MCSE 2012之应用程序控制策略AppLocker

应用程序控制策略AppLocker

一、什么是AppLocker？

AppLocker 是 Windows Server 2008 R2 和 Windows 7 中的新功能，是一款用于替代软件限制策略功能的全新系统管理工具。可提升软件限制策略的特性和功能。AppLocker 包含新的功能和扩展，可用于创建规则，从而根据文件的唯一标识符允许或拒绝应用程序运行，还可以指定哪些用户或组可以运行这些应用程序。
AppLocker存在于 Windows Server 2008 R2 的所有版本以及 Windows 7 旗舰版 和 Windows 7 企业版中。在 Windows 7 专业版 中，可以创建 AppLocker 规则，但 AppLocker 规则无法在运行 Windows 7 专业版 的计算机上强制执行。

使用AppLocker，可以控制以下类型的应用程序：
可执行文件（.exe 和 .com）

脚本（.js、.ps1、.vbs、.cmd 和 .bat）

Windows Installer 文件（.msi 和 .msp）

DLL 文件（.dll 和 .ocx）

使用 AppLocker，我们可以做到：
基于派生自数字签名的文件属性（包括发布者、产品名称、文件名和文件版本）来定义规则。例如，可以基于更新过程中永久保留的发布者属性来创建规则，也可以针对文件的特定版本来创建规则。
向安全组或单个用户分配规则。
为规则创建例外。例如，可以创建一个规则，该规则允许运行除注册表编辑器 (Regedit.exe) 之外的所有 Windows 进程。
使用仅审核模式部署策略，并在强制执行该策略之前了解其影响。
导入和导出规则。导入和导出会影响整个策略。例如，如果导出策略，则将导出所有规则集合中的所有规则，包括这些规则集合的强制设置。 如果导入策略，则将覆盖现有策略中的所有条件。
使用 Windows PowerShell cmdlet 来简化 AppLocker 规则的创建和管理。

二、AppLocker 和软件限制策略比较

功能	软件限制策略	AppLocker
规则作用域	所有用户	特定用户或组
提供的规则条件	文件哈希、路径、证书、注册表路径和 Internet 区域	文件哈希、路径和发布者
提供的规则类型	由安全级别定义：不允许 基本用户 无限制	允许和拒绝
默认规则操作	无限制	隐式拒绝
仅审核模式	否	是
一次可创建多个规则的向导	否	是
策略导入或导出	否	是
规则集合	否