MCSE 2012之应用程序控制策略AppLocker

nainai1

应用程序控制策略AppLocker
一、什么是AppLocker？
　　AppLocker 是 Windows Server 2008 R2 和 Windows 7 中的新功能，是一款用于替代软件限制策略功能的全新系统管理工具。可提升软件限制策略的特性和功能。AppLocker 包含新的功能和扩展，可用于创建规则，从而根据文件的唯一标识符允许或拒绝应用程序运行，还可以指定哪些用户或组可以运行这些应用程序。
　　AppLocker存在于 Windows Server 2008 R2 的所有版本以及 Windows 7 旗舰版 和 Windows 7 企业版中。在 Windows 7 专业版 中，可以创建 AppLocker 规则，但 AppLocker 规则无法在运行 Windows 7 专业版 的计算机上强制执行。
　　使用AppLocker，可以控制以下类型的应用程序：

• 　　可执行文件（.exe 和 .com）
  
• 　　脚本（.js、.ps1、.vbs、.cmd 和 .bat）
  
• 　　Windows Installer 文件（.msi 和 .msp）
  
• 　　DLL 文件（.dll 和 .ocx）
  

　　使用 AppLocker，我们可以做到：
　　基于派生自数字签名的文件属性（包括发布者、产品名称、文件名和文件版本）来定义规则。例如，可以基于更新过程中永久保留的发布者属性来创建规则，也可以针对文件的特定版本来创建规则。
　　向安全组或单个用户分配规则。
　　为规则创建例外。例如，可以创建一个规则，该规则允许运行除注册表编辑器 (Regedit.exe) 之外的所有 Windows 进程。
　　使用仅审核模式部署策略，并在强制执行该策略之前了解其影响。
　　导入和导出规则。导入和导出会影响整个策略。例如，如果导出策略，则将导出所有规则集合中的所有规则，包括这些规则集合的强制设置。 如果导入策略，则将覆盖现有策略中的所有条件。
　　使用 Windows PowerShell cmdlet 来简化 AppLocker 规则的创建和管理。
二、AppLocker 和软件限制策略比较
　　功能
　　软件限制策略
　　AppLocker
　　规则作用域
　　所有用户
　　特定用户或组
　　提供的规则条件
　　文件哈希、路径、证书、注册表路径和 Internet 区域
　　文件哈希、路径和发布者
　　提供的规则类型
　　由安全级别定义：

• 　　不允许
  
• 　　基本用户
  
• 　　无限制
  

　　允许和拒绝
　　默认规则操作
　　无限制
　　隐式拒绝
　　仅审核模式
　　否
　　是
　　一次可创建多个规则的向导
　　否
　　是
　　策略导入或导出
　　否
　　是
　　规则集合
　　否