国产精品香蕉在线观看网,亚洲欧美精品综合在线观看,亚洲不卡av一区二区无码不卡,亚洲日本精品国产第一区二区

　　雖然說，阻止特殊應(yīng)用程序在網(wǎng)絡(luò)運(yùn)行的概念并不新鮮，但是阻止的方法卻一直在不斷演化。在此之前，網(wǎng)絡(luò)管理員可能會(huì)認(rèn)為最好使用第三方軟件來處理這個(gè)問題，然而和Windows Server 2008 R2中AppLocker的出現(xiàn)為管理應(yīng)用程序執(zhí)行帶來了更加有效的方式。AppLocker是Windows Software Restriction Policies的進(jìn)化版。

　　阻止個(gè)別應(yīng)用程序

　　大家會(huì)注意到，公司員工們開始使用遠(yuǎn)程桌面客戶端來訪問他們的家庭計(jì)算機(jī)來繞過內(nèi)容過濾以及打發(fā)上班時(shí)間。本文中我們將討論如何使用AppLocker通過阻止mstsc.exe的執(zhí)行讓這些家伙乖乖回到工作上。

　　你可以通過在Windows 7開始菜單中輸入gpedit.msc 來進(jìn)入AppLocker，或者也可以通過在Windows Server 2008 R2中創(chuàng)建新的組政策對(duì)象。進(jìn)入AppLocker后，瀏覽Computer Configuration(計(jì)算機(jī)配置)， Windows Settings(Windows 設(shè)置)，Security Settings(安全設(shè)置)， Application Control Policies(應(yīng)用程序控制政策， AppLocker。

　　你很快會(huì)發(fā)現(xiàn)，當(dāng)你展開左窗格的AppLocker時(shí)，會(huì)出現(xiàn)三個(gè)選項(xiàng)。這三個(gè)選項(xiàng)是規(guī)則集以及用于分類由AppLocker控制的文件擴(kuò)展名的類型。下表中顯示的是與每一個(gè)規(guī)則相關(guān)聯(lián)的文件擴(kuò)展名：

　　規(guī)則文件類型

　　Executable files(可執(zhí)行文件).exe, .com

　　Scripts(腳本).ps1, .bat, .cmd, .vbs, .js

　　Windows Installer files(Windows安裝文件).msi, .msp

　　我們將要阻止的對(duì)象就是可執(zhí)行文件，那么我們就需要在可執(zhí)行文件規(guī)則集中創(chuàng)建一條新規(guī)則，這個(gè)操作是這樣進(jìn)行的：右鍵單擊Executable Rules，然后選擇創(chuàng)建新規(guī)則(Create New Rule)。

　　這個(gè)時(shí)候?qū)?huì)彈出創(chuàng)建可執(zhí)行規(guī)則向?qū)?，點(diǎn)擊Next來跳過介紹內(nèi)容。我們想要阻止對(duì)mstsc可執(zhí)行文件的訪問，所以我們要選擇Deny選項(xiàng)。在此屏幕中你可以選擇該政策適用的用戶或者組。當(dāng)然，我們想要確保管理員和主要用戶能夠在登陸到其計(jì)算機(jī)時(shí)能夠訪問該應(yīng)用程序，因此，我們選擇的政策使用對(duì)象為用戶組。

　　在下一步驟中，將會(huì)彈出選擇規(guī)則應(yīng)用的主要情況的選項(xiàng)，主要有以下三種選項(xiàng)，這也是所有規(guī)則集中使用的選項(xiàng)：

　　o 發(fā)行者(Publisher) – 當(dāng)選擇一個(gè)條件時(shí)，這個(gè)選項(xiàng)是最具靈活性的，只能在由應(yīng)用程序創(chuàng)造者簽字的軟件應(yīng)用程序上使用

　　o 路徑 – 該規(guī)則是為指定文件或者文件夾路徑創(chuàng)建規(guī)則的

　　o 文件Hash – 這個(gè)選項(xiàng)最適用于應(yīng)用程序?yàn)楹灻臅r(shí)候，該規(guī)則是基于應(yīng)用程序的hash來創(chuàng)建的。

　　MSTSC是一種簽名應(yīng)用程序，所以我們選擇Publisher作為主要條件。點(diǎn)擊下一步跳轉(zhuǎn)到下一步周。點(diǎn)擊瀏覽(Browse)按鈕并查找你想要阻止的文件。我們的文件地址位于C:\Windows\System32\mstsc.exe。選擇好文件后，屏幕上的滑動(dòng)條就可以上下滑動(dòng)了。對(duì)于簽名應(yīng)用程序，我們有幾種粒度級(jí)別來支持規(guī)則。我們可以阻止來自某個(gè)發(fā)行者的所有應(yīng)用程序，使用某產(chǎn)品名、文件名本身或者應(yīng)用程序的相關(guān)版本號(hào)簽名的所有應(yīng)用程序。

　　正如你所知，這些選項(xiàng)中存在很強(qiáng)的靈活性和能力。我們可以阻止由某個(gè)計(jì)算機(jī)游戲開發(fā)者設(shè)計(jì)的所有應(yīng)用軟件，阻止與大型感染相關(guān)的文件名，或者甚至可以強(qiáng)迫用戶保持更新軟件，但卻不允許他們運(yùn)行某個(gè)版本號(hào)以下的應(yīng)用程序。在這里，我們的目的是阻止所有mstsc.exe的運(yùn)行，而不涉及版本號(hào)，所以滑動(dòng)條將在文件名選項(xiàng)的旁邊進(jìn)行設(shè)置。

　　下一個(gè)出現(xiàn)的畫面將允許你添加必要的特例，而最后的畫面是讓你為新規(guī)則命名。隨著對(duì)AppLocker的不斷熟悉，你會(huì)發(fā)現(xiàn)創(chuàng)建這些規(guī)則是很快的，所以最好對(duì)這些規(guī)則采用標(biāo)準(zhǔn)的命名，這樣便于日后的管理和修改。為規(guī)則命名后，點(diǎn)擊Create以完成規(guī)則創(chuàng)建過程。如果這是你創(chuàng)建的第一個(gè)規(guī)則，屏幕上將會(huì)彈出提示，要求你創(chuàng)建“Default Rules”來允許用戶和管理員訪問系統(tǒng)文件。這是必須的(尤其是當(dāng)你運(yùn)行的是Windows 7之前版本的系統(tǒng)的情況下)，因?yàn)槿绻麤]有設(shè)置這些的話，將會(huì)阻止系統(tǒng)開機(jī)。點(diǎn)擊提示信息中的“是”后，將會(huì)自動(dòng)為你創(chuàng)建規(guī)則。

　　There is one final step to ensuring your rules apply properly. The Application Identity service must be enabled and set to run automatically so that AppLocker can properly identify applications. You can do this by typing services.msc into the Start Menu search box, locating the Application Identity service, double clicking it, clicking Start, and choosing Automatic in the Startup Type field. After a final reboot of the system your users will be presented with this lovely message should they attempt to run mstsc.exe

　　要確保新規(guī)則能夠正常運(yùn)用，還需要進(jìn)行最后一個(gè)步驟。應(yīng)用程序身份服務(wù)必須被啟用，并且設(shè)置為自動(dòng)運(yùn)行，這樣AppLocker才會(huì)鑒定應(yīng)用程序。你可以這樣操作，在開始菜單的搜索欄中輸入services.msc，找出Application身份服務(wù)，雙擊它，點(diǎn)擊Start，然后在Startup Type(啟動(dòng)類型)中選擇自動(dòng)。進(jìn)行最后一次系統(tǒng)重啟后，我們就完成了阻止mstsc.exe的操作，當(dāng)用戶啟動(dòng)mstsc.exe時(shí)就會(huì)彈出以下提示信息。

　　阻止所有不可信任的應(yīng)用程序

　　在上個(gè)操作中，我們明確的知道需要阻止的應(yīng)用程序類型，所以操作比較簡(jiǎn)單。那種情況比較適合用戶允許訪問部分系統(tǒng)文件的情況，但是在某些中，IT政策將會(huì)規(guī)定，用戶不能運(yùn)行任何IT部門明確規(guī)定不能使用的程序，而這種情況下，唯一有效的方法就是阻止所有不可信任的應(yīng)用程序。

　　AppLocker可以很快速地幫我們實(shí)現(xiàn)這個(gè)設(shè)置。AppLocker的安全性很強(qiáng)，也正是因?yàn)榇?，?dāng)我們創(chuàng)建一個(gè)允許規(guī)則時(shí)，AppLocker會(huì)默認(rèn)為，除了這種明確規(guī)定允許使用的應(yīng)用程序外，其他所有應(yīng)用程序都必須被阻止。例如，當(dāng)我為C:\folder\file.exe的應(yīng)用程序創(chuàng)建一個(gè)允許規(guī)則后，所有在C:\文件夾路徑的其他應(yīng)用程序都不能執(zhí)行，只有file.exe能夠執(zhí)行。這就意味著，為了完成阻止所有不可信任應(yīng)用程序的要求，我們需要做的就是為每種允許的應(yīng)用程序創(chuàng)建允許規(guī)則。

　　這樣，我們就需要為每種單個(gè)執(zhí)行文件創(chuàng)建允許規(guī)則，包括那些我們已經(jīng)安裝的應(yīng)用程序以及默認(rèn)安全的Windows應(yīng)用程序。所幸的是，公司也考慮到了這一點(diǎn)，AppLocker允許我們根據(jù)安裝在特定工作組的應(yīng)用程序自動(dòng)生成規(guī)則，現(xiàn)在讓我們開始進(jìn)行設(shè)置。

　　如果你還沒有創(chuàng)建默認(rèn)規(guī)則以允許所有必須的系統(tǒng)程序運(yùn)行，那么你第一步就需要?jiǎng)?chuàng)建這樣的默認(rèn)規(guī)則。右鍵單擊Executable Rules，選擇Create Default Rules，創(chuàng)建后，我們需要?jiǎng)h除允許每個(gè)人執(zhí)行C:\Program Files目錄所有程序的允許規(guī)則，因?yàn)檫@個(gè)規(guī)則違反了我們的要求。

　　我們的下一步驟就是自動(dòng)生成允許規(guī)則。首先，需要右鍵單擊Executable Rules然后選擇Automatically Generate Executable Rules。主要有兩個(gè)應(yīng)用程序的位置：第一個(gè)就是Windows目錄，由于默認(rèn)規(guī)則可以允許所有用戶執(zhí)行該目錄下的程序(并且推薦保留這個(gè)規(guī)則)，我們不需要為這個(gè)文件夾創(chuàng)建任何允許規(guī)則。然后就是Program Files目錄，在第一個(gè)框中選擇這個(gè)文件夾。在這個(gè)的下面，你可以選擇政策運(yùn)用的用戶組，在本文的例子中選擇的是用戶組。最后，你需要選擇一個(gè)名字來識(shí)別這組規(guī)則，這個(gè)名字將會(huì)出現(xiàn)在規(guī)則描述前面的括號(hào)里。完成這些操作和，點(diǎn)擊Next進(jìn)入下一畫面。

　　規(guī)則參數(shù)選擇屏幕可以讓你選擇你想要?jiǎng)?chuàng)建的規(guī)則類型。首先，你將需要為所有有數(shù)字簽名的文件創(chuàng)建發(fā)行者規(guī)則，為那些未簽名的文件創(chuàng)建文件hash規(guī)則。這些選項(xiàng)是默認(rèn)設(shè)置，你當(dāng)然也可以通過為類似文件分組來減少這些規(guī)則的數(shù)量。這樣做當(dāng)然會(huì)明顯減少規(guī)則數(shù)量，但是如果你需要保持在訪問控制中粒度的水平，那么我推薦你刪除這個(gè)選項(xiàng)。點(diǎn)擊Next來開始規(guī)則應(yīng)用程序發(fā)現(xiàn)過程，一會(huì)兒后，畫面就會(huì)顯示一個(gè)對(duì)話框，在此對(duì)話框中，你可以查看創(chuàng)建的規(guī)則。點(diǎn)擊Create來創(chuàng)建這些規(guī)則，完成操作。

　　DLL規(guī)則集

　　雖然我只列出了三個(gè)規(guī)則集，另外還有一個(gè)需要被提及。DLL規(guī)則集是用來阻止調(diào)用具體DLL文件的應(yīng)用程序。這是一個(gè)先進(jìn)的規(guī)則集，除非非常必要的情況下，否則不要使用。這種類型的規(guī)則也會(huì)嚴(yán)重影響系統(tǒng)性能，因?yàn)樗驛ppLocker檢查應(yīng)用程序初始化時(shí)使用每個(gè)DLL。

　　默認(rèn)情況下，DLL規(guī)則是沒有被啟用的，由于以上提及到的原因。如果你想要?jiǎng)?chuàng)建DLL規(guī)則，你可以這樣操作：進(jìn)入主要AppLocker配置畫面，選擇Configure Rule Enforcement，選擇Advanced選項(xiàng)，勾選Enable the DLL規(guī)則選項(xiàng)。這樣操作后，你會(huì)發(fā)現(xiàn)左窗格中的DLL規(guī)則與另外三個(gè)規(guī)則。

　　審計(jì)vs. 執(zhí)行規(guī)則

　　到目前為止，我們創(chuàng)建的所有規(guī)則都是用來執(zhí)行允許或者阻止應(yīng)用程序使用的政策的。在某些環(huán)境中，在執(zhí)行政策之前，對(duì)特定應(yīng)用程序的使用進(jìn)行審計(jì)，將會(huì)帶來事半功倍的效果。AppLocker專門為此提供了一個(gè)審計(jì)設(shè)置，當(dāng)用戶允許受到AppLocker規(guī)則影響的應(yīng)用程序時(shí)，關(guān)于該應(yīng)用程序的信息將會(huì)添加到該AppLocker的事件日志中。該設(shè)置是根據(jù)每種規(guī)則分布設(shè)置的。

　　審計(jì)設(shè)置可以通過點(diǎn)擊主要AppLocker配置屏幕中的Configure Rule Enforcement來進(jìn)行配置。在這個(gè)窗口中，你可以為你想要審計(jì)的規(guī)則選擇已配置的復(fù)選框，并選擇Audit Only選項(xiàng)。該功能在判斷那些應(yīng)用程序應(yīng)該使用政策方面很有效。

　　結(jié)語

　　能夠很明顯的感受到，AppLocker能夠?yàn)榫W(wǎng)絡(luò)帶來很好的管理靈活性。使用其動(dòng)態(tài)規(guī)則系統(tǒng)，你可以阻止不同類型的影響生產(chǎn)力和安全性應(yīng)用程序(從游戲到惡意軟件等)。與此同時(shí)，AppLocker還可以通過僅允許批準(zhǔn)的應(yīng)用程序在網(wǎng)絡(luò)計(jì)算機(jī)中使用來執(zhí)行IT可接受使用政策，和Windows Server 2008 R2中確實(shí)有很多令人激動(dòng)的新功能，不過AppLocker絕對(duì)是大家不容錯(cuò)過的強(qiáng)大功能。