windows 7作為一款萬眾矚目的下一代主流作業系統注定將成為劃時代的產品。微軟除了充分吸取了開發windows vista的經驗教訓,還增加了不少方便實用的新功能,比如:可以直接給移動儲存裝置加密的bitlocker to go、將系統安裝到vhd映像等。windows 7的uac的安全視窗的彈出頻率有所減少,不少朋友可能會認為windows 7的使用者賬戶控制功能有所減弱了,其實,這是windows 7對於繁瑣的使用者控制功能的改進。如果需要更加安全靈活地控制使用者執行程式、檔案以及指令碼,那麼,在windows 7中已經有更加實用的applocker了,中文名稱是應用程式控制策略。那麼,我們怎麼來使用這個安全功能呢?
1.啟用applocker有竅門
啟用applocker功能比較簡單,我們可以採取以下方法。首先,我們在windows 7的搜尋框輸入「gpedit.msc」命令開啟組策略編輯器,依次進入「計算機配置-windows設定-安全設定-應用程式控制策略-applocker」專案,applocker有可執行規則、windows安裝程式規則和指令碼規則三種,預設沒有新增任何策略。我們不妨來建立乙個最簡潔的可執行規則。只需右鍵單擊「可執行規則」專案,選擇「建立預設規則」命令即可建立三條可執行規則(如圖1)。第一條規則的含義是只允許所有使用者執行「program files」資料夾的程式,第二條規則表示允許所有使用者執行「windows」資料夾的程式,第三條規則含義是只允許管理員使用者執行所有程式。當前使用者以普通使用者許可權執行程式的,因此,可以雙擊第一條規則,在彈出的視窗將「操作」設定為「拒絕」來獲得限制執行任何程式的效果(如圖2)。然而,我們發現該策略是無法生效的。這是什麼原因呢?
圖1圖2其實,applocker功能預設是被系統遮蔽的,我們需要予以開啟。我們在windows 7的搜尋框輸入「services.msc」命令開啟「服務」視窗,開啟「application identity」服務,這是乙個驗證應用程式標識的服務,預設停用該服務將阻止系統強制執行applocker,因此,我們需要點選「啟動」按鈕開啟服務(如圖3)。接著,我們再次執行任意乙個「program files」資料夾的程式就彈出了禁用的視窗(如圖4),剛才的策略生效了。由於拒絕策略的優先級別較高,我們將無法啟動該資料夾的所有的程式,我們只能右鍵單擊程式選擇「以管理員身份執行」命令才能正常執行程式。
圖3圖4
2.個性化applocker策略方法
即使將第一條策略恢復,我們發現windows 7也將只允許普通使用者執行「program files」資料夾和「windows」資料夾的程式,有時會感到很不方便,那麼怎麼來讓普通使用者執行任意目錄的程式呢?我們嘗試來修改第一條策略。開啟這條策略,進入「路徑」選項,我們發現只需將路徑修改成*就可以了(如圖5)。這時可能無法馬上起效,我們需要在搜尋框輸入「gpupdate」命令更新組策略才能達到目的。
圖5以上策略可以讓任何使用者執行所有的程式了,如果,我們需要限制他們執行某些程式怎麼辦呢?我們可以開啟剛才的第一條策略,進入「例外」選項,比如:希望限制執行foxmail程式,那麼,選擇「新增例外」下的「路徑」,然後點選「新增」按鈕,點選「瀏覽檔案」按鈕新增foxmail的可執行程式即可(如圖6)。接著,普通使用者執行foxmail就會遇到禁止的提示了(如圖7)。
圖6圖7
3.建立實用的程式限制策略
剛才我們通過預設的applocker策略介紹基本的設定方法和限制效果,那麼,如何將其更好地應用到程式限制呢?比如:我們希望建立一條限制孩子使用qq2009 sp2的策略。我們可以右鍵單擊右側空白窗格選擇「建立新規則」命令,這時就彈出「建立可執行規則」的視窗(如圖8),點選「下一步」按鈕;接著需要選擇使用者的許可權,選擇操作為「拒絕」,點選「使用者或組」下的「選擇」按鈕選擇孩子的賬戶(如圖9);在彈出的「選擇使用者或組」視窗點選「高階」按鈕,接著點選「立即查詢」,接著雙擊下方的「小淘氣」使用者(假定的孩子使用者)即可選定(如圖10),退出到剛才的視窗,點選「下一步」按鈕;這時需要選擇建立主要條件的型別,如果應用程式已由軟體發布者簽名,那麼,直接選擇「發布者」是比較快速的,否則可以選擇「檔案雜湊」條件,這需要計算檔案的雜湊值,速度稍慢,而「路徑」則不推薦,因為,孩子只需改變程式的安裝路徑即可逃脫限制了(如圖11),這裡我們只需選擇「發布者」條件,點選「下一步」按鈕;這時我們發現了選擇「發布者」的視窗,點選「瀏覽」按鈕選擇qq的可執行檔案,預設顯示了檔案的發布者、產品名、檔案版本等資訊(如圖12),預設只能限制當前版本的qq程式,可以向上拉動左側的滑竿到「檔名」位置,這時可以限制任意版本的qq程式了(如圖13),再向上拉動到「發布者」位置可以限制所有騰訊的軟體,最上方即可限制所有的程式了,我們只需拉動到「檔名」位置就足夠了,點選「下一步」按鈕;接著,我們可以新增例外的條件,比如:孩子可以執行乙個低版本的qq可以執行,選擇「路徑」條件,點選「新增」按鈕選擇qq的路徑(如圖14),點選「下一步」按鈕;這時可以輸入名稱和描述資訊,點選「建立」即可完成了(如圖15)。
圖8圖9
圖10圖11
圖12圖13
圖14圖15那麼,最後的限制效果會如何呢?孩子可以執行qq2008,卻無法執行qq2009 sp2(如圖16),成功達到了預定的目標。
圖16applocker還可以建立windows安裝程式和指令碼規則,方法和建立可執行規則類似。通過檔案雜湊條件限制安裝應用程式可以提高系統的安全性,而指令碼規則同樣可以保證只執行安全指令碼,避免中毒。applocker的操作過程方便快捷,適合普通使用者來加固系統安全防線,而且管理員通過組策略配置用於網路部署是很高效易用的。
計算機四級考試詞彙總結
access arm 磁頭臂,訪問臂 access time 訪問時間 adder 加法器 address 位址 alphanumeric 字母數字的 analog computer 模擬計算機 analyst 分析員 area 區域 array 陣列,陣列 assembler 匯程式設計序 aut...
計算機四級考試之SQL Server使用者對映
sql server2005中 使用者對映 裡成員身份選項的意思 使用者對映 public 維護所有預設許可權 db owner 執行所有資料庫角色活動 db accessadmin 新增和刪除資料庫使用者,組及角色 db ddladmin 新增 更改或刪除資料庫物件 db security adm...
全國計算機等級考試四級考試模擬試題
一 選擇題 共70 題,每題1 分,滿分70 分。其中1 55 題為中文題,56 70 題為英文題 下列各題a b c d 四個選項中,只有乙個是正確的,請將正確選項塗寫在答題卡相應位置上,答在試卷上不得分。1 若乙個子程式起始位址為3k,呼叫指令call 的記憶體位址為k 1,則執行call 指令...