用AppLocker给Windows 7加把安全锁

天若有情 · 发表于 2014-2-11 09:54:37

　　随着计算机和互联网的普及，各种病毒和木马也越来越多，特别是一些新型病毒和木马，往往在杀毒软件提供有效查杀方法前就已经对用户利益造成了严重损害，而在越来越多的重要数据和信息存储在电脑当中的情况下，电脑的安全问题就更显重要。
　　在Windows7当中，我们可以利用系统自带的AppLocker功能进一步提升系统安全性，做到既不影响平时的正常操作，又可以有效防范恶意程序的运行！
　　

　　启用AppLocker 别忘记运行服务
　　首先，用鼠标右键点击计算机，依次选择“管理→服务”，找到“Application Identity”服务并设为自动启动。这一步非常重要，因为只有设置为自动启动才能使AppLocker生效。
　　然后在开始菜单中的搜索框中输入“gpedit.msc”启动组策略编辑器。依次展开“计算机配置→Windows设置→安全设置→应用程序控制策略”，就可以看到一个名为AppLocker的相关设置项目。
　　选择这个设置项目以后，在右侧窗口可以看到“可执行规则”、“Windows安装程序规则”和“脚本规则”三种类型（如图1所示）。在每一种规则上单击鼠标右键都可以创建新规则，就可以根据自己的需要，创建相应的操作规则。
　　

　　提示：第一次使用AppLocker，配置完成后必须重新启动电脑才能使策略生效。
　　牛刀小试让闪存病毒无计可施
　　平时我们经常要用到闪存，利用它传输或共享一些文件。可是现在闪存病毒十分猖獗，也常常导致我们的系统反复中毒。这时我们就可以利用AppLocker创建一条相应的规则，避免闪存病毒对系统的入侵破坏。闪存病毒传播的一个关键文件就是“AutoRun.inf”，所以只需要禁止这个文件的运行就可以了。
　　首先我们在左侧窗口列表中选中“脚本规则”，然后在右侧窗口单击鼠标右键选择“创建新规则”命令，这时系统就会弹出“创建脚本规则”的窗口。在窗口的“操作”中选择“拒绝”，然后在“用户或组”里面选择“Everyone”，再点击“下一步”按钮。接着在窗口的创建条件中选择“路径”选项，接着点击“下一步”。然后在“路径”框中输入“？：\AutoRun.inf”（如图2所示），再继续点击“下一步”按钮。由于后面没有其他必需的操作了，所以直接点击“创建”按钮完成规则的创建。现在再插上闪存，就不会因为闪存的自动运行而中毒了。
　　

　　提示：根据上面的设置，闪存和光盘的自动运行功能都将被禁用，如果你只想禁用闪存的自动运行功能，只需要指定闪存的盘符即可。此外，AppLocker除了可以设置文件或文件夹的绝对路径以外，还可以使用文件或文件夹的相对路径或系统变量。雨林木风系统比如“%WINDIR%”代表操作系统目录的位置，而“%TEMP%”则代表当前系统默认的临时目录。
　　进阶应用保护系统文件安全
　　现在的计算机病毒可是无孔不入，就算自己再小心谨慎也可能中招。而很多病毒都利用Windows对自己目录当中的文件的“过分信任”来运行或感染系统文件，所以我们可以编写一条规则，禁止病毒的可执行文件在系统目录中运行。原理很简单，只需要禁止Windows目录当中除系统的可执行文件以外的其他程序文件即可。
　　同样，还是在右侧窗口中创建一条新的可执行规则。首先在窗口的“操作”中选择“拒绝”，在“用户或组”里面选择“Everyone”，点击“下一步”按钮，在窗口的创建条件中选择“路径”选项，接着在“路径”框中输入“%WINDIR%\*.exe”，然后在“例外”窗口中选择“发布者”并点击“添加”按钮，在弹出的窗口里面点击“浏览”按钮。深度系统官网从弹出的窗口中随意选择一款微软的程序文件，再将滑块移动到“发布者”这个位置上（如图3所示），然后点击窗口中的“确定”按钮，确认刚才的相关设置就可以了。这时在“例外”列表中就可以看到发布者的相关信息，最后直接点击“创建”按钮完成规则的创建。
　　

　　提示：由于已经将微软作为发布者的例外情况，因此系统目录当中所有系统自带的软件都可以正常运行，而病毒或木马即便“潜入”了系统目录也无法运行，当然也就无法窜改系统文件，也就不能危害系统和用户的信息安全。同时，规则当中的路径或文件名称还可以使用通配符，这样可以很方便地对某一类文件进行设置，例如“？：\*.exe”，就表示任何目录下的任何可执行文件，“D：\*”就表示D盘下的任何文件。不过该操作要求有一定的电脑基础，新手慎用！

		自动登录	找回密码
密码			注册

用AppLocker给Windows 7加把安全锁

相关帖子