MCSE 2012之应用程序控制策略AppLocker

应用程序控制策略AppLocker

一、什么是AppLocker?

AppLocker 是 Windows Server 2008 R2 和 Windows 7 中的新功能,是一款用于替代软件限制策略功能的全新系统管理工具。可提升软件限制策略的特性和功能。AppLocker 包含新的功能和扩展,可用于创建规则,从而根据文件的唯一标识符允许或拒绝应用程序运行,还可以指定哪些用户或组可以运行这些应用程序。

AppLocker存在于 Windows Server 2008 R2 的所有版本以及 Windows 7 旗舰版 和 Windows 7 企业版中。在 Windows 7 专业版 中,可以创建 AppLocker 规则,但 AppLocker 规则无法在运行 Windows 7 专业版 的计算机上强制执行。

使用AppLocker,可以控制以下类型的应用程序:

  • 可执行文件(.exe 和 .com)
  • 脚本(.js、.ps1、.vbs、.cmd 和 .bat)
  • Windows Installer 文件(.msi 和 .msp)
  • DLL 文件(.dll 和 .ocx)

使用 AppLocker,我们可以做到:

基于派生自数字签名的文件属性(包括发布者、产品名称、文件名和文件版本)来定义规则。例如,可以基于更新过程中永久保留的发布者属性来创建规则,也可以针对文件的特定版本来创建规则。

向安全组或单个用户分配规则。

为规则创建例外。例如,可以创建一个规则,该规则允许运行除注册表编辑器 (Regedit.exe) 之外的所有 Windows 进程。

使用仅审核模式部署策略,并在强制执行该策略之前了解其影响。

导入和导出规则。导入和导出会影响整个策略。例如,如果导出策略,则将导出所有规则集合中的所有规则,包括这些规则集合的强制设置。 如果导入策略,则将覆盖现有策略中的所有条件。

使用 Windows PowerShell cmdlet 来简化 AppLocker 规则的创建和管理。

二、AppLocker 和软件限制策略比较


功能
软件限制策略
AppLocker

规则作用域
所有用户
特定用户或组

提供的规则条件
文件哈希、路径、证书、注册表路径和 Internet 区域
文件哈希、路径和发布者

提供的规则类型
由安全级别定义:

  • 不允许
  • 基本用户
  • 无限制
允许和拒绝

默认规则操作
无限制
隐式拒绝

仅审核模式



一次可创建多个规则的向导



策略导入或导出



规则集合

时间: 2024-09-30 10:05:50

MCSE 2012之应用程序控制策略AppLocker的相关文章

怎么通过应用程序控制策略限制软件运行?(转载)

1.打开控制面板,选择管理工具.如下图所示:2.选择本地安全策略.如下图所示:3.打开本地安全策略后,打开"应用程序控制策略"--点击"Applocker".如下图所示:4.打开 Applocker 后如下图:5.再设置规则前先确认 Application Identity 服务是否设置为自动启动,只有该服务启动,Applocker 设置后才生效,开启方法同步骤 1 ,打开搜索后输入"Services.msc",打开服务设置界面.如下图所示:6.

利用MSXSL.exe绕过AppLocker应用程序控制策略

1.需要用到微软工具MSXSL.exe,msxsl.exe是微软用于命令行下处理XSL的一个程序,所以通过他,我们可以执行JavaScript进而执行系统命令,其下载地址为: https://www.microsoft.com/en-us/download/confirmation.aspx?id=21714 2.执行该工具需要用到2个文件,分别为XML及XSL文件,其命令如下: msxsl.exe test.xml exec.xsl test.xml: <?xml version="1.

SCOM 2012 R2应用程序事务监视无法加载Web Recorder插件

在配置SCOM 2012 R2的应用程序事务性监视的时候,发生在捕获网页的时候无法加载web recorder控件,经过检查IE的这个控件已经被我手动启用了,如图. 而且当前也是用管理员身份登录的,如图. 后来在网上找到了下面的解决方案. 这个方案是一个针对当前用户的一个修复的方案,为了避免原文的链接失效,现在把文章的内容附在下面,方便大家查看. =========================================================== Issue on record

vs 2012不能发布程序的问题

有一个问题,我一直不能发布web站点,总是报e:\link的问题,找不到对象或者其他的什么错误来着. 知道有一天,我发现自己很早以前(还在其他的项目组的时候),为了可以命令行运行一些程序,在环境变量中添加了一个LINK的变量,并且放在了PATH中,并且地址就是指向的e:\link文件夹. 这个问题比较难以理解,如果不是自己记得这个环境变量的话,这个真的比较难以找见/ 总结: 1. vs 2012使用了LINK环境变量 2. 如果vs2012找到了,本应该找不到的路径的话,那么它肯定是从一个共有的

MCSE 2012 R2之工作文件夹Word Folders(2)

配置Windows Server 2012 R2工作文件夹以实现BYOD同步 6.在加入域中工作站使用 对于加入到域的Windows 8.1的计算机Client1,由于配置了组策略,并且加入到域的计算机会自动信任企业根证书服务器.所以,加入到域的计算机,会自动为每个用户创建"工作文件夹",用户只要在"资源管理器"中打开"这台电脑→Work Folders"即可查看当前用户的工作文件夹. 我们看到"这台电脑"下面出现了"

MCSE 2012 R2之工作文件夹Word Folders(1)

配置Windows Server 2012 R2工作文件夹以实现BYOD同步 工作文件夹是Windows Server 2012 R2中的一个新特性,允许用户在多个设备上同步工作数据.通过工作文件夹,无论信息工作者身在何处,IT 管理员能够向他们提供对其所有设备上的工作数据进行同步的功能.哦,哦,很神奇吧?!其实就是通过将设备上的用户数据同步到本地文件服务器来完成的.不过,目前"工作文件夹"只支持Windows 8.1客户端.将来也会支持Windows 7和iPad.Android设备

MCSE 2012 R2之存储空间Storage Spaces

存储空间(Storage Spaces) 一.存储空间概述 可以使用存储空间技术通过将使用 SATA.USB 和 SAS 硬盘分组到存储池中来虚拟化存储,然后从存储池中的可用容量创建称为存储空间的虚拟磁盘,提供经济高效.高度可用.可伸缩以及灵活的存储解决方案. 借助存储空间,Windows 存储堆栈已在根本上得到增强,现在合并了两个新的抽象: 存储池.物理磁盘的集合,允许你聚合磁盘.以灵活的方式扩展容量,以及委派管理. 存储空间.基于存储池中的可用空间创建的虚拟磁盘.存储空间具有复原级别.存储层

VS2010开发AutoCAD 2012 .net应用程序调试时断点不起作用

VS2010+ AutoCAD 2012开发调试过程中,发现普通的Class里面的断点是可以跟踪到的,可能是创建自定义的Form做界面是,Form1.cs中的代码断点却不管用.原因在于AutoCAD的纤程(Fiber).是的,是纤程(Fiber)而不是线程(Thread).VS2010的调试器和AutoCAD的纤程一起工作时会有问题.解决的办法就是关闭AutoCAD纤程.通过系统环境变量FIBERWORLD来查看当前纤程是否打开,如果是1,则可以通过把系统环境变量NEXTFIBERWORLD设为

installshield 2012打包C++程序的设置

1.选择vs2012"生成"->"配置管理器",配置中选择SingleImage. 2.设置安装包语言: 在Project Assistant-> Application Information视图中,点击General Information .打开的新视图中有Setup Language. 3.更改exe文件的图标 先使用qicon工具 下载链接 http://pan.baidu.com/s/1ge0CveV 再使用  reshacker 工具删除选