Windows 7應用程式控制策略:深度安全防禦

Windows 7 對於用戶運行程序有什麼好的訪問控制方法?相對於 Windows XP 有什麼改進?我們如何利用它來完善縱深安全防禦機制的一個重要環節?我們將在這篇 blog 中找到答案。
應用程式控制策略(AppLocker)是 Windows 7 的新安全組件,相對於 Windows XP 中的軟體限制策略(SRP),它有進一步安全和易用性的提高。那究竟 AppLocker 有哪些具體功能?它如何幫助 IT 管理員控制用戶運行程序呢?
•有效的嚮導,幫助 IT 管理員創建默認或者自定義的規則。
•將 AppLocker 策略針對不同需要應用到不同的用戶���或個人對象上,而非僅僅針對所有計算機帳號,更加細化了用戶分類,便於 IT 管理員管理。
•根據可執行文件的數字簽名屬性,針對不同的文件發布者,產品名稱,文件名稱和文件版本設定不同的策略規則,從而允許或拒絕這些文件運行。讓 IT 管理員可以非常方便的選擇需要的應用程式針對不同用戶做允許/拒絕操作。
•對設定的策略做審核,而不是簡單的允許/拒絕,IT 管理員可以先查看審核日誌評估規則對於客戶端的影響,再作合理的規則設置,從而給IT管理員更加方便的測試環境。
•可以將 AppLocker 的配置導入/導出,方便在不同計算機或不同備份之間的維護不同的 AppLocker 設置。
•還可以通過 PowerShell 的命令行來創建和管理 AppLocker 的策略規則。
•軟體控制的對象包括可執行程序,腳本,安裝文件,動態連結庫 DLL。

步驟/方法應用程式控制策略

下面我們舉例了解如何部署 AppLocker。
背景:很多軟體在發布時已經做了數字簽名驗證。數字簽名能有效地發現偽裝的軟體或病毒文件(例如病毒文件替換或感染了微軟Windows 的默認文件)。通過 AppLocker 的數字簽名策略可以設定僅僅允許已經經過數字簽名的程序運行。從而防止一些惡意軟體或未經授權的軟體運行導致系統除問題或者重病毒。
注意:這樣的規則會阻止沒有數字簽名的程序運行。
步驟
1.打開組策略編輯器。(開始 → 運行 → secpol.msc);
2.擴展找到應用程式控制策略 → AppLocker →「可執行規則「;
3.右鍵點擊「可執行規則」,選擇「新建規則」;
4.初始幾個頁面選擇「下一步」;
5.在「發布者」頁面(圖1),選擇「瀏覽」,打開文件選擇窗口,指定文件 c:\windows\explorer.exe 文件;
6.在「發布者」頁面,移動標尺,指向「任何發布者」;
7.之後的頁面繼續選擇「下一步」;
8.最後點擊「創建」新建一條策略。 圖1:配置發布者
經過這樣的配置,確保了所有被數字簽名的應用程式才可以運行,有效控制被客戶端的程序。

本文內容整理自網絡, 文中所有觀點看法不代表淘大白的立場