Windows 7中已經(jīng)有更加實用的AppLocker了，中文名稱是應(yīng)用程序控制策略。那么，我們怎么來使用這個安全功能呢?

　　1.啟用AppLocker有竅門

　　啟用AppLocker功能比較簡單，我們可以采取以下方法。首先，我們在Windows 7的搜索框輸入“Gpedit.msc”命令打開組策略編輯器，依次進入“計算機配置-Windows設(shè)置-安全設(shè)置-應(yīng)用程序控制策略-AppLocker”項目，AppLocker有可執(zhí)行規(guī)則、Windows安裝程序規(guī)則和腳本規(guī)則三種，默認(rèn)沒有添加任何策略。我們不妨來創(chuàng)建一個最簡潔的可執(zhí)行規(guī)則。只需右鍵單擊“可執(zhí)行規(guī)則”項目，選擇“創(chuàng)建默認(rèn)規(guī)則”命令即可建立三條可執(zhí)行規(guī)則(如圖1)。第一條規(guī)則的含義是只允許所有用戶運行“Program Files”文件夾的程序，第二條規(guī)則表示允許所有用戶運行“Windows”文件夾的程序，第三條規(guī)則含義是只允許管理員用戶運行所有程序。當(dāng)前用戶以普通用戶權(quán)限運行程序的，因此，可以雙擊第一條規(guī)則，在彈出的窗口將“操作”設(shè)置為“拒絕”來獲得限制運行任何程序的效果(如圖2)。然而，我們發(fā)現(xiàn)該策略是無法生效的。這是什么原因呢?

　　圖1

　　圖2

　　其實，AppLocker功能默認(rèn)是被系統(tǒng)屏蔽的，我們需要予以開啟。我們在Windows 7的搜索框輸入“Services.msc”命令打開“服務(wù)”窗口，打開“Application Identity”服務(wù)，這是一個驗證應(yīng)用程序標(biāo)識的服務(wù)，默認(rèn)停用該服務(wù)將阻止系統(tǒng)強制執(zhí)行AppLocker，因此，我們需要點擊“啟動”按鈕開啟服務(wù)(如圖3)。接著，我們再次運行任意一個“Program Files”文件夾的程序就彈出了禁用的窗口(如圖4)，剛才的策略生效了。由于拒絕策略的優(yōu)先級別較高，我們將無法啟動該文件夾的所有的程序，我們只能右鍵單擊程序選擇“以管理員身份運行”命令才能正常運行程序。

　　圖3

　　圖4

　　2.個性化AppLocker策略方法

　　即使將第一條策略恢復(fù)，我們發(fā)現(xiàn)Windows 7也將只允許普通用戶運行“Program Files”文件夾和“Windows”文件夾的程序，有時會感到很不方便，那么怎么來讓普通用戶運行任意目錄的程序呢?我們嘗試來修改第一條策略。打開這條策略，進入“路徑”選項，我們發(fā)現(xiàn)只需將路徑修改成*就可以了(如圖5)。這時可能無法馬上起效，我們需要在搜索框輸入“Gpupdate”命令更新組策略才能達到目的。

　　圖5

　　以上策略可以讓任何用戶運行所有的程序了，如果，我們需要限制他們運行某些程序怎么辦呢?我們可以打開剛才的第一條策略，進入“例外”選項，比如：希望限制運行Foxmail程序，那么，選擇“添加例外”下的“路徑”，然后點擊“添加”按鈕，點擊“瀏覽文件”按鈕添加Foxmail的可執(zhí)行程序即可(如圖6)。接著，普通用戶運行Foxmail就會遇到禁止的提示了(如圖7)。

　　圖6

　　圖7

　　3.創(chuàng)建實用的程序限制策略

　　剛才我們通過默認(rèn)的AppLocker策略介紹基本的設(shè)置方法和限制效果，那么，如何將其更好地應(yīng)用到程序限制呢?比如：我們希望建立一條限制孩子使用QQ2009 SP2的策略。我們可以右鍵單擊右側(cè)空白窗格選擇“創(chuàng)建新規(guī)則”命令，這時就彈出“創(chuàng)建可執(zhí)行規(guī)則”的窗口(如圖8)，點擊“下一步”按鈕;接著需要選擇用戶的權(quán)限，選擇操作為“拒絕”，點擊“用戶或組”下的“選擇”按鈕選擇孩子的賬戶(如圖9);在彈出的“選擇用戶或組”窗口點擊“高級”按鈕，接著點擊“立即查找”，接著雙擊下方的“小淘氣”用戶(假定的孩子用戶)即可選定(如圖10)，退出到剛才的窗口，點擊“下一步”按鈕;這時需要選擇創(chuàng)建主要條件的類型，如果應(yīng)用程序已由軟件發(fā)布者簽名，那么，直接選擇“發(fā)布者”是比較快速的，否則可以選擇“文件哈希”條件，這需要計算文件的哈希值，速度稍慢，而“路徑”則不推薦，因為，孩子只需改變程序的安裝路徑即可逃脫限制了(如圖11)，這里我們只需選擇“發(fā)布者”條件，點擊“下一步”按鈕;這時我們發(fā)現(xiàn)了選擇“發(fā)布者”的窗口，點擊“瀏覽”按鈕選擇QQ的可執(zhí)行文件，默認(rèn)顯示了文件的發(fā)布者、產(chǎn)品名、文件版本等信息(如圖12)，默認(rèn)只能限制當(dāng)前版本的QQ程序，可以向上拉動左側(cè)的滑竿到“文件名”位置，這時可以限制任意版本的QQ程序了(如圖13)，再向上拉動到“發(fā)布者”位置可以限制所有騰訊的軟件，最上方即可限制所有的程序了，我們只需拉動到“文件名”位置就足夠了，點擊“下一步”按鈕;接著，我們可以添加例外的條件，比如：孩子可以運行一個低版本的QQ可以運行，選擇“路徑”條件，點擊“添加”按鈕選擇QQ的路徑(如圖14)，點擊“下一步”按鈕;這時可以輸入名稱和描述信息，點擊“創(chuàng)建”即可完成了(如圖15)。

　　圖8

　　圖9

　　圖10

　　圖11

　　圖12

　　圖13

　　圖14

　　圖15

　　那么，最后的限制效果會如何呢?孩子可以運行QQ2008，卻無法運行QQ2009 SP2(如圖16)，成功達到了預(yù)定的目標(biāo)。

　　圖16

　　AppLocker還可以創(chuàng)建Windows安裝程序和腳本規(guī)則，方法和創(chuàng)建可執(zhí)行規(guī)則類似。通過文件哈希條件限制安裝應(yīng)用程序可以提高系統(tǒng)的安全性，而腳本規(guī)則同樣可以保證只運行安全腳本，避免中毒。AppLocker的操作過程方便快捷，適合普通用戶來加固系統(tǒng)安全防線，而且管理員通過組策略配置用于網(wǎng)絡(luò)部署是很高效易用的。