三、在“可執行程序規則”、“安裝程序規則”、“腳本規則”上分別右鍵,創建默認規則,即可。
默認規則的含義:
1、任何用戶均可以運行c:\Windows\*及C:\ProgramFiles\*(如果是64位系統,則包含C:\ProgramFiles(86)\*)下所有可執行文件及腳本;
2、提權後的管理員可以運行任何位置的程序。
注:在此默認規則下,你在非c:\Windows\*及C:\ProgramFiles\*位置,雙擊任意程序,程序無法運行,只能右鍵以管理員身份運行。
四、大部份人的程序都不裝在C:\ProgramFiles\*下,怎麼辦?在“可執行程序規則”、“腳本規則” (安裝程序規則保持默認即可)分別右鍵→新建規則,選擇允許或拒絕,用戶保持默認的Everyone(即任意用戶)→下一步,路徑處浏覽到你的程序或目錄(最好是目錄,只需一條規則就搞定,比如d:\ProgramFiles\*)→創建。
五、第一次使用AppLocker,設置完以上後,必須重啟機器(注銷不行),才能使策略生效。
六、大功告成,現在用IE上任意掛馬網站,雙擊任意病毒吧,只要不要把病毒放在以上所允許過的路徑就可以。
七、疑問?網馬復制自已到系統目錄?沒有可能。在UAC開啟的狀態下,當前用戶及其所運行的程序,不能讀取 HIPS中所謂的AD行為中的底磁盤,不能寫本論壇中主流的HIPS的RD規則中的注冊表項,不可寫除USER目錄外的系統盤除,可以說,UAC就是一個規則嚴密的HIPS。
八、疑問:我有一些不常用的綠色軟件比如注冊機,MD5驗證程序等,不是放在程序安裝目錄,我也沒有在AppLocker中創建過允許規則,那我想用它時會不會很麻煩?答案是:一點也不麻煩,右鍵以管理員運行就可以了。
