[Windows Server]AppLocker
AppLocker 是 Windows Server 2008 R2 和 Windows 7 新增的功能,該功能取代了軟體限制原則,Applocker 可協助系統管理員使用者存取及使用檔案的方式,像是執行檔、指令碼、DLL 檔、Windows Installer 檔案等。AppLocker 可用於下列案例 :
1. 協助防止惡意軟體 (惡意程式碼) 和不支援的應用程式影響環境中的電腦。
2. 防止使用者安裝及使用未經授權的應用程式。
3. 實作應用程式控制原則,滿足組織的安全性原則或規範需求。
想要使用 AppLocker,必須先啟動 Application Identity,請參考以下步驟啟用 AppLocker 服務
1. 按 [Win 視窗鍵] + R,出現 [執行] 視窗,輸入 services.msc 按 Enter 鍵。
2. 找出 Application Identity 按滑鼠右鍵,選擇 [啟動]。
從畫面中,我們可以了解停用此服務將使 AppLocker 無法強制執行。
接著,參考以下步驟設置 AppLocker
1. 按 [Win視窗鍵] + R,輸入 gpedit.msc 按 Enter 鍵。
2. 此時出現 [本機群組原則編輯器],依序點開 [本機電腦 原則] / [電腦設定] / [安全性設定] / [應用程式控制原則] / [AppLocker]。
接著就可以設定規則,首先,AppLocker MMC 包含四個規則集合,分別是執行檔、指令碼、Windows Installer、DLL,建立方式很簡單,參考以下步驟
1. 例如我們要建立可執行檔規則,請在其上方按滑鼠右鍵,選擇 [建立新規則],
2. 此時出現 [建立 可執行檔規則],按 [下一步]。
3. 按 [允許] 或 [拒絕],允許或拒絕規則中包含的檔案。
4. 按 [選取]。在 [選取使用者或群組] 方塊中,輸入適當的安全性群組或使用者,然後按 [確定]。
5. 接著要選擇您要訂立的條件類型
(1) 發行者 : 按 [瀏覽],選取您想擷取發行者資訊的檔案。若要編輯發行者資訊,選取 [使用自訂值] 核取方塊,然後編輯該值,按 [下一步]。
(2) 路徑 : 按 [瀏覽資料夾] 或 [瀏覽檔案],以瀏覽檔案或資料夾。或者,您也可以在 [路徑] 方塊中輸入路徑,按 [下一步]。
(3) 檔案雜湊 : 按 [瀏覽資料夾] 或 [瀏覽檔案],以瀏覽檔案或資料夾,按 [下一步]。
6. 設定完成後,按右下角建立即可。
7. 當您沒有設定預設規則時會出現以下畫面,請按 [是]。
假如對於 AppLocker 有興趣的人,可到 TechNet 了解更多的訊息。
