全面AppLocker:IT已经第一个安全万能？

　　有一个 long-standing 说，我们不是一个万能的行业中。 定义为补救一个 “ 方法为所有diseases、 evils 或问题 ”，oft 提供但 neverrealized 万能表示结束所有解决方案，IT 解决方案。

　　它是以往任何时候都完全没有一个产品可以向您提供针对所有您的问题，无论如何硬该产品的销售人员可能会试图否则说服您的一站式的修复程序的传统智慧。 还在探索 Windows 7 和 Windows Server 2008 R2 中的 AppLocker 新功能，我不得不想知道 Microsoft 是否已经变关闭。

　　要完全了解 AppLocker 的强大功能，考虑维护系统安全的基础知识。 恶意软件是一个常量的威胁。 还是它感染您的系统通过 Internet 浏览器通过一个样式蠕虫病毒的攻击推送，它有时 overwhelms 甚至最佳的防火墙和反恶意软件引擎。 进一步，即使在分层方法在您的环境中的安全，使用这些工具的组合可以永远不会准备的可怕的零天攻击。

　　还还有一个常见的线程之间的恶意软件的几乎所有片段：其代码必须进行处理，它就会损坏您的系统。

　　此单个点引发问题对于管理员："如果几乎所有的恶意软件需要处理很危险，可以保护吗? 我自己通过防止发生在第一个位置处理"

　　答案是：绝对。 该问题的解决方案 AppLocker。

　　Whitelisting 应用程序

　　AppLocker 有其根中名为软件限制策略 (SRP)，debuted 与 Windows XP 和 Windows Server 2003 的组策略技术。 SRP 引入 blacklists 和相对于 whitelists 的概念，允许 Windows 域中的可执行文件和不允许。 概念非常简单：

　　使用一个黑名单，管理员，标识不允许从您的域中的计算机上执行的特定可执行文件。 时启动的进程被验证在黑名单之前执行。 如果进程是在该黑名单上，阻止执行，并而向用户出示閿欒 ? 娑堟伅。

　　一个 whitelist，相反变得，则返回 True。 您使用一个 whitelist，而是指定允许在您的计算机上运行的进程。 启动的进程针对该 whitelist 之前执行验证。 只有在 whitelist 上允许运行 ;那些不该 whitelist 上不能从正在执行。

　　SRP，使用下列两种模式之一是可能，使用默认的侧重于应用程序的黑名单的。 随着时间，但是，它成为明显 whitelisting 概念可能明显更强大。 而 whitelisting 涉及更多的工作，因为运行批准的每个应用程序必须将输入到该策略，它是 potent 方法阻止其他所有内容。

　　在起的方式作用利用 SRP 的 whitelisting 范例的环境可以指定哪些应用程序必须被测试、 验证并批准由其管理员和安全策略。 其他所有内容包括大多数窗体执行恶意软件和未经批准的其他 quasi-legitimate 应用程序的 IT — 将被明确拒绝执行。 不处理，没有恶意软件，不感染。

　　但在概念简单，时 SRP 的技术痛苦实现中。 尽管所有的电源 SRP 由实现只在很少的环境。 确定确切的可接受的应用程序集是具有很少的自动化支持痛苦和复杂的进程。 在一 SRP 组策略中进行小错误可能意味着防止在域中的所有软件执行。 太危险和它的配置很少 SRP 中管理太复杂了到大多数环境radars。

　　AppLocker：多个 SRP 版本 2

　　AppLocker 的技术被为了增加采用级别将合并到更好地管理功能。 更紧密地集成在 Windows 7 和 Windows Server 2008 R2 操作系统，AppLocker 利用 SRP 的概念，若要创建更多可用的解决方案。

　　第一种在其中可以提高 SRP 通过 AppLocker 方法是通过只审核强制模式的 (请参见图 1)。 在这种模式配置的计算机和可执行文件规则仅报告的策略冲突发生的位置。 通过使用一个空 whitelist 组合 AppLocker 的审核仅强制模式，它就可以快速识别正在整个域的计算机上运行的应用程序的类型。 被放入每个计算机的 AppLocker 事件日志的审核信息可以被这些应用程序和其可执行文件的详细信息记录的更高版本的强制。

　　图 1 AppLocker 审核唯一方式。(单击图像可查看大图)

　　一种机制，第二个提高通过一个向导，自动创建的规则。 AppLocker 的组策略中是自动生成的规则选择控制台 (请参见图 2)。 此选项将启动一个向导，将扫描所有的文件结构上引用查找可执行文件。 在指定的路径或其子文件夹中找到任何可执行文件可以自动为其生成规则。 与您的环境的常见的软件自动安装指向引用计算机向该向导生成规则的列表。 该列表可用于为您的起始点后面的自定义。

　　图 2 的 AppLocker 自动生成可执行规则向导 (单击图像可查看大图)

　　AppLocker 还简化了通过减少到三个规则类的生成规则。 它们用于组合，设计，并且您将发现每个规则类提供了一种不同的方法来限制软件执行：

　　路径规则创建一个基于名称或可执行文件的文件的位置的限制。 渚嬪的方式 ? 可以为一个特定的文件名 (sol.exe) 或文件名和通配符 (sol*.exe) 捕获有限的修改文件名的组合创建路径规则。 文件路径 (%PROGRAMFILES%\Microsoft Games\ *) 结合，还可以使用通配符。

　　创建文件哈希规则以解决一些明显的限制与路径规则。 使用路径规则，可执行文件可以访问通过将其移出托管路径或足够改变其文件名。 使用文件哈希规则，将创建一个托管的文件的加密哈希。 作为基础规则关闭文件的哈希处理意味着它们仍保留托管，无论它们位置在系统上。 这增加了总体解决方案的安全性时, 其缺点是成为明显文件更改随修补程序或更新的时间。 由于这个原因使用文件哈希规则要求其他由于小心为软件更新。

　　发布服务器规则需要托管可执行文件进行数字签名。 该数字签名使文件被限制根据其出版商、 产品名称、 文件名和文件的版本。 可从和自定义值选项使您能够调整您关心的特征和是可选的。 渚嬪的方式 ? 很可能要限制文件设置的文件版本是通配符时，基于其发布服务器、 产品名称和文件名 (请参见图 3)。 最终的结果是：该文件的任何更高版本更新会自动批准。

　　图 3 创建和自定义发布规则。(单击图像可查看大图)

　　一个最终的有用补充是能够创建与任何规则类相关联的特殊例外。 这些异常启用的可执行文件允许执行，而非其不能用于进一步定义。 渚嬪的方式 ? 可以允许 %PROGRAMFILES%\Microsoft Office\ * 文件夹中的任何可执行文件的执行，但专门防止 WINPROJ.EXE 由于授权限制或其他原因。

　　因为 AppLocker 设置通常通过组策略创建的规则执行保护的工作分配可以将重点中您的环境或单个用户的计算机。 内，组策略管理编辑器 (GPME)，AppLocker 为计算机定义的设置位于计算机配置位置 | 策略 | Windows 设置 | 安全设置 | 应用程序管理策略。 为用户定义的那些位于相同的位置在用户配置下。 在这种情况下，用户和计算机为中心的配置的任意组合可基于组策略的应用程序上。 合并策略的是累加式的、 组策略不会重写的含义或替换规则已经存在的一个链接组策略对象 (GPO)。 通过组策略分配的规则将应用用作传统的 GPO 的应用程序相同的顺序。

　　现在，将强制其规则的操作系统版本与 AppLocker 的主要限制。 客户端角只有 Windows 7 旗舰版和 Windows 7 企业版可以参与 AppLocker 实施规则。 对于服务器，任何版本的 Windows Server 2008 R2 中的 Windows Web 服务器和 Windows 服务器基础除外将实施 AppLocker 规则。 Microsoft 可能在早期的操作系统版本到此功能后的端口时, 此功能当前将添加到引人注目的在 Windows 7 升级的原因的列表。 (在撰写本文没有信息已发布有关可能后的移植到早期的操作系统版本)。

　　一条很好的兼容性消息：AppLocker 的组策略基础要求不升级的域控制器 (DC) 将支持它的策略的分发。 现有的 Windows Server 2003 和 Windows Server 2008 DC 都可以宿主 AppLocker 策略。