Windows 7 AppLocker 执行概述
更新时间: 2010年1月
应用到: Windows 7
本主题介绍了 AppLocker,它是 Windows 7 中提供的一种新应用程序控制功能,有助于阻止执行组织的网络内不需要的和未知的应用程序,同时提供安全性、可操作和合规性优势。
若要查看完整的 Windows 7 资源、文章、演示和指南,请访问 Windows 客户端技术中心上的 Windows 7 的 Springboard 系列(可能为英文网页)。
简介
对典型桌面计算机的软件配置的所需或初始状态进行了更改,通常是指更改了非标准或未经批准软件的安装和执行。用户通过在家中、Internet 下载、对等文件共享和电子邮件安装软件,这将导致恶意软件感染几率上升、更多的技术支持呼叫,并难以确保您的桌面计算机只运行经批准和许可的软件。此外,还降低了业务效率。因此,很多组织希望通过各种锁定方案(包括限制管理员凭据)对其桌面环境进行更多控制。建议以标准的非管理用户身份运行,因为这有助于限制可以在桌面环境中进行的配置更改,但是,以标准用户身份运行无法阻止在组织中安装或执行未知或不需要的软件。
Windows XP 和 Windows Vista 中的软件限制策略 (SRP) 为 IT 管理员提供了定义并强制执行应用程序控制策略的机制。但是,SRP 在非常动态的桌面环境中可能会成为管理负担,在此环境中,由于应用程序控制策略主要使用哈希规则,因此需要经常安装和更新。根据哈希规则,每次应用程序更新时都需要创建新的哈希规则。
Windows 7 AppLocker
Windows 7 通过引入 AppLocker 满足了企业对应用程序控制解决方案的日益提高的要求:提供了一个简单、灵活的机制,使管理员能明确指定允许在其桌面环境中运行的内容。因此,AppLocker 通过允许管理员执行以下操作,不仅提供了安全保护,还提供了可操作和合规性优势:
-
当某个软件不在允许列表中时阻止该未经许可的软件在桌面环境中运行
-
阻止易受攻击、未经授权的应用程序在桌面环境中运行,包括恶意软件
-
阻止用户运行不必要地消耗网络带宽或影响企业计算环境的应用程序
-
阻止用户运行破坏桌面环境稳定性并增加技术支持成本的应用程序
-
为有效的桌面配置管理提供更多选择
-
在仍然要求只有具有管理凭据的用户可以安装或运行应用程序和软件更新的同时,允许用户基于策略运行批准的应用程序和软件更新
-
帮助确保桌面环境符合公司策略和行业法规
AppLocker 通过下面两种规则操作提供了简单但功能强大的结构:允许和拒绝。还提供了识别这些操作的例外的方法。允许规则操作限制应用程序只能执行允许的应用程序列表,并阻止其他所有内容。拒绝规则操作采用相反的方法,允许执行除拒绝应用程序列表中的应用程序之外的所有应用程序。虽然很多企业可能会结合使用允许操作和拒绝操作,但理想的 AppLocker 部署应使用具有内置例外的允许规则操作。例外规则允许将文件从通常包含这些文件的允许规则操作或拒绝规则操作中排除。使用例外,可以创建一个规则来“允许运行 Windows 操作系统中除内置游戏之外的所有内容”。结合使用允许规则操作和例外提供了一种功能强大的方式来构建一个允许的应用程序列表,而不必创建大量规则。
AppLocker 引入了基于应用程序数字签名的发布者规则。发布者规则通过能够指定属性(如应用程序的版本)允许构建可进行应用程序更新的规则。例如,组织可以创建“如果 Acrobat Reader 程序由软件发布商 Adobe 签名,则允许运行该程序高于 9.0 版本的所有版本”的规则。现在,当 Adobe 更新 Acrobat 时,您可以部署应用程序更新,而不必为该应用程序的新版本创建另一规则。
AppLocker 支持称为规则集合的多个独立可配置策略:包括可执行文件、安装程序、脚本和 DLL。这些多个集合允许组织构建超越传统的仅可执行文件解决方案的规则,提供了更高的灵活性和增强的保护功能。例如,组织可以创建规则来“允许图形安全组从 Adobe 运行 Photoshop 安装程序或应用程序(只要 Adobe Photoshop 仍是 114.* 版)”。这将允许 IT 管理员保持控制,但也允许用户可以基于业务需求将其计算机保持为最新状态。此外,可以将每个策略单独地置于仅审核模式中,以便允许您在规则开始阻止应用程序运行并潜在影响最终用户工作效率之前对这些规则进行测试。
AppLocker 规则可以与组织内特定的用户和组相关联。这提供了特定控制,通过验证并强制哪些用户可以运行特定应用程序来允许您支持合规性要求。例如,可以创建一个规则来“允许财务安全组的用户运行财务行业应用程序”。这将阻止不属于财务安全组的所有人员(包括管理员)运行财务应用程序,但仍为那些因业务需求需要运行这些应用程序的人员提供了访问权限。
通过新的规则创建工具和向导,AppLocker 为 IT 管理员提供了可靠的体验。例如,IT 管理员可以使用测试参考计算机自动生成规则,然后将这些规则导入生产环境供广泛部署。IT 管理员还可以导出策略为生产配置提供备份,或出于合规性目的提供文档。您的组策略基础结构也可用来构建和部署 AppLocker 规则,从而节省组织的培训和支持成本。
AppLocker 是 Windows 7 Enterprise 和 Windows 7 Ultimate 中提供的一项新技术。此外,Windows Server 2008 R2 Standard、Windows Server 2008 R2 Enterprise、Windows Server 2008 R2 Datacenter 和 面向基于 Itanium 的系统的 Windows Server 2008 R2 中也提供了 AppLocker。这些相同版本中还提供了软件限制策略。
摘要
桌面环境不仅是一种最具生产效率的工具,而且代表一项重大投资。您需要一些工具使用户能够运行提高工作效率所需的应用程序,同时还能有效地防御未知或不需要的软件。
Windows 7 通过引入 AppLocker 满足了企业对应用程序控制解决方案的需求:提供了一个简单、灵活的机制,使管理员能明确指定允许在其桌面环境中运行的内容。因此,AppLocker 不仅提供了安全保护,还提供了可操作和合规性优势。此外,可通过久经考验、众所周知的工具和技术管理 AppLocker,以便综合利用 IT 资源使 IT 基础结构与动态的业务需求相一致。
