AppLocker即所謂的“應(yīng)用程序控制策略，是Windows 7系統(tǒng)中新增加的一項(xiàng)安全功能。利用AppLocker管理員可以非常方便地進(jìn)行配置，以實(shí)現(xiàn)用戶可在計(jì)算機(jī)上可運(yùn)行哪些程序、安裝哪些文件、運(yùn)行哪些腳本。由于AppLocker是基于組策略管理和配置的，因此我們可以非常方便地將其部署到整個(gè)網(wǎng)絡(luò)環(huán)境中，可謂一勞永逸。下面筆者結(jié)合實(shí)例對這一功能進(jìn)行測試和解析。

1、牛刀小試

我們以管理員身份登錄系統(tǒng)，默認(rèn)情況下該用戶可以運(yùn)行所有的程序、腳本和沒有限制地進(jìn)行軟件的安裝。下面我們進(jìn)行一個(gè)演示：在D盤根目錄下有一個(gè)名為Bginfo.exe的程序，毫無疑問在沒有部署AppLocker前它可以運(yùn)行。然后我們部署AppLocker看看其效果：執(zhí)行“開始→ “運(yùn)行，輸入pedit.msc打開組策略編輯器。在左側(cè)的窗格中依次定位到“計(jì)算機(jī)配置 →“Windows 設(shè)置→“安全設(shè)置→“應(yīng)用程序控制，可以看到AppLocker組策略配置項(xiàng)。在其下有三項(xiàng)配置規(guī)則，分別是：可執(zhí)行規(guī)則、Windows安裝程序規(guī)則、腳本規(guī)則。(圖1)

點(diǎn)擊“可執(zhí)行規(guī)則組策略項(xiàng)，默認(rèn)情況下規(guī)則為空白。在有窗格中單擊鼠標(biāo)右鍵選擇“創(chuàng)建默認(rèn)規(guī)則可以生成三條規(guī)則，即允許所有用戶運(yùn)行“Program Files文件夾中的應(yīng)用程序;允許所有用戶運(yùn)行“Windows文件夾中的應(yīng)用程序;允許Administrator用戶運(yùn)行所有的應(yīng)用程序。為了演示效果，我們雙擊打開第三條規(guī)則點(diǎn)選“拒絕確定退出。然后打開命令提示符運(yùn)行g(shù)pupdate更新組策略個(gè)，最后我們運(yùn)行Bginfo.exe程序，可以看到彈出警告對話框，應(yīng)用程序運(yùn)行被禁止。(圖2)

2、修改默認(rèn)規(guī)則

AppLocker的默認(rèn)規(guī)則方便了管理員快速部署策略，同時(shí)也可以根據(jù)需要對默認(rèn)策略進(jìn)行修改。右鍵點(diǎn)擊相應(yīng)的默認(rèn)策略選擇“屬性打開其設(shè)置面板，在“常規(guī)選項(xiàng)卡下可設(shè)置規(guī)則類型、規(guī)則名稱、規(guī)則描述、與規(guī)則相關(guān)的用戶或者組;在“路徑選項(xiàng)卡下可設(shè)置改變該規(guī)則對應(yīng)的路徑(默認(rèn)是所有路徑);在“例外選項(xiàng)卡下設(shè)置規(guī)則的例外項(xiàng)，系統(tǒng)提供了根據(jù)應(yīng)用程序的發(fā)行者、程序路徑及其文件hash值進(jìn)行排除。(圖3)

3、創(chuàng)建新規(guī)則

除了默認(rèn)規(guī)則外，AppLocker最吸引管理員的是其可以定制應(yīng)用程序限制策略。同樣的以“可執(zhí)行規(guī)則為例我們創(chuàng)建一個(gè)自定義策略，右鍵點(diǎn)擊“可執(zhí)行規(guī)則組策略項(xiàng)選擇“創(chuàng)建新規(guī)則彈出“創(chuàng)建可執(zhí)行規(guī)則向?qū)А螕?ldquo;下一步進(jìn)入“權(quán)限設(shè)置頁面，在此頁面可以設(shè)置規(guī)則類型(允許或者拒絕)，指定規(guī)則針對的用戶或者組。單擊“下一步進(jìn)入“條件設(shè)置頁面，在此頁面中可依據(jù)程序的發(fā)行者、路徑、文件哈希值作為條件設(shè)置規(guī)則。我們默認(rèn)選擇“發(fā)行者單擊“下一步進(jìn)入具體的設(shè)置頁面。單擊“瀏覽按鈕找到目標(biāo)應(yīng)用程序(例如C:/Program Files/Internet Explorer/IExplore.exe，該應(yīng)用程序應(yīng)該具有完畢的信息，我們用它為模板進(jìn)行規(guī)則的設(shè)置 )可以看到剛才還是灰色的選項(xiàng)都已經(jīng)激活。默認(rèn)情況下滑竿處于最下方，就說明該該規(guī)則就是針對版本為8的iexplore.exe。拖動滑竿到“文件名 該規(guī)則的范圍比上面大了，文件版本顯示為*，意為該規(guī)則適用于所有版本的iexplore.exe。依次類推，滑竿每上升一格限制就更小一些，規(guī)則的范圍就擴(kuò)大一些。比如，我們將滑竿拖動到“發(fā)行者上時(shí)，則該規(guī)則適用于所有的微軟程序。當(dāng)滑竿拖動最上邊(Any publisher)是，說明該規(guī)則適用的范圍是所有的應(yīng)用程序。需要說明的是，上面的各項(xiàng)條件都只是個(gè)范例，在實(shí)戰(zhàn)中我們可以根據(jù)需要進(jìn)行修改，創(chuàng)建我們所需的規(guī)則。最后依據(jù)向?qū)ВO(shè)置規(guī)則的例外項(xiàng)并為規(guī)則起名等，這樣就完成了一個(gè)應(yīng)用程序規(guī)則的創(chuàng)建。(圖4)

4、其他規(guī)則

和可執(zhí)行規(guī)則類似，管理員可以創(chuàng)建“Windows 安裝程序規(guī)則和“腳本規(guī)則。與“可執(zhí)行規(guī)則一樣不僅可快速創(chuàng)建默認(rèn)規(guī)則，也可根據(jù)需要?jiǎng)?chuàng)建自定義的規(guī)則。通過“Windows 安裝程序規(guī)則管理員可限制、規(guī)范用戶安裝使用應(yīng)用程序。需要說明的是，通過設(shè)置“文件哈希條件，可以保證用戶安裝可靠的應(yīng)用程序(只能是msi的安裝程序)，在很多程度上杜絕了因?yàn)樗阶园惭b而使系統(tǒng)中毒。“腳本規(guī)則的創(chuàng)建和使用和上面的類似，在系統(tǒng)管理中可通過該策略保證運(yùn)行可靠的腳本，并杜絕危險(xiǎn)腳本的運(yùn)行。(圖5)

5、擴(kuò)展延伸

AppLocker作為Windows 7新增的組策略項(xiàng)在系統(tǒng)管理中是非常有用的，增強(qiáng)了微軟系統(tǒng)對應(yīng)用程序的能力提升了安全性，同時(shí)賦予管理者更多的自由。除了AppLocker之外，在組策略管理器中還有兩處與軟件管理相關(guān)的項(xiàng)值得大家注意：一個(gè)是“軟件限制策略(在“計(jì)算機(jī)配置 →“Windows 設(shè)置→“安全設(shè)置下);另外一處是“不要運(yùn)行指定的Windows應(yīng)用程序和“只運(yùn)行指定的Windows應(yīng)用程序(在“用戶配置→“管理模板→“系統(tǒng)下)。相信，只要靈活應(yīng)用這三個(gè)組策略項(xiàng)Windows 7的應(yīng)用程序安全就會得到進(jìn)一步的提升。

2、修改默認(rèn)規(guī)則

AppLocker的默認(rèn)規(guī)則方便了管理員快速部署策略，同時(shí)也可以根據(jù)需要對默認(rèn)策略進(jìn)行修改。右鍵點(diǎn)擊相應(yīng)的默認(rèn)策略選擇“屬性打開其設(shè)置面板，在“常規(guī)選項(xiàng)卡下可設(shè)置規(guī)則類型、規(guī)則名稱、規(guī)則描述、與規(guī)則相關(guān)的用戶或者組;在“路徑選項(xiàng)卡下可設(shè)置改變該規(guī)則對應(yīng)的路徑(默認(rèn)是所有路徑);在“例外選項(xiàng)卡下設(shè)置規(guī)則的例外項(xiàng)，系統(tǒng)提供了根據(jù)應(yīng)用程序的發(fā)行者、程序路徑及其文件hash值進(jìn)行排除。(圖3)

3、創(chuàng)建新規(guī)則

除了默認(rèn)規(guī)則外，AppLocker最吸引管理員的是其可以定制應(yīng)用程序限制策略。同樣的以“可執(zhí)行規(guī)則為例我們創(chuàng)建一個(gè)自定義策略，右鍵點(diǎn)擊“可執(zhí)行規(guī)則組策略項(xiàng)選擇“創(chuàng)建新規(guī)則彈出“創(chuàng)建可執(zhí)行規(guī)則向?qū)А螕?ldquo;下一步進(jìn)入“權(quán)限設(shè)置頁面，在此頁面可以設(shè)置規(guī)則類型(允許或者拒絕)，指定規(guī)則針對的用戶或者組。單擊“下一步進(jìn)入“條件設(shè)置頁面，在此頁面中可依據(jù)程序的發(fā)行者、路徑、文件哈希值作為條件設(shè)置規(guī)則。我們默認(rèn)選擇“發(fā)行者單擊“下一步進(jìn)入具體的設(shè)置頁面。單擊“瀏覽按鈕找到目標(biāo)應(yīng)用程序(例如C:/Program Files/Internet Explorer/IExplore.exe，該應(yīng)用程序應(yīng)該具有完畢的信息，我們用它為模板進(jìn)行規(guī)則的設(shè)置 )可以看到剛才還是灰色的選項(xiàng)都已經(jīng)激活。默認(rèn)情況下滑竿處于最下方，就說明該該規(guī)則就是針對版本為8的iexplore.exe。拖動滑竿到“文件名 該規(guī)則的范圍比上面大了，文件版本顯示為*，意為該規(guī)則適用于所有版本的iexplore.exe。依次類推，滑竿每上升一格限制就更小一些，規(guī)則的范圍就擴(kuò)大一些。比如，我們將滑竿拖動到“發(fā)行者上時(shí)，則該規(guī)則適用于所有的微軟程序。當(dāng)滑竿拖動最上邊(Any publisher)是，說明該規(guī)則適用的范圍是所有的應(yīng)用程序。需要說明的是，上面的各項(xiàng)條件都只是個(gè)范例，在實(shí)戰(zhàn)中我們可以根據(jù)需要進(jìn)行修改，創(chuàng)建我們所需的規(guī)則。最后依據(jù)向?qū)ВO(shè)置規(guī)則的例外項(xiàng)并為規(guī)則起名等，這樣就完成了一個(gè)應(yīng)用程序規(guī)則的創(chuàng)建。(圖4)

4、其他規(guī)則

和可執(zhí)行規(guī)則類似，管理員可以創(chuàng)建“Windows 安裝程序規(guī)則和“腳本規(guī)則。與“可執(zhí)行規(guī)則一樣不僅可快速創(chuàng)建默認(rèn)規(guī)則，也可根據(jù)需要?jiǎng)?chuàng)建自定義的規(guī)則。通過“Windows 安裝程序規(guī)則管理員可限制、規(guī)范用戶安裝使用應(yīng)用程序。需要說明的是，通過設(shè)置“文件哈希條件，可以保證用戶安裝可靠的應(yīng)用程序(只能是msi的安裝程序)，在很多程度上杜絕了因?yàn)樗阶园惭b而使系統(tǒng)中毒。“腳本規(guī)則的創(chuàng)建和使用和上面的類似，在系統(tǒng)管理中可通過該策略保證運(yùn)行可靠的腳本，并杜絕危險(xiǎn)腳本的運(yùn)行。(圖5)

5、擴(kuò)展延伸

AppLocker作為Windows 7新增的組策略項(xiàng)在系統(tǒng)管理中是非常有用的，增強(qiáng)了微軟系統(tǒng)對應(yīng)用程序的能力提升了安全性，同時(shí)賦予管理者更多的自由。除了AppLocker之外，在組策略管理器中還有兩處與軟件管理相關(guān)的項(xiàng)值得大家注意：一個(gè)是“軟件限制策略(在“計(jì)算機(jī)配置 →“Windows 設(shè)置→“安全設(shè)置下);另外一處是“不要運(yùn)行指定的Windows應(yīng)用程序和“只運(yùn)行指定的Windows應(yīng)用程序(在“用戶配置→“管理模板→“系統(tǒng)下)。相信，只要靈活應(yīng)用這三個(gè)組策略項(xiàng)Windows 7的應(yīng)用程序安全就會得到進(jìn)一步的提升。

Windows 7有很多新玩意，不過GUI界面上的東西兩三天就覺得沒啥意思了，下面偶想說話題是Windows 7的一個(gè)新功能——Windows 7引導(dǎo)系統(tǒng)內(nèi)置了VHD磁盤驅(qū)動，它讓我們將Windows 7系統(tǒng)安裝在虛擬磁盤上（實(shí)際上，也支持Windows server 2008）。

當(dāng)然，搞這玩意，對于大部分人來說，純粹就是折騰，想折騰的就往下看——

玩法一：

假設(shè)硬盤上有C、D兩個(gè)分區(qū)，其中C分區(qū)已經(jīng)安裝了Vista系統(tǒng)，現(xiàn)在偶想再安裝一個(gè)Windows 7系統(tǒng)，不過為了系統(tǒng)簡潔，不想直接將它安裝任何一個(gè)物理磁盤上，于是把它安裝在C:/VHD目錄下的Windows 7.VHD文件中，并與Vista系統(tǒng)組成雙系統(tǒng).

PS：此玩法需要注意，C盤的容量不能太小，如果Vista占15GB，而Windows 7.VHD至少也要有10GB以上，因此，C盤容量至少在30GB以上才可以玩。

在開始之前，你需要準(zhǔn)備兩個(gè)東西：

1.一個(gè)Windows 7 ISO鏡像文件

2.一個(gè)名叫imagex.exe工具（在Windows AIK包中可以找到），用于將install.wim灌進(jìn)VHD中。

方法和步驟：

第一步：在Vista系統(tǒng)下，將Windows 7 ISO文件中的所有文件解壓到第二個(gè)分區(qū)（即D盤），順便把準(zhǔn)備好的imagex.exe也放在D盤根目錄中。

第二步：然后打開系統(tǒng)的磁盤管理器，將D分區(qū)設(shè)置為活動分區(qū)，重啟后系統(tǒng)將從這里啟動，進(jìn)入和光盤一樣的安裝環(huán)境（Vista系統(tǒng)以后都是可以這樣取代光驅(qū)的。當(dāng)然，如果你有一個(gè)4GB以上的U盤，那么將U盤格式化為NTFS，并將其設(shè)為活動分區(qū)，那么將Vist a/Windows 7/WIN2008光盤內(nèi)容拷貝進(jìn)去，然后主板設(shè)置為USB啟動，那么U盤=光驅(qū)）。

盡管Windows7尚未發(fā)布，但由于使用者眾，因此已經(jīng)有幾個(gè)Bug被用戶挖出來了。先是有不少用戶表示在Vista升級到Windows7的過程中遭遇無限輪回重啟，如今，又有用戶發(fā)現(xiàn)了與休眠相關(guān)的一個(gè)Bug。

部分用戶在Windows7進(jìn)入休眠時(shí)，系統(tǒng)提示

STOP 0×000000A0 INTERNAL_POWER_ERROR (0×0000000B, 0x????????, 0x????????, 0x????????)

藍(lán)屏錯(cuò)誤，好在目前已經(jīng)有解決方法：

* 開始 - 所有 - 附件 - 命令提示符

* 右鍵- 以管理員身份運(yùn)行

* 輸入如下命令并回車

powercfg /hibernate /size 100

此外，從Vista時(shí)代，由于睡眠功能的存在，休眠功能其實(shí)已經(jīng)趨向于可有可無了，同時(shí)，禁用休眠功能還可以節(jié)省出于內(nèi)存同等大小的硬盤空間，因此，我們建議大家使用Windows 7優(yōu)化大師 (點(diǎn)此下載) 或魔方 (點(diǎn)此下載)中的系統(tǒng)設(shè)置關(guān)閉休眠功能。

圖片看不清楚？請點(diǎn)擊這里查看原圖（大圖）。

2、修改默認(rèn)規(guī)則

AppLocker的默認(rèn)規(guī)則方便了管理員快速部署策略，同時(shí)也可以根據(jù)需要對默認(rèn)策略進(jìn)行修改。右鍵點(diǎn)擊相應(yīng)的默認(rèn)策略選擇“屬性打開其設(shè)置面板，在“常規(guī)選項(xiàng)卡下可設(shè)置規(guī)則類型、規(guī)則名稱、規(guī)則描述、與規(guī)則相關(guān)的用戶或者組;在“路徑選項(xiàng)卡下可設(shè)置改變該規(guī)則對應(yīng)的路徑(默認(rèn)是所有路徑);在“例外選項(xiàng)卡下設(shè)置規(guī)則的例外項(xiàng)，系統(tǒng)提供了根據(jù)應(yīng)用程序的發(fā)行者、程序路徑及其文件hash值進(jìn)行排除。(圖3)

3、創(chuàng)建新規(guī)則

除了默認(rèn)規(guī)則外，AppLocker最吸引管理員的是其可以定制應(yīng)用程序限制策略。同樣的以“可執(zhí)行規(guī)則為例我們創(chuàng)建一個(gè)自定義策略，右鍵點(diǎn)擊“可執(zhí)行規(guī)則組策略項(xiàng)選擇“創(chuàng)建新規(guī)則彈出“創(chuàng)建可執(zhí)行規(guī)則向?qū)А螕?ldquo;下一步進(jìn)入“權(quán)限設(shè)置頁面，在此頁面可以設(shè)置規(guī)則類型(允許或者拒絕)，指定規(guī)則針對的用戶或者組。單擊“下一步進(jìn)入“條件設(shè)置頁面，在此頁面中可依據(jù)程序的發(fā)行者、路徑、文件哈希值作為條件設(shè)置規(guī)則。我們默認(rèn)選擇“發(fā)行者單擊“下一步進(jìn)入具體的設(shè)置頁面。單擊“瀏覽按鈕找到目標(biāo)應(yīng)用程序(例如C:/Program Files/Internet Explorer/IExplore.exe，該應(yīng)用程序應(yīng)該具有完畢的信息，我們用它為模板進(jìn)行規(guī)則的設(shè)置 )可以看到剛才還是灰色的選項(xiàng)都已經(jīng)激活。默認(rèn)情況下滑竿處于最下方，就說明該該規(guī)則就是針對版本為8的iexplore.exe。拖動滑竿到“文件名 該規(guī)則的范圍比上面大了，文件版本顯示為*，意為該規(guī)則適用于所有版本的iexplore.exe。依次類推，滑竿每上升一格限制就更小一些，規(guī)則的范圍就擴(kuò)大一些。比如，我們將滑竿拖動到“發(fā)行者上時(shí)，則該規(guī)則適用于所有的微軟程序。當(dāng)滑竿拖動最上邊(Any publisher)是，說明該規(guī)則適用的范圍是所有的應(yīng)用程序。需要說明的是，上面的各項(xiàng)條件都只是個(gè)范例，在實(shí)戰(zhàn)中我們可以根據(jù)需要進(jìn)行修改，創(chuàng)建我們所需的規(guī)則。最后依據(jù)向?qū)ВO(shè)置規(guī)則的例外項(xiàng)并為規(guī)則起名等，這樣就完成了一個(gè)應(yīng)用程序規(guī)則的創(chuàng)建。(圖4)

4、其他規(guī)則

和可執(zhí)行規(guī)則類似，管理員可以創(chuàng)建“Windows 安裝程序規(guī)則和“腳本規(guī)則。與“可執(zhí)行規(guī)則一樣不僅可快速創(chuàng)建默認(rèn)規(guī)則，也可根據(jù)需要?jiǎng)?chuàng)建自定義的規(guī)則。通過“Windows 安裝程序規(guī)則管理員可限制、規(guī)范用戶安裝使用應(yīng)用程序。需要說明的是，通過設(shè)置“文件哈希條件，可以保證用戶安裝可靠的應(yīng)用程序(只能是msi的安裝程序)，在很多程度上杜絕了因?yàn)樗阶园惭b而使系統(tǒng)中毒。“腳本規(guī)則的創(chuàng)建和使用和上面的類似，在系統(tǒng)管理中可通過該策略保證運(yùn)行可靠的腳本，并杜絕危險(xiǎn)腳本的運(yùn)行。(圖5)

5、擴(kuò)展延伸

AppLocker作為Windows 7新增的組策略項(xiàng)在系統(tǒng)管理中是非常有用的，增強(qiáng)了微軟系統(tǒng)對應(yīng)用程序的能力提升了安全性，同時(shí)賦予管理者更多的自由。除了AppLocker之外，在組策略管理器中還有兩處與軟件管理相關(guān)的項(xiàng)值得大家注意：一個(gè)是“軟件限制策略(在“計(jì)算機(jī)配置 →“Windows 設(shè)置→“安全設(shè)置下);另外一處是“不要運(yùn)行指定的Windows應(yīng)用程序和“只運(yùn)行指定的Windows應(yīng)用程序(在“用戶配置→“管理模板→“系統(tǒng)下)。相信，只要靈活應(yīng)用這三個(gè)組策略項(xiàng)Windows 7的應(yīng)用程序安全就會得到進(jìn)一步的提升。

2、修改默認(rèn)規(guī)則

AppLocker的默認(rèn)規(guī)則方便了管理員快速部署策略，同時(shí)也可以根據(jù)需要對默認(rèn)策略進(jìn)行修改。右鍵點(diǎn)擊相應(yīng)的默認(rèn)策略選擇“屬性打開其設(shè)置面板，在“常規(guī)選項(xiàng)卡下可設(shè)置規(guī)則類型、規(guī)則名稱、規(guī)則描述、與規(guī)則相關(guān)的用戶或者組;在“路徑選項(xiàng)卡下可設(shè)置改變該規(guī)則對應(yīng)的路徑(默認(rèn)是所有路徑);在“例外選項(xiàng)卡下設(shè)置規(guī)則的例外項(xiàng)，系統(tǒng)提供了根據(jù)應(yīng)用程序的發(fā)行者、程序路徑及其文件hash值進(jìn)行排除。(圖3)

3、創(chuàng)建新規(guī)則

除了默認(rèn)規(guī)則外，AppLocker最吸引管理員的是其可以定制應(yīng)用程序限制策略。同樣的以“可執(zhí)行規(guī)則為例我們創(chuàng)建一個(gè)自定義策略，右鍵點(diǎn)擊“可執(zhí)行規(guī)則組策略項(xiàng)選擇“創(chuàng)建新規(guī)則彈出“創(chuàng)建可執(zhí)行規(guī)則向?qū)А螕?ldquo;下一步進(jìn)入“權(quán)限設(shè)置頁面，在此頁面可以設(shè)置規(guī)則類型(允許或者拒絕)，指定規(guī)則針對的用戶或者組。單擊“下一步進(jìn)入“條件設(shè)置頁面，在此頁面中可依據(jù)程序的發(fā)行者、路徑、文件哈希值作為條件設(shè)置規(guī)則。我們默認(rèn)選擇“發(fā)行者單擊“下一步進(jìn)入具體的設(shè)置頁面。單擊“瀏覽按鈕找到目標(biāo)應(yīng)用程序(例如C:/Program Files/Internet Explorer/IExplore.exe，該應(yīng)用程序應(yīng)該具有完畢的信息，我們用它為模板進(jìn)行規(guī)則的設(shè)置 )可以看到剛才還是灰色的選項(xiàng)都已經(jīng)激活。默認(rèn)情況下滑竿處于最下方，就說明該該規(guī)則就是針對版本為8的iexplore.exe。拖動滑竿到“文件名 該規(guī)則的范圍比上面大了，文件版本顯示為*，意為該規(guī)則適用于所有版本的iexplore.exe。依次類推，滑竿每上升一格限制就更小一些，規(guī)則的范圍就擴(kuò)大一些。比如，我們將滑竿拖動到“發(fā)行者上時(shí)，則該規(guī)則適用于所有的微軟程序。當(dāng)滑竿拖動最上邊(Any publisher)是，說明該規(guī)則適用的范圍是所有的應(yīng)用程序。需要說明的是，上面的各項(xiàng)條件都只是個(gè)范例，在實(shí)戰(zhàn)中我們可以根據(jù)需要進(jìn)行修改，創(chuàng)建我們所需的規(guī)則。最后依據(jù)向?qū)ВO(shè)置規(guī)則的例外項(xiàng)并為規(guī)則起名等，這樣就完成了一個(gè)應(yīng)用程序規(guī)則的創(chuàng)建。(圖4)

4、其他規(guī)則

和可執(zhí)行規(guī)則類似，管理員可以創(chuàng)建“Windows 安裝程序規(guī)則和“腳本規(guī)則。與“可執(zhí)行規(guī)則一樣不僅可快速創(chuàng)建默認(rèn)規(guī)則，也可根據(jù)需要?jiǎng)?chuàng)建自定義的規(guī)則。通過“Windows 安裝程序規(guī)則管理員可限制、規(guī)范用戶安裝使用應(yīng)用程序。需要說明的是，通過設(shè)置“文件哈希條件，可以保證用戶安裝可靠的應(yīng)用程序(只能是msi的安裝程序)，在很多程度上杜絕了因?yàn)樗阶园惭b而使系統(tǒng)中毒。“腳本規(guī)則的創(chuàng)建和使用和上面的類似，在系統(tǒng)管理中可通過該策略保證運(yùn)行可靠的腳本，并杜絕危險(xiǎn)腳本的運(yùn)行。(圖5)

5、擴(kuò)展延伸

AppLocker作為Windows 7新增的組策略項(xiàng)在系統(tǒng)管理中是非常有用的，增強(qiáng)了微軟系統(tǒng)對應(yīng)用程序的能力提升了安全性，同時(shí)賦予管理者更多的自由。除了AppLocker之外，在組策略管理器中還有兩處與軟件管理相關(guān)的項(xiàng)值得大家注意：一個(gè)是“軟件限制策略(在“計(jì)算機(jī)配置 →“Windows 設(shè)置→“安全設(shè)置下);另外一處是“不要運(yùn)行指定的Windows應(yīng)用程序和“只運(yùn)行指定的Windows應(yīng)用程序(在“用戶配置→“管理模板→“系統(tǒng)下)。相信，只要靈活應(yīng)用這三個(gè)組策略項(xiàng)Windows 7的應(yīng)用程序安全就會得到進(jìn)一步的提升。