Windows 7 está destinado a ser un producto que hace época como un sistema operativo convencional de última generación de alto perfil. Además de aprender completamente las lecciones del desarrollo de Windows Vista, Microsoft ha agregado una serie de características nuevas y convenientes, como BitLocker To GO, que puede cifrar directamente los dispositivos de almacenamiento móvil e instalar el sistema en imágenes VHD. Se ha reducido la frecuencia emergente de la ventana de seguridad de UAC de Windows 7. Muchos amigos pueden pensar que la función de control de cuenta de usuario de Windows 7. se ha debilitado. De hecho, esto es una mejora de la función de control de usuario engorroso de Windows 7. Si necesita un control más seguro y flexible sobre los programas de ejecución del usuario, los archivos y los scripts, ya existe un AppLocker más práctico en Windows 7, y el nombre chino es la estrategia de control de la aplicación. Entonces, ¿cómo utilizamos esta función de seguridad?
1. Habilitar AppLocker es complicado. Habilitar AppLocker es relativamente simple, podemos tomar los siguientes métodos. Primero, ingresamos el comando "Gpedit.msc" en el cuadro de búsqueda de Windows 7 para abrir el Editor de políticas de grupo, y luego vamos al proyecto "Configuración de la computadora - Configuración de Windows - Configuración de seguridad - Política de control de la aplicación - AppLocker", AppLocker tiene reglas ejecutables Existen tres tipos de reglas del instalador de Windows y reglas de script. No se agrega ninguna política de forma predeterminada. Vamos a crear una regla ejecutable más simple. Simplemente haga clic con el botón derecho en el proyecto "Reglas ejecutables" y seleccione el comando "Crear regla predeterminada" para crear tres reglas ejecutables (Figura 1). La primera regla significa que solo todos los usuarios tienen permiso para ejecutar el programa de la carpeta "Archivos de programa". La segunda regla significa que todos los usuarios tienen permiso para ejecutar la carpeta "Windows". La tercera regla significa que solo se permite a los administradores. El usuario ejecuta todos los programas. El usuario actual ejecuta el programa con los derechos de usuario normales. Por lo tanto, puede hacer doble clic en la primera regla y, en la ventana emergente, configurar "Acción" en "Rechazar" para obtener el efecto de restringir la ejecución de cualquier programa (Figura 2). Sin embargo, encontramos que la estrategia no podría ser efectiva. ¿Cuál es la razón?
Figura 1
Figura 2
De hecho, la función AppLocker está bloqueada por el sistema de forma predeterminada, debemos abrirla. Ingresamos el comando " Services.msc " en el cuadro de búsqueda de Windows 7 para abrir la ventana "Servicios" y abrir el servicio "Identidad de la aplicación", que es un servicio que verifica la identificación de la aplicación. Por defecto, la desactivación del servicio evitará que el sistema se fuerce. Se ejecuta AppLocker, por lo que debemos hacer clic en el botón " Iniciar " para abrir el servicio (Figura 3). Luego, ejecutamos nuevamente cualquiera de las carpetas "Archivos de programa" para abrir la ventana deshabilitada (Figura 4), la estrategia acaba de tener efecto. Debido a la alta prioridad de la política de rechazo, no podremos iniciar todos los programas en esta carpeta. Solo podemos hacer clic derecho en el programa para seleccionar " Ejecutar como administrador para ejecutar el programa.
Figura 3
Figura 4
2. Método de estrategia de AppLocker personalizado
Incluso si se restaura la primera política, encontramos que Windows 7 solo permitirá que los usuarios normales ejecuten " La carpeta Archivos de programa y el programa de carpeta "Windows" a veces se sienten muy incómodos, entonces, ¿cómo permite que los usuarios normales ejecuten programas en cualquier directorio? Tratamos de modificar la primera política. Abra esta política y vaya a la opción "ruta", encontramos que solo modificamos la ruta a * (Figura 5). En este momento, es posible que no funcione de inmediato. Debemos ingresar el comando " Gpupdate " en el cuadro de búsqueda para actualizar la política del grupo y lograr el objetivo.
Figura 5
La estrategia anterior le permite a cualquier usuario ejecutar todos los programas. Si necesitamos restringirlos para que no ejecuten ciertos programas, podemos abrir la primera política e ir a " Excepciones, como: desea limitar la ejecución del programa Foxmail, luego seleccione "Agregar excepciones" en "Agregar excepciones", luego haga clic en el botón "Agregar", haga clic en el botón "Buscar archivos" para agregar Foxmail El programa ejecutable puede ser (Figura 6). Luego, los usuarios normales que ejecutan Foxmail encontrarán una solicitud prohibida (Figura 7).
Figura 6
Figura 7
3. Cree una estrategia práctica de restricción de programas. Acabamos de presentar el método de configuración básica y el efecto de limitación a través de la estrategia predeterminada de AppLocker. Entonces, ¿cómo ¿Se aplica mejor a las limitaciones del programa? Por ejemplo, queremos establecer una estrategia que limite el uso de QQ2009 SP2 por parte de los niños. Podemos hacer clic derecho en el panel en blanco a la derecha para seleccionar el comando "Crear nueva regla", luego abrir la ventana "Crear reglas ejecutables" (Figura 8), hacer clic en el botón "Siguiente"; Debe seleccionar el permiso del usuario, seleccionar la acción como "Rechazar", hacer clic en "" Usuarios /Grupos" debajo del botón "Seleccionar" para seleccionar la cuenta del niño (como se muestra en la Figura 9); en la ventana emergente "Seleccionar usuario o grupo" " ventana haga clic en el botón " avanzado " luego haga clic en " buscar ahora ", luego haga doble clic en el usuario "pequeño travieso" (se supone que es un usuario secundario) (Figura 10). En la ventana, haga clic en el botón "Siguiente"; debe elegir el tipo de condición principal que se creará. Si la aplicación ha sido firmada por el editor del software, entonces seleccionar directamente "Editor" es más rápido, de lo contrario, puede elegir " Condición de hash de archivo " que requiere calcular el valor de hash del archivo, la velocidad es ligeramente más lenta y no se recomienda la "ruta" porque el niño solo necesita cambiar la ruta de instalación del programa. Puede escapar de la restricción (Figura 11), aquí solo tenemos que seleccionar la condición "Publicador", hacer clic en el botón "Siguiente", luego encontramos la ventana para seleccionar "Publicador", hacer clic en " Botón de navegación " para seleccionar el archivo ejecutable QQ, la pantalla predeterminada del editor del archivo, el nombre del producto, la versión del archivo y otra información (Figura 12), la predeterminada solo puede limitar la versión actual del programa QQ, puede presionar el control deslizante a la izquierda A la ubicación de "nombre de archivo", puede limitar cualquier versión del programa QQ (Figura 13), y luego acceder a la ubicación de "editor" puede limitar todo el software de Tencent, la parte superior puede limitar todo El programa, solo necesitamos acceder a la ubicación del "nombre de archivo", hacer clic en el botón "Siguiente" y, a continuación, podemos agregar condiciones de excepción, tales como: el niño puede ejecutar una versión inferior del QQ que se puede ejecutar, Seleccione la condición "ruta", haga clic en el botón "Agregar" para seleccionar la ruta QQ (Figura 14), haga clic en el botón "Siguiente"; puede ingresar un nombre y una descripción Interés, haga clic en el botón " crear y " para completar (Figura 15).
Figura 8
Figura 9
Figura 10
Figura 11
Figura 12
Figura 13
Figura 14
Figura 15
Entonces, ¿cuál es el efecto límite final? El niño puede ejecutar QQ2008, pero no puede ejecutar QQ2009 SP2 (Figura 16), logró con éxito el objetivo deseado.
Figura 16
AppLocker también puede crear instaladores de Windows y reglas de script de manera similar a la creación de reglas ejecutables. La instalación de la aplicación mediante restricciones de hashing de archivos puede mejorar la seguridad del sistema, mientras que las reglas de scripting también pueden garantizar que solo se ejecuten scripts de seguridad para evitar el envenenamiento. El proceso operativo de AppLocker es conveniente y rápido, adecuado para que los usuarios normales fortalezcan la línea de seguridad del sistema, y el administrador es muy eficiente y fácil de usar para la implementación de la red a través de la configuración de la Política de grupo.