隨著計算機和互聯網的普及,各種病毒和木馬也越來越多,特別是一些新型病毒和木馬,往往在殺毒軟件提供有效查殺方法前就已經對用戶利益造成了嚴重損害,而在越來越多的重要數據和信息存儲在電腦當中的情況下,電腦的安全問題就更顯重要。
在Windows7當中,我們可以利用系統自帶的AppLocker功能進一步提升系統安全性,做到既不影響平時的正常操作,又可以有效防范惡意程序的運行!
啟用AppLocker 別忘記運行服務
首先,用鼠標右鍵點擊計算機,依次選擇“管理→服務”,找到“Application Identity”服務並設為自動啟動。這一步非常重要,因為只有設置為自動啟動才能使AppLocker生效。
然後在開始菜單中的搜索框中輸入“gpedit.msc”啟動組策略編輯器。依次展開“計算機配置→Windows設置→安全設置→應用程序控制策略”,就可以看到一個名為AppLocker的相關設置項目。
選擇這個設置項目以後,在右側窗口可以看到“可執行規則”、“Windows安裝程序規則”和“腳本規則”三種類型(如圖1所示)。在每一種規則上單擊鼠標右鍵都可以創建新規則,就可以根據自己的需要,創建相應的操作規則——
提示:第一次使用AppLocker,配置完成後必須重新啟動電腦才能使策略生效。
牛刀小試 讓閃存病毒無計可施
平時我們經常要用到閃存,利用它傳輸或共享一些文件。可是現在閃存病毒十分猖獗,也常常導致我們的系統反復中毒。這時我們就可以利用AppLocker創建一條相應的規則,避免閃存病毒對系統的入侵破壞。閃存病毒傳播的一個關鍵文件就是“AutoRun.inf”,所以只需要禁止這個文件的運行就可以了。
首先我們在左側窗口列表中選中“腳本規則”,然後在右側窗口單擊鼠標右鍵選擇“創建新規則”命令,這時系統就會彈出“創建腳本規則”的窗口。在窗口的“操作”中選擇“拒絕”,然後在“用戶或組”裡面選擇“Everyone”,再點擊“下一步”按鈕。接著在窗口的創建條件中選擇“路徑”選項,接著點擊“下一步”。然後在“路徑”框中輸入“?:AutoRun.inf”(如圖2所示),再繼續點擊“下一步”按鈕。由於後面沒有其他必需的操作了,所以直接點擊“創建”按鈕完成規則的創建。現在再插上閃存,就不會因為閃存的自動運行而中毒了。
提示:根據上面的設置,閃存和光盤的自動運行功能都將被禁用,如果你只想禁用閃存的自動運行功能,只需要指定閃存的盤符即可。此外,AppLocker除了可以設置文件或文件夾的絕對路徑以外,還可以使用文件或文件夾的相對路徑或系統變量。比如“%WINDIR%”代表操作系統目錄的位置,而“%TEMP%”則代表當前系統默認的臨時目錄。
進階應用 保護系統文件安全
現在的計算機病毒可是無孔不入,就算自己再小心謹慎也可能中招。而很多病毒都利用Windows對自己目錄當中的文件的“過分信任”來運行或感染系統文件,所以我們可以編寫一條規則,禁止病毒的可執行文件在系統目錄中運行。原理很簡單,只需要禁止Windows目錄當中除系統的可執行文件以外的其他程序文件即可。
同樣,還是在右側窗口中創建一條新的可執行規則。首先在窗口的“操作”中選擇“拒絕”,在“用戶或組”裡面選擇“Everyone”,點擊“下一步”按鈕,在窗口的創建條件中選擇“路徑”選項,接著在“路徑”框中輸入“%WINDIR%*.exe”,然後在“例外”窗口中選擇“發布者”並點擊“添加”按鈕,在彈出的窗口裡面點擊“浏覽”按鈕。從彈出的窗口中隨意選擇一款微軟的程序文件,再將滑塊移動到“發布者”這個位置上(如圖3所示),然後點擊窗口中的“確定”按鈕,確認剛才的相關設置就可以了。這時在“例外”列表中就可以看到發布者的相關信息,最後直接點擊“創建”按鈕完成規則的創建。
提示:由於已經將微軟作為發布者的例外情況,因此系統目錄當中所有系統自帶的軟件都可以正常運行,而病毒或木馬即便“潛入”了系統目錄也無法運行,當然也就無法竄改系統文件,也就不能危害系統和用戶的信息安全。同時,規則當中的路徑或文件名稱還可以使用通配符,這樣可以很方便地對某一類文件進行設置,例如“?:*.exe”,就表示任何目錄下的任何可執行文件,“D:*”就表示D盤下的任何文件。不過該操作要求有一定的電腦基礎,新手慎用!
擴展應用 限制已知程序運行
其實AppLocker除了具有病毒主動防御功能外,還可以用來限制已知程序軟件的運行!
例如需要限制孩子運行某一款游戲,就可以通過AppLocker創建規則,阻止游戲的運行。如果游戲不需要安裝,那麼利用“路徑”來判斷,顯然就無法避免出現孩子將游戲移動到其他目錄就可以運行的問題,不過沒關系,只要創建“文件哈希”類型的規則即可。這樣不論游戲移動到什麼位置,規則只要發現文件哈希是一樣的值,就會毫不留情地阻止其運行。
此外,我們的電腦當中都會存放一些重要的文件,為了防止他人隨意修改,就可以用AppLocker創建規則將這些文件保護起來。方法非常簡單,只需要暫時禁用打開這些文件的軟件程序即可。
通過前面的介紹我們可以了解到,利用AppLocker可以很好地保護系統文件,從而避免計算機病毒對系統文件造成損害。只要系統文件完好無損,即便病毒感染了某些應用程序也無法影響系統的正常運行,在這樣的情況下,利用殺毒軟件就可以將病毒輕松搞定。怎麼樣?趕緊試試看吧!
點評:AppLocker是Win7當中新增的一項功能,並且在控制面板當中沒有該功能的選項,因此很多用戶都不了解它的功能,甚至不知道它的存在。其實靈活運用AppLocker,可以有效管理用戶如何運行所有類型的應用程序文件,包括可執行文件、腳本文件、程序安裝文件和動態鏈接庫文件等,並可以很好地保護系統文件安全,不怕未知病毒的破壞。此外,靈活利用AppLocker的規則組合還可以實現更多的功能。例如只允許擁有一定權限的用戶運行某一個程序,只允許某個用戶運行某個目錄下的某幾款軟件或者現有軟件等。
AppLocker Q & A
問:如果我的主要程序沒有安裝在系統目錄,但又想給它們也加上保護怎麼辦?
答:很簡單,創建規則,將你的程序或程序安裝目錄添加進來,然後在“拒絕”的“例外”列表當中根據需要進行具體的設置即可。
問:一些軟件沒有在允許的目錄當中,或者不在例外的列表當中該怎麼辦?
答:同樣很簡單,用鼠標右鍵點擊並以管理員身份運行即可。
問:一些軟件自身需要一些文件的寫權限,或者會產生新的文件(例如下載),怎麼辦?
答:賦予相關目錄和文件“Authenticated Users”用戶完全控制權限即可。
Applocker的關鍵特點
方便高效,例如您可以輕松配置一個程序高於其某個版本都能運行,對於IT人員來說,這可以節省大量的策略維護時間。利用AppLocker管理員可以非常方便地進行配置,以實現用戶可在計算機上可運行哪些程序、安裝哪些文件、運行哪些腳本。由於AppLocker是基於組策略管理和配置的,因此我們可以非常方便地將其部署到整個網絡環境中,可謂一勞永逸。Applocker使得企業IT管理員可以非常方便的配置用戶可以在計算機上運行哪些應用:包括程序,安裝文件與腳本。還可以通過公司名來限制某個公司的產品運行,比如限制tencent公司的應用程序,那麼qq,qqgame等等,都不能夠被運行。
Applocker使用方法
一、這第一步非常重要,它決定了你的AppLocker是否能生效,計算機上右鍵→管理→服務,找到Application Identity服務,設為自動啟動;
二、執行“開始”→ “運行”,輸入gpedit.msc打開組策略編輯器。在左側的窗格中依次定位到“計算機配置” →“Windows 設置”→“安全設置”→“應用程序控制”,可以看到AppLocker組策略配置項。
三、在“可執行程序規則”、“安裝程序規則”、“腳本規則”上分別右鍵,創建默認規則,即可。
四、大部份人的程序都不裝在C:ProgramFiles*下,怎麼辦?在“可執行程序規則”、“腳本規則”(安裝程序規則保持默認即可)分別右鍵→新建規則,選擇允許或拒絕,用戶保持默認的Everyone(即任意用戶)→下一步,路徑處浏覽到你的程序或目錄(最好是目錄,只需一條規則就搞定,比如d:ProgramFiles*)→創建。
五、第一次使用AppLocker,設置完以上後,必須重啟機器(注銷不行),才能使策略生效。
六、大功告成,現在用IE上任意掛馬網站,雙擊任意病毒吧,只要不要把病毒放在以上所允許過的路徑就可以。
七、疑問:網馬復制自已到系統目錄?沒有可能。在UAC開啟的狀態下,當前用戶及其所運行的程序,不能讀取HIPS中所謂的AD行為中的底層磁盤,不能除USER外的注冊表項,不可寫除USER目錄外的系統盤,可以說,UAC就是一個規則嚴密的HIPS。
八、疑問:我有一些不常用的綠色軟件比如注冊機,MD5驗證程序等,不是放在程序安裝目錄,我也沒有在AppLocker中創建過允許規則,那我想用它時會不會很麻煩?答案是:一點也不麻煩,右鍵以管理員運行就可以了。
Applocker 更多常見問題
問:我可以實機運行一些病毒樣本嗎?
答:完全可以,只需像下面這樣設置,病毒就只能修改用戶臨時目錄USER了。
非系統盤,右鍵,屬性,安全,編輯,把Authenticated Users用戶組的修改、寫入、完全控制、特殊權限等去掉勾,只保留讀取和執行。
這樣,你可以運行任意一個不需要提權(UAC沒有提示)的毒,但是毒無法破壞系統,也無法刪改你的重要資料。
注意,不要隨便對陌生程序提權,除非你完全確信這個軟件安全。
問:我用迅雷下載文件到D盤,但無法保存,怎麼辦?
答:沒關系,新建一個目錄專門用來下載東西,該目錄給予Authenticated Users修改、寫入、完全控制就可以了。
記得下載完轉移到安全目錄。
其他問題同理,比如有的人把電驢的配置文件放到電驢安裝目錄下,電驢需要寫自身目錄,怎麼辦?
請對電驢的配置目錄config及電驢安裝根目錄前幾個DAT及INI文件允許Authenticated Users修改、寫入、完全控制就可以了。
問:我復制一個文件到D盤是不是也無法復制?
答:可以復制。不過復制前UAC會有一個提示,允許,確定,即可。
也許有人問:火狐能夠進行升級嗎?它不是不能修改自身目錄?答案是可以升級,因為在升級前,UAC會提示,允許,確定,即可。
如果你不經常安裝軟件,一個月只裝一兩個軟件,你還可以:
先安裝好你的常用軟件。
開始菜單,運行,輸入:gpedit.msc,回車。
展開:本地計算機策略——計算機配置——WINDOWS設置——安全設置——本地策略——安全選項,在右面找到:用戶帳戶控制(只提升簽名並驗證的可執行文件),選中“已啟用”(默認是已禁用),應用,確定,重啟或注銷。
這樣:你能正常運行你的常用軟件,就算是運行了一個提權的病毒也沒有事了,因為它根本提不了權。
