AppLocker:Win 7与Win Server 2008 R2应用程序之“安全门”
发布:admin | 发布时间: 2011年6月23日AppLocker 是Windows 7与Windows Server 2008 R2 中的一项安全功能,可阻止不明程序在网络运行。执行AppLocker的方式为:在Win 7开始菜单输入gpedit.msc;或在Windows Server 2008 R2内生成一个新的组策略对象,即依次浏览至Computer Configuration, Windows Settings, Security Settings, Application Control Policies, AppLocker。
在AppLocker内有3种选项,是针对不同文件类型的规则集,可归纳为下表:
规则集 文件类型
可执行文件 .exe, .com
脚本 .ps1, .bat, .cmd, .vbs, .js
Windows Installer 文件 .msi, .msp
例如,要冻结.exe文件mstsc, 可右点可执行文件的Executable Rules,选择向导工具Create New Rule,比如我们要不准访问mstsc,此时可选Deny选项,并可将该策略应用于user或group ,比如选择user group;下一步需选择基本规则,此时有三种选择:(1) Publisher:条件最为灵活,但仅适用于应用软件主人所标注软件;(2)Path:对指定文件或文件夹路径生成rule;(3)File Hash:使用于未签名应用。
应用程序MSTSC属于有签名者,所以选条件Publisher,然后浏览查找要阻止运行文件,即位于C:\Windows\System32\mstsc.exe;选中该文件后,会看到下拉条出现,可设置不同禁运等级:可以是该产品命名的任何应用,文件名本身,甚至包括各类版本。不难想象,由此我们可阻止某个游戏开发商的任何程序运行。此处我们要冻结mstsc.exe所有例程,不管其为何种版本号,所以将下拉条滑动到file name选项;下一步可加入例外情况,然后输入规则名称,点击Create使之生效。
需要指出,如果该规则是你第一次生成的rule,系统将会提示你该规则将成为“Default Rules”,此时你必须yes,否则将会导致系统引导发生问题;在最后一步将规则应用生效时,需要勾选Application Identity服务并设置为自动运行,以便让AppLocker能够正确识别应用。还有另外一种方式,即在开始菜单输入services.msc,定位到Application Identity服务,双击之,点击Start,并且在Startup Type域选择Automatic,重启系统即可生效。
在正式机构的安全机制其实更为严格,比如不准运行任何未经检验的程序,或曰不可信程序。我们利用AppLocker很容易实现。例如,我们为程序C:\folder\file.exe生成了一个准运rule,该规则可以设置为不准执行C:\folder下的file.exe以外的如何文件,我们可以对准予运行的程序一一这么做。有人也许会担心这样是否会阻挡正常的系统程序运行,为此系统已有考虑。
首先,我们需要对所要的所有系统应用程序生成默认规则:右点规则集内的Executable Rules,选取Create Default Rules,然后再将允许每个人执行C:\Program Files下任何程序的规则删除。下一步是为系统自动生成准许规则,为此右点Executable Rules并选择Automatically Generate Executable Rules。应用程序主要存放在两个位置:一个是Windows目录,系统默认规则是准许用户执行该目录下任何事情,建议对该文件夹没必要生成任何准许规则;另一个是Program Files目录,在设置对话框选择文件夹,再选择应用策略作用的用户组如Users,然后为规则命名。
下一步,会出现规则特性显屏,可选择要生成的规则类型,此时通常将具有数字签名的所有文件生成publisher规则,而对其它文件生成hash规则;点击下一步后规则会找到对位的应用程序,稍后显示对话框,你只要点击Create即可让规则生效。
刚才笔者提到了有三种规则,其实还有一条应当补充,即DLL rules,它用于阻挡那些调用指定DLL文件的应用。该规则应当谨慎使用,因为它会要求AppLocker对每一应用在初始化时所调用的每个DLL进行审查,所以会耗用相当的系统资源。正因如此,在默认时系统不支持DLL rules。假如确实要设置的话,方法是:转至AppLocker主配置界面,选择Configure Rule Enforcement,点击Advanced按钮勾选Enable the DLL rule collection option。
以上所谈的规则其实都具有强制性。在有些环境下,我们更倾向于采用审计方式,AppLocker中也有相关设置。在AppLocker配置主界面上,点击Configure Rule Enforcement,选择Configured以及Audit Only选项即可。另外,只要用户运行一例被AppLocker规则所作用的应用时,相关信息就会被加入到AppLocker的事件日志内。
文章如转载,请注明转载自:http://www.5iadmin.com/post/856.html
- 相关文章:
发表评论
◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。