應(yīng)用過(guò)程控制策略基本設(shè)置

在我們開(kāi)始建立自定義的各種新應(yīng)用過(guò)程控制策略之前，是否需要預(yù)先完成一些基本設(shè)置？的確需要的！首先請(qǐng)?jiān)凇叭航M策略編輯器”界面點(diǎn)選“安全性設(shè)置→Security Settings→Application Control Policies→ AppLocker”項(xiàng) 目節(jié)點(diǎn)上。接著點(diǎn)選位于中間內(nèi)容頁(yè)面中的“Configure rule enforcement”來(lái)設(shè)置應(yīng)用程序策略的屬性繼續(xù)。

如圖1所示，接下來(lái)將會(huì)開(kāi)啟“AppLocker Properties”頁(yè)面。首先在“Enforcement”頁(yè)面中，分別設(shè)置針對(duì)應(yīng)用程序執(zhí)行規(guī)則、Windows安裝程序（MSI、MSP）規(guī)則、手稿文件程序（Script）規(guī)則的組態(tài)配置。您可以選擇要強(qiáng)制套用規(guī)則設(shè)置（Enforce）還是僅進(jìn)行稽核事件的記錄，如果以后需要管理這三種類型的策略設(shè)置，需要將它們都設(shè)置為“Enforce”。

切 換 到“Advanced”頁(yè)面中，在此您可以決定是否要讓針對(duì)DLL檔案規(guī)則的管理功能設(shè)置項(xiàng)目，出現(xiàn)在應(yīng)用程序策略管理接口中，如果需要的話，請(qǐng)將“Enable the DLL rule collection”項(xiàng)目勾選即可，在默認(rèn)狀態(tài)下是沒(méi)有勾選的。這是因?yàn)槿绻诤罄m(xù)的管理中，若有不當(dāng)?shù)囊?guī)則配置，可能會(huì)導(dǎo)致系統(tǒng)無(wú)法正常運(yùn)作，并且會(huì)影響系統(tǒng)執(zhí)行效果。

應(yīng)用程序執(zhí)行規(guī)則的設(shè)置

如果您想要針對(duì)目前已經(jīng)安裝在客戶端Windows 7上面的應(yīng)用程序，進(jìn)行存取管理上的限制，請(qǐng)按照以下的操作進(jìn)行設(shè)置。首先在“群組策略編輯器”接口中點(diǎn)選“安全性設(shè)置→Security Settings→Application Control Policies→AppLocker→ Executable Rules”項(xiàng)，在動(dòng)作窗口中點(diǎn)選“Create New Rule”。接著將會(huì)開(kāi)啟向?qū)гO(shè)置頁(yè)面。首先請(qǐng)?jiān)凇癙ermissions”頁(yè)面中 決 定此規(guī)則的建立，是基于允許（Allow）執(zhí)行還是拒絕（Deny）執(zhí)行之上。在此我們選取“Deny”來(lái)作為范例，并且必須點(diǎn)選“Select”按鈕來(lái)設(shè)置規(guī)則套用的對(duì)象（用戶或群組）。點(diǎn)選“下一步”繼續(xù)。

圖1 AppLocker屬性設(shè)置

圖2 以應(yīng)用程序發(fā)行信息為例

在“Conditions” 頁(yè) 面中，必須選擇準(zhǔn)備用來(lái)設(shè)置應(yīng)用過(guò)程控制策略的方法，分別有應(yīng)用程序發(fā)行信息規(guī) 則（Publisher）、路徑 規(guī) 則（Path）以及檔案哈希規(guī)則（File hash）。其中Publisher方式將會(huì)根據(jù)應(yīng)用程序發(fā)行時(shí)的各類字段信息來(lái)作為條件判斷（例如：產(chǎn)品名稱），而Path規(guī)則是可以針對(duì)特定的檔案或整個(gè)文件夾路徑來(lái)作為條件判斷，至于File hash方式，則可以在一個(gè)應(yīng)用程序沒(méi)有相關(guān)發(fā)行信息時(shí)，來(lái)作為條件判斷的最佳選擇。在此我們選取Publisher，并且點(diǎn)選“下一步”繼續(xù)。

在“Publisher”頁(yè)面中，如圖2所示，首先您必須點(diǎn)選“Browse”按鈕來(lái)加載所要管理的應(yīng)用程序執(zhí)行文檔。筆者以O(shè)utlook 2007執(zhí)行程序?yàn)槔?，接下?lái)便可以看到四大字段的相關(guān)發(fā)行信息，分別是文檔版本（File version）、文件名（File name）、產(chǎn)品名稱（Product name）、發(fā) 行 者（Publisher）。最后，您便可以根據(jù)條件判斷的需求，來(lái)調(diào)整其精確度即可。點(diǎn)選“下一步”繼續(xù)。

在“Exceptions”頁(yè)面中，您可以額外設(shè)置例外清單。舉例來(lái)說(shuō)，我們雖然設(shè)置不允許執(zhí)行Outlook 2007應(yīng)用程序，但是如果該程序是安裝在某一個(gè)特定的路徑下時(shí)，則將允許它可以正常執(zhí)行。根據(jù)這樣的需求，我們便可以在這個(gè)頁(yè)面中新增一個(gè)例外的路徑（Path）規(guī)則。

最 后，在“Name and Description”頁(yè)面中，必須設(shè)置這項(xiàng)規(guī)則的識(shí)別名稱以及選用設(shè)置的說(shuō)明信息。再次回到了主管理頁(yè)面之后，便可以看到在第一次建立規(guī)則時(shí)，系統(tǒng)會(huì)詢問(wèn)我們是否要建立默認(rèn)的規(guī)則設(shè)置，在此建議您務(wù)必選擇“是”，主要是因?yàn)檫@默認(rèn)的三條規(guī)則，主要目的在確保系統(tǒng)管理員以及所有用戶，都可以正常存取默認(rèn)位于C:Windows與C:Program Files路徑下的程序。事實(shí)上，對(duì)于后續(xù)我們所要建立的其他規(guī)則，系統(tǒng)也都會(huì)幫助我們自動(dòng)建立默認(rèn)的三條規(guī)則。

注意：當(dāng)設(shè)置為“拒絕（Deny）”的規(guī)則遇到了設(shè)置為“允許（Allow）”的規(guī)則時(shí)，系統(tǒng)將會(huì)以“拒絕（Deny）”的規(guī)則為優(yōu)先。

完成以上應(yīng)用程序執(zhí)行規(guī)則的建立之后，接下來(lái)我們便可以在Windows 7的客戶端計(jì)算機(jī)上，開(kāi)啟命令提示字符，然后輸入gpupdate /target:computer /force命令參數(shù)（或是直接重新啟動(dòng)），來(lái)立即進(jìn)行計(jì)算機(jī)策略的更新與套用。當(dāng)Windows 7客戶端成功套用了所設(shè)置的群組策略之后，一旦使用者去執(zhí)行了受管理的應(yīng)用程序時(shí)，將會(huì)出現(xiàn)類似此應(yīng)用程序被群組策略封鎖的錯(cuò)誤信息而無(wú)法成功開(kāi)啟。