[7] Windows 7 应用程序控制策略:深度安全防御
Windows 7 对于用户运行程序有什么好的访问控制方法?相对于 Windows XP 有什么改进?我们如何利用它来完善纵深安全防御机制的一个重要环节?我们将在这篇 blog 中找到答案。
应用程序控制策略(AppLocker)是 Windows 7 的新安全组件,相对于 Windows XP 中的软件限制策略(SRP),它有进一步安全和易用性的提高。那究竟 AppLocker 有哪些具体功能?它如何帮助 IT 管理员控制用户运行程序呢?
- 有效的向导,帮助 IT 管理员创建默认或者自定义的规则。
- 将 AppLocker 策略针对不同需要应用到不同的用户组或个人对象上,而非仅仅针对所有计算机帐号,更加细化了用户分类,便于 IT 管理员管理。
- 根据可执行文件的数字签名属性,针对不同的文件发布者,产品名称,文件名称和文件版本设定不同的策略规则,从而允许或拒绝这些文件运行。让 IT 管理员可以非常方便的选择需要的应用程序针对不同用户做允许/拒绝操作。
- 对设定的策略做审核,而不是简单的允许/拒绝,IT 管理员可以先查看审核日志评估规则对于客户端的影响,再作合理的规则设置,从而给IT管理员更加方便的测试环境。
- 可以将 AppLocker 的配置导入/导出,方便在不同计算机或不同备份之间的维护不同的 AppLocker 设置。
- 还可以通过 PowerShell 的命令行来创建和管理 AppLocker 的策略规则。
- 软件控制的对象包括可执行程序,脚本,安装文件,动态链接库 DLL。
下面我们举例了解如何部署 AppLocker。
背景 :很多软件在发布时已经做了数字签名验证。数字签名能有效地发现伪装的软件或病毒文件(例如病毒文件替换或感染了微软Windows 的默认文件)。通过 AppLocker 的数字签名策略可以设定仅仅允许已经经过数字签名的程序运行。从而防止一些恶意软件或未经授权的软件运行导致系统除问题或者重病毒。
注意 :这样的规则会阻止没有数字签名的程序运行。
步骤 :
- 打开组策略编辑器。(开始 → 运行 → secpol.msc);
- 扩展找到应用程序控制策略 → AppLocker →“可执行规则“;
- 右键点击“可执行规则”,选择“新建规则”;
- 初始几个页面选择“下一步”;
- 在“发布者”页面( 图1),选择“浏览”,打开文件选择窗口,指定文件 c:\windows\explorer.exe 文件;
- 在“发布者”页面,移动标尺,指向“任何发布者”;
- 之后的页面继续选择“下一步”;
- 最后点击“创建”新建一条策略。
图1:配置发布者
经过这样的配置,确保了所有被数字签名的应用程序才可以运行,有效控制被客户端的程序。
*欢迎转载,转载请注明出处
产品安全支持专家 Chao Wang