AppLocker 是一款用於替代軟件限制策略功能的全新系統管理工具。存在於 Windows Server 2008 R2 的所有版本以及 Windows 7 旗艦版 和 Windows 7 企業版 中。在 Windows 7 專業版 中,可以創建 AppLocker 規則,但 AppLocker 規則無法在運行 Windows 7 專業版 的計算機上強制執行。
AppLocker 允許用戶根據文件的唯一標識,或者創建允許或拒絕應用程序運行的規則來指定哪些用戶或組具備何種運行指定的應用程序的權限。
AppLocker 解決了在控制應用程序執行方面的許多問題,其中包括:
• 用戶的軟件運行權限
• 用戶的軟件安裝權限
• 管理應用程序版本
• 管理被許可的應用程序
爲了解決這些問題,AppLocker 爲管理員提供了指定哪些用戶可以運行特定應用程序的能力。
在 AppLocker 中,管理員被允許控制下列類型的應用程序:
可執行文件(.exe 和 .com)、腳本(.js、.ps1、.vbs、.cmd 和 bat)、Windows Installer 文件(.msi 和 .msp)和 DLL 文件(.dll 和 .ocx)。
這樣,通過降低了來自運行不適當應用程序所帶來的各種問題,有效幫助並減少了管理計算資源的成本。
在實際應用管理中,通過使用 AppLocker,我們可以做到:
1. 基於從數字簽名派生的文件屬性(包括髮布者、產品名稱、文件名和文件版本)定義規則。例如,可以根據更新過程中持續存在的發佈者屬性創建規則,或者爲特定版本的文件創建規則。
2. 向安全組或單個用戶分配規則。
3. 創建規則的例外。例如,可以創建一個規則,允許除註冊表編輯器(Regedit.exe)之外的所有 Windows 進程運行。
4. 使用僅審覈模式部署策略並瞭解其影響,然後再強制該策略。
5. 導入和導出規則。導入和導出影響整個策略。例如,如果導出策略,則會導出所有規則集合中的所有規則,包括規則集合的強制設置。如果導入策略,則會覆蓋現有策略。
6. 使用 AppLocker PowerShell cmdlet 簡化 AppLocker 規則的創建和管理。
下表將 AppLocker 和軟件限制策略進行了對比:
功能 | 軟件限制策略 | AppLocker |
規則作用域 |
所有用戶 |
特定用戶和組 |
提供的規則條件 |
文件哈希、路徑、證書、註冊表路徑和 Internet 區域規則 |
文件哈希、路徑和發佈者規則 |
提供的規則類型 |
允許和拒絕 | 允許和拒絕 |
默認規則操作 |
允許或拒絕 | 拒絕 |
僅審覈模式 | 否 | 是 |
一次創建多個規則的嚮導 | 否 | 是 |
策略導入或導出 | 否 | 是 |
規則集合 | 否 | 是 |
PowerShell 支持 | 否 | 是 |
自定義錯誤消息 | 否 | 是 |