應用程序執行規則管理

應用過程控制策略基本設置

在我們開始建立自定義的各種新應用過程控制策略之前，是否需要預先完成一些基本設置？的確需要的！首先請在“群組策略編輯器”界面點選“安全性設置→Security Settings→Application Control Policies→ AppLocker”項 目節點上。接著點選位于中間內容頁面中的“Configure rule enforcement”來設置應用程序策略的屬性繼續。

如圖1所示，接下來將會開啟“AppLocker Properties”頁面。首先在“Enforcement”頁面中，分別設置針對應用程序執行規則、Windows安裝程序（MSI、MSP）規則、手稿文件程序（Script）規則的組態配置。您可以選擇要強制套用規則設置（Enforce）還是僅進行稽核事件的記錄，如果以后需要管理這三種類型的策略設置，需要將它們都設置為“Enforce”。

切 換 到“Advanced”頁面中，在此您可以決定是否要讓針對DLL檔案規則的管理功能設置項目，出現在應用程序策略管理接口中，如果需要的話，請將“Enable the DLL rule collection”項目勾選即可，在默認狀態下是沒有勾選的。這是因為如果在后續的管理中，若有不當的規則配置，可能會導致系統無法正常運作，并且會影響系統執行效果。

應用程序執行規則的設置

如果您想要針對目前已經安裝在客戶端Windows 7上面的應用程序，進行存取管理上的限制，請按照以下的操作進行設置。首先在“群組策略編輯器”接口中點選“安全性設置→Security Settings→Application Control Policies→AppLocker→ Executable Rules”項，在動作窗口中點選“Create New Rule”。接著將會開啟向導設置頁面。首先請在“Permissions”頁面中 決 定此規則的建立，是基于允許（Allow）執行還是拒絕（Deny）執行之上。在此我們選取“Deny”來作為范例，并且必須點選“Select”按鈕來設置規則套用的對象（用戶或群組）。點選“下一步”繼續。

圖1 AppLocker屬性設置

圖2 以應用程序發行信息為例

在“Conditions” 頁 面中，必須選擇準備用來設置應用過程控制策略的方法，分別有應用程序發行信息規 則（Publisher）、路徑 規 則（Path）以及檔案哈希規則（File hash）。其中Publisher方式將會根據應用程序發行時的各類字段信息來作為條件判斷（例如：產品名稱），而Path規則是可以針對特定的檔案或整個文件夾路徑來作為條件判斷，至于File hash方式，則可以在一個應用程序沒有相關發行信息時，來作為條件判斷的最佳選擇。在此我們選取Publisher，并且點選“下一步”繼續。

在“Publisher”頁面中，如圖2所示，首先您必須點選“Browse”按鈕來加載所要管理的應用程序執行文檔。筆者以Outlook 2007執行程序為例，接下來便可以看到四大字段的相關發行信息，分別是文檔版本（File version）、文件名（File name）、產品名稱（Product name）、發 行 者（Publisher）。最后，您便可以根據條件判斷的需求，來調整其精確度即可。點選“下一步”繼續。

在“Exceptions”頁面中，您可以額外設置例外清單。舉例來說，我們雖然設置不允許執行Outlook 2007應用程序，但是如果該程序是安裝在某一個特定的路徑下時，則將允許它可以正常執行。根據這樣的需求，我們便可以在這個頁面中新增一個例外的路徑（Path）規則。

最 后，在“Name and Description”頁面中，必須設置這項規則的識別名稱以及選用設置的說明信息。再次回到了主管理頁面之后，便可以看到在第一次建立規則時，系統會詢問我們是否要建立默認的規則設置，在此建議您務必選擇“是”，主要是因為這默認的三條規則，主要目的在確保系統管理員以及所有用戶，都可以正常存取默認位于C:Windows與C:Program Files路徑下的程序。事實上，對于后續我們所要建立的其他規則，系統也都會幫助我們自動建立默認的三條規則。

注意：當設置為“拒絕（Deny）”的規則遇到了設置為“允許（Allow）”的規則時，系統將會以“拒絕（Deny）”的規則為優先。

完成以上應用程序執行規則的建立之后，接下來我們便可以在Windows 7的客戶端計算機上，開啟命令提示字符，然后輸入gpupdate /target:computer /force命令參數（或是直接重新啟動），來立即進行計算機策略的更新與套用。當Windows 7客戶端成功套用了所設置的群組策略之后，一旦使用者去執行了受管理的應用程序時，將會出現類似此應用程序被群組策略封鎖的錯誤信息而無法成功開啟。