在我们开始建立自定义的各种新应用过程控制策略之前,是否需要预先完成一些基本设置?的确需要的!首先请在“群组策略编辑器”界面点选“安全性设置→Security Settings→Application Control Policies→ AppLocker”项 目节点上。接着点选位于中间内容页面中的“Configure rule enforcement”来设置应用程序策略的属性继续。
如图1所示,接下来将会开启“AppLocker Properties”页面。首先在“Enforcement”页面中,分别设置针对应用程序执行规则、Windows安装程序(MSI、MSP)规则、手稿文件程序(Script)规则的组态配置。您可以选择要强制套用规则设置(Enforce)还是仅进行稽核事件的记录,如果以后需要管理这三种类型的策略设置,需要将它们都设置为“Enforce”。
切 换 到“Advanced”页面中,在此您可以决定是否要让针对DLL档案规则的管理功能设置项目,出现在应用程序策略管理接口中,如果需要的话,请将“Enable the DLL rule collection”项目勾选即可,在默认状态下是没有勾选的。这是因为如果在后续的管理中,若有不当的规则配置,可能会导致系统无法正常运作,并且会影响系统执行效果。
如果您想要针对目前已经安装在客户端Windows 7上面的应用程序,进行存取管理上的限制,请按照以下的操作进行设置。首先在“群组策略编辑器”接口中点选“安全性设置→Security Settings→Application Control Policies→AppLocker→ Executable Rules”项,在动作窗口中点选“Create New Rule”。接着将会开启向导设置页面。首先请在“Permissions”页面中 决 定此规则的建立,是基于允许(Allow)执行还是拒绝(Deny)执行之上。在此我们选取“Deny”来作为范例,并且必须点选“Select”按钮来设置规则套用的对象(用户或群组)。点选“下一步”继续。
图1 AppLocker属性设置
图2 以应用程序发行信息为例
在“Conditions” 页 面中,必须选择准备用来设置应用过程控制策略的方法,分别有应用程序发行信息规 则(Publisher)、路径 规 则(Path)以及档案哈希规则(File hash)。其中Publisher方式将会根据应用程序发行时的各类字段信息来作为条件判断(例如:产品名称),而Path规则是可以针对特定的档案或整个文件夹路径来作为条件判断,至于File hash方式,则可以在一个应用程序没有相关发行信息时,来作为条件判断的最佳选择。在此我们选取Publisher,并且点选“下一步”继续。
在“Publisher”页面中,如图2所示,首先您必须点选“Browse”按钮来加载所要管理的应用程序执行文档。笔者以Outlook 2007执行程序为例,接下来便可以看到四大字段的相关发行信息,分别是文档版本(File version)、文件名(File name)、产品名称(Product name)、发 行 者(Publisher)。最后,您便可以根据条件判断的需求,来调整其精确度即可。点选“下一步”继续。
在“Exceptions”页面中,您可以额外设置例外清单。举例来说,我们虽然设置不允许执行Outlook 2007应用程序,但是如果该程序是安装在某一个特定的路径下时,则将允许它可以正常执行。根据这样的需求,我们便可以在这个页面中新增一个例外的路径(Path)规则。
最 后,在“Name and Description”页面中,必须设置这项规则的识别名称以及选用设置的说明信息。再次回到了主管理页面之后,便可以看到在第一次建立规则时,系统会询问我们是否要建立默认的规则设置,在此建议您务必选择“是”,主要是因为这默认的三条规则,主要目的在确保系统管理员以及所有用户,都可以正常存取默认位于C:Windows与C:Program Files路径下的程序。事实上,对于后续我们所要建立的其他规则,系统也都会帮助我们自动建立默认的三条规则。
注意:当设置为“拒绝(Deny)”的规则遇到了设置为“允许(Allow)”的规则时,系统将会以“拒绝(Deny)”的规则为优先。
完成以上应用程序执行规则的建立之后,接下来我们便可以在Windows 7的客户端计算机上,开启命令提示字符,然后输入gpupdate /target:computer /force命令参数(或是直接重新启动),来立即进行计算机策略的更新与套用。当Windows 7客户端成功套用了所设置的群组策略之后,一旦使用者去执行了受管理的应用程序时,将会出现类似此应用程序被群组策略封锁的错误信息而无法成功开启。