Windows7下AppLocker即应用程序控制策略详解

AppLocker即“应用程序控制策略”，是Windows 7系统中新增加的一项安全功能。

只有windows7企业版和旗舰版才能使用此功能。

AppLocker包含三部份功能：
1、可执行程序控制；
2、安装程序控制；
3、脚本控制。

在XP下使用过软件限制策略的部份朋友，也许会对此望而生畏，不过其实AppLocker是很容易使用的。

使用方法：
一、这第一步非常重要，它决定了你的AppLocker是否能生效，计算机上右键→管理→服务，找到Application Identity服务，设为自动启动；

二、执行“开始”→ “运行”，输入gpedit.msc打开组策略编辑器。在左侧的窗格中依次定位到“计算机配置” →“Windows 设置”→“安全设置”→“应用程序控制”，可以看到AppLocker组策略配置项。

三、在“可执行程序规则”、“安装程序规则”、“脚本规则”上分别右键，创建默认规则，即可。

默认规则的含义：
1、任何用户均可以运行c:\windows\*及C:\Program Files\*(如果是64位系统，则包含C:\Program Files（86）\*）下所有可执行文件及脚本；

2、提权后的管理员可以运行任何位置的程序。
注：在此默认规则下，你在非c:\windows\*及C:\Program Files\*位置，双击任意程序，程序无法运行，只能右键以管理员身份运行。

四、大部份人的程序都不装在C:\Program Files\*下，怎么办？在“可执行程序规则”、“脚本规则”（安装程序规则保持默认即可）分别右键→新建规则，选择允许或拒绝，用户保持默认的Everyone（即任意用户）→下一步，路径处浏览到你的程序或目录（最好是目录，只需一条规则就搞定，比如d:\Program Files\*)→创建。

五、第一次使用AppLocker，设置完以上后，必须重启机器（注销不行），才能使策略生效。

六、大功告成，现在用IE上任意挂马网站，双击任意病毒吧，只要不要把病毒放在以上所允许过的路径就可以。

七、疑问？网马复制自已到系统目录？没有可能。在UAC开启的状态下，当前用户及其所运行的程序，不能读取HIPS中所谓的AD行为中的底磁盘，不能写本论坛中主流的HIPS的RD规则中的注册表项，不可写除USER目录外的系统盘除，可以说，UAC就是一个规则严密的HIPS。

八、疑问：我有一些不常用的绿色软件比如注册机，MD5验证程序等，不是放在程序安装目录，我也没有在AppLocker中创建过允许规则，那我想用它时会不会很麻烦？答案是：一点也不麻烦，右键以管理员运行就可以了。