Windows 7怎么给程序加锁

sou7 2016-11-21 09:17:19 来源: 三联教程

  Windows 7作为一款万众瞩目的下一代主流操作系统注定将成为划时代的产品。微软除了充分吸取了开发Windows Vista的经验教训,还增加了不少方便实用的新功能,比如:可以直接给移动存储设备加密的BitLocker To GO、将系统安装到VHD映像等。Windows 7的UAC的安全窗口的弹出频率有所减少,不少朋友可能会认为Windows 7的用户账户控制功能有所减弱了,其实,这是Windows 7对于繁琐的用户控制功能的改进。如果需要更加安全灵活地控制用户执行程序、文件以及脚本,那么,在Windows 7中已经有更加实用的AppLocker了,中文名称是应用程序控制策略。那么,我们怎么来使用这个安全功能呢?

  1.启用AppLocker有窍门

  启用AppLocker功能比较简单,我们可以采取以下方法。首先,我们在Windows 7的搜索框输入“Gpedit.msc”命令打开组策略编辑器,依次进入“计算机配置-Windows设置-安全设置-应用程序控制策略-AppLocker”项目,AppLocker有可执行规则、Windows安装程序规则和脚本规则三种,默认没有添加任何策略。我们不妨来创建一个最简洁的可执行规则。只需右键单击“可执行规则”项目,选择“创建默认规则”命令即可建立三条可执行规则(如图1)。第一条规则的含义是只允许所有用户运行“Program Files”文件夹的程序,第二条规则表示允许所有用户运行“Windows”文件夹的程序,第三条规则含义是只允许管理员用户运行所有程序。当前用户以普通用户权限运行程序的,因此,可以双击第一条规则,在弹出的窗口将“操作”设置为“拒绝”来获得限制运行任何程序的效果(如图2)。然而,我们发现该策略是无法生效的。这是什么原因呢?

Windows 7怎么给程序加锁 三 联

  图1

Windows

  图2

  其实,AppLocker功能默认是被系统屏蔽的,我们需要予以开启。我们在Windows 7的搜索框输入“Services.msc”命令打开“服务”窗口,打开“Application Identity”服务,这是一个验证应用程序标识的服务,默认停用该服务将阻止系统强制执行AppLocker,因此,我们需要点击“启动”按钮开启服务(如图3)。接着,我们再次运行任意一个“Program Files”文件夹的程序就弹出了禁用的窗口(如图4),刚才的策略生效了。由于拒绝策略的优先级别较高,我们将无法启动该文件夹的所有的程序,我们只能右键单击程序选择“以管理员身份运行”命令才能正常运行程序。

Windows

  图3

Windows

  图4

  2.个性化AppLocker策略方法

  即使将第一条策略恢复,我们发现Windows 7也将只允许普通用户运行“Program Files”文件夹和“Windows”文件夹的程序,有时会感到很不方便,那么怎么来让普通用户运行任意目录的程序呢?我们尝试来修改第一条策略。打开这条策略,进入“路径”选项,我们发现只需将路径修改成*就可以了(如图5)。这时可能无法马上起效,我们需要在搜索框输入“Gpupdate”命令更新组策略才能达到目的。

Windows

  图5

  以上策略可以让任何用户运行所有的程序了,如果,我们需要限制他们运行某些程序怎么办呢?我们可以打开刚才的第一条策略,进入“例外”选项,比如:希望限制运行Foxmail程序,那么,选择“添加例外”下的“路径”,然后点击“添加”按钮,点击“浏览文件”按钮添加Foxmail的可执行程序即可(如图6)。接着,普通用户运行Foxmail就会遇到禁止的提示了(如图7)。

Windows

  图6

Windows

  图7

  3.创建实用的程序限制策略

  刚才我们通过默认的AppLocker策略介绍基本的设置方法和限制效果,那么,如何将其更好地应用到程序限制呢?比如:我们希望建立一条限制孩子使用QQ2009 SP2的策略。我们可以右键单击右侧空白窗格选择“创建新规则”命令,这时就弹出“创建可执行规则”的窗口(如图8),点击“下一步”按钮;接着需要选择用户的权限,选择操作为“拒绝”,点击“用户或组”下的“选择”按钮选择孩子的账户(如图9);在弹出的“选择用户或组”窗口点击“高级”按钮,接着点击“立即查找”,接着双击下方的“小淘气”用户(假定的孩子用户)即可选定(如图10),退出到刚才的窗口,点击“下一步”按钮;这时需要选择创建主要条件的类型,如果应用程序已由软件发布者签名,那么,直接选择“发布者”是比较快速的,否则可以选择“文件哈希”条件,这需要计算文件的哈希值,速度稍慢,而“路径”则不推荐,因为,孩子只需改变程序的安装路径即可逃脱限制了(如图11),这里我们只需选择“发布者”条件,点击“下一步”按钮;这时我们发现了选择“发布者”的窗口,点击“浏览”按钮选择QQ的可执行文件,默认显示了文件的发布者、产品名、文件版本等信息(如图12),默认只能限制当前版本的QQ程序,可以向上拉动左侧的滑竿到“文件名”位置,这时可以限制任意版本的QQ程序了(如图13),再向上拉动到“发布者”位置可以限制所有腾讯的软件,最上方即可限制所有的程序了,我们只需拉动到“文件名”位置就足够了,点击“下一步”按钮;接着,我们可以添加例外的条件,比如:孩子可以运行一个低版本的QQ可以运行,选择“路径”条件,点击“添加”按钮选择QQ的路径(如图14),点击“下一步”按钮;这时可以输入名称和描述信息,点击“创建”即可完成了(如图15)。

Windows

  图8

Windows

  图9

Windows

  图10

Windows

  图11

Windows

  图12

Windows

  图13

Windows

  图14

Windows

  图15

  那么,最后的限制效果会如何呢?孩子可以运行QQ2008,却无法运行QQ2009 SP2(如图16),成功达到了预定的目标。

Windows

  图16

  AppLocker还可以创建Windows安装程序和脚本规则,方法和创建可执行规则类似。通过文件哈希条件限制安装应用程序可以提高系统的安全性,而脚本规则同样可以保证只运行安全脚本,避免中毒。AppLocker的操作过程方便快捷,适合普通用户来加固系统安全防线,而且管理员通过组策略配置用于网络部署是很高效易用的。