AppLocker 是一款用于替代软件限制策略功能的全新系统管理工具。存在于 Windows Server 2008 R2 的所有版本以及 Windows 7 旗舰版 和 Windows 7 企业版 中。在 Windows 7 专业版 中,可以创建 AppLocker 规则,但 AppLocker 规则无法在运行 Windows 7 专业版 的计算机上强制执行。
AppLocker 允许用户根据文件的唯一标识,或者创建允许或拒绝应用程序运行的规则来指定哪些用户或组具备何种运行指定的应用程序的权限。
AppLocker 解决了在控制应用程序执行方面的许多问题,其中包括:
• 用户的软件运行权限
• 用户的软件安装权限
• 管理应用程序版本
• 管理被许可的应用程序
为了解决这些问题,AppLocker 为管理员提供了指定哪些用户可以运行特定应用程序的能力。
在 AppLocker 中,管理员被允许控制下列类型的应用程序:
可执行文件(.exe 和 .com)、脚本(.js、.ps1、.vbs、.cmd 和 bat)、Windows Installer 文件(.msi 和 .msp)和 DLL 文件(.dll 和 .ocx)。
这样,通过降低了来自运行不适当应用程序所带来的各种问题,有效帮助并减少了管理计算资源的成本。
在实际应用管理中,通过使用 AppLocker,我们可以做到:
1. 基于从数字签名派生的文件属性(包括发布者、产品名称、文件名和文件版本)定义规则。例如,可以根据更新过程中持续存在的发布者属性创建规则,或者为特定版本的文件创建规则。
2. 向安全组或单个用户分配规则。
3. 创建规则的例外。例如,可以创建一个规则,允许除注册表编辑器(Regedit.exe)之外的所有 Windows 进程运行。
4. 使用仅审核模式部署策略并了解其影响,然后再强制该策略。
5. 导入和导出规则。导入和导出影响整个策略。例如,如果导出策略,则会导出所有规则集合中的所有规则,包括规则集合的强制设置。如果导入策略,则会覆盖现有策略。
6. 使用 AppLocker PowerShell cmdlet 简化 AppLocker 规则的创建和管理。
下表将 AppLocker 和软件限制策略进行了对比:
功能 | 软件限制策略 | AppLocker |
规则作用域 |
所有用户 |
特定用户和组 |
提供的规则条件 |
文件哈希、路径、证书、注册表路径和 Internet 区域规则 |
文件哈希、路径和发布者规则 |
提供的规则类型 |
允许和拒绝 | 允许和拒绝 |
默认规则操作 |
允许或拒绝 | 拒绝 |
仅审核模式 | 否 | 是 |
一次创建多个规则的向导 | 否 | 是 |
策略导入或导出 | 否 | 是 |
规则集合 | 否 | 是 |
PowerShell 支持 | 否 | 是 |
自定义错误消息 | 否 | 是 |
本文转自melvillo 51CTO博客,原文链接:http://blog.51cto.com/marui/365150,如需转载请自行联系原作者