全面AppLocker:IT已经第一个安全万能？

　　简单的 AppLocker 部署

　　如果 AppLocker 的添加到您的小型环境的安全声音很有用，您的下一个步骤涉及到实施解决方案。 显然，了您的桌面和膝上型计算机的可调整大小百分比升级到 Windows 7 之前，不会发生实现。 操作系统之前 Windows 7 和 Windows Server 2008 R2 不会应用 AppLocker 的规则，但它们将遵守那些通过 SRP 应用。 虽然 SRP 和 AppLocker 规则不直接转换，AppLocker 的仅审核模式通过收集该信息可以手动转换 SRP 中使用。

　　部署 AppLocker 涉及多个步骤操作以开始确定如何实现该技术，并创建引用隔离应用程序您开始的一组计算机。 请记住，与 SRP，不同应用程序 ­ 锁定者默认假定您将创建一个 whitelist 的应用程序。 时创建一个黑名单的体系结构可能，这样并不建议只是因为这种方法不提供相同 whitelists 提供执行保护电源。

　　在其文档中标题为"规划和部署 Windows AppLocker 策略的，"Microsoft 概述了在环境中实现应用程序 ­ 锁定者一个九步过程。 在撰写本文的测试版在本文档时，当前可用的版本包括如何正确构建完成 AppLocker 基础结构的重要详细信息。 为简单起见，但是，以下是您需要开始的几个步骤。

　　第一次，创建的 IT 组织认为可以接受的执行应用程序的列表。 可以通过面试组织中的应用程序所有者的手动创建此列表。 或者，可以通过创建和 interrogating 引用计算机在业务中包含常用应用程序开始。 启动该进程生成 OS 实例 — 或映像，它使用您最喜爱的映像部署的解决方案 — 并确保正确的应用程序是否安装了。 到此的计算机上也应安装的 Microsoft 网站上可以找到的 Windows 7 为远程系统管理工具包 (RSAT)。 在 RSAT 包括 GPME 组件所需创建 AppLocker 规则。

　　准备好进行分析时, 创建一个新的 GPO，并在 GPME 中启动它。 导航到计算机配置 | 策略 | Windows 设置 | 安全设置 | 应用程序管理策略 | AppLocker 然后单击在右侧窗格中配置规则强制的链接。 在结果窗口中检查框中标记为可执行规则下的已配置和设置为仅审核的规则。 此设置时报告 AppLocker 规则冲突，本地事件日志维护您现有的行为，在托管的系统上。

　　您会发现此窗口了在其中您可以选择启用 DLL 规则集合的高级选项卡。 AppLocker 能够基于 DLL，除了可执行文件中创建规则。 时您可以实现增加安全性设置，执行此操作将添加的额外管理负担，因为您将需要隔离并配置为您的环境除了可执行文件中的所有 DLL 的规则。 因为可执行文件可以利用多个 DLL，该任务可以是一个管理头疼。 正在启用 DLL 规则集合也将影响系统性能由于处理每个 DLL 的需要，在执行之前验证。

　　下一步配置默认的可执行规则集。 右键单击该 AppLocker sub-node 名称相同的并且选择创建默认规则。 默认情况下，会创建三个规则。 第三个 (如的图 4 所示) 允许在本地管理员组运行所有应用程序的成员时，两个允许在窗口和程序文件文件夹中的所有文件的执行。 此第三个规则有效本地管理员排除规则处理。

　　图 4 默认规则排除执行保护的本地管理员。(单击图像可查看大图)

　　一旦完成这再次右键单击可执行规则节点，然后选择自动生成规则。 此向导将询问这是为什么它必须引用计算机上运行的规则创建的潜在可执行文件的本地计算机。 通过默认，向导将检查可执行文件中将是文件路径虽然备用路径可检查通过编辑它们在向导的选项。

　　单击向导中下一步将转到规则首选项屏幕。 此处，您可以创建 Publisher 规则进行了数字签名的文件或创建的所有文件的哈希规则。 在此屏幕中，但仅当文件没有已经过数字签名的出版商时，可以在自动创建路径规则。 单击下一步再次完成系统扫描并转到一个屏幕，您可以在其中检查规则的列表。 通过单击链接查看了进行分析的文件，然后取消选择该复选框相应的文件，可以消除，您不想创建的规则。 一旦完成这单击创建。

　　完成此任务在刚生成 Windows 7 系统上的添加四个新的规则。 虽然在此位置中找到相当多的多个可执行文件，向导会将以简化其应用程序的默认组放在一起规则。 姝 ゆ 椂如果您想监视的其他可执行文件类型，很可以配置此同一 GPME 位置中的脚本和基于 Windows 安装程序的可执行文件的规则。

　　姝 ゆ 椂 GPO 将开始根据 OU 成员身份的目标客户端配置。 因为该实施规则的策略设置为仅审核，实际发生不执行限制。 在此期间它最好通过事件日志以查看是否为您的环境使用您的规则，或是否他们的应用程序可以防止运行的是有必要可执行文件的各种托管系统上查看。 使用该信息来调整您现有的一组规则，以便它们正常为您的环境。

　　当您准备将可执行文件实际上可以防止它们在报告中时，只需导航回 AppLocker 节点在 GPME 中，并更改仅审核到强制的规则的强制属性。

　　显然，您将需要更多的项目规划和部署前测试。 但这些简单的步骤会得到您入门。 AppLocker 可能不是完整的安全万能，以防止所有的能力，但您绝对批准可执行文件运行意味着，它是真的，确实关闭。