作者：裘文锋

　　【IT168 实用技巧】我们发现Windows 7增加了不少新功能，比如：XP模式和Bitlock To Go，诚然，这些功能可以使得用户的升级更加方便、数据安全性更高，但是，管理员却还在寻找多用户环境下灵活限制程序运行的工具。以往的组策略经过复杂操作也能实现这一目的，而Windows 7则可以让管理员从繁重的劳动中解脱出来了，它的AppLocker(应用程序控制策略)可以很方便地配置多用户的程序、文件、脚本运行的策略。 AppLocker基于组策略管理和配置，这更加适用于网络环境的部署。

　　一、启用AppLocker有讲究

　　在进行AppLocker策略配置前，我们需要做必需的准备工作。我们在开始菜单的搜索框输入“Services.msc”命令启 动服务窗口，接着我们在该窗口查找到Application Identity服务，该服务确定并验证应用程序的标识，禁用此服务将阻止强制执行 AppLocker，默认情况下该服务时手动并停止的，因此，只有启动了该服务才能正常使用AppLocker策略，我们可以将其“启动类型”设置为“自动”，再点击“启动”按钮即可启动成功了(如图1)。

图1 启用相关的系统服务

　　做好以上的准备工作，我们就可以在开始菜单搜索框输入“Gpedit.msc”命令启动组策略编辑器来设置AppLocker策略了。我们可以在组策略编辑器依次进入“计算机配置-Windows设置-安全设置-应用程序控制策略-AppLocker”菜单来设置(如图2)。

图2 AppLocker所在的位置

　　二、限制用户使用某个程序

　　这里，我们就通过AppLocker来建立限制用户使用某个程序的策略吧。比如：我们希望王蓉这个用户不能使用Maxthon浏览器。我们可以这样来做。首先，在左侧选择“可执行规则”，在右侧空白窗口处右键单击选择“创建新规则”命令，接着会弹出“创建可执行规则”的窗口(如图 3)，只需点击“下一步”按钮即可。

图3 创建规则对话框

　　接着在窗口中选择操作为“拒绝”，点击“用户或组”下的“选择”按钮，在弹出的“选择用户或组”窗口点击“高级”按钮，在弹出窗口点击“立即查找”按钮，在下面找到王蓉用户确定即可(如图4)。

图4 选择用户

　　回到原来的窗口，点击“下一步”按钮(如图5)。

图5 点击下一步按钮

　　在创建主要条件步骤，我们选择“发布者”条件(Maxthon已经由软件发布者签名，否则可以考虑选择“文件哈希”条件，如图6)，点击“下一步”按钮。

图6 创建规则：发布者

　　在出现的窗口，这时我们可以限制用户使用Maxthon2.5.0.0版本，而不能限制用户使用其他的版本，我们只需将“文件版本”旁的滑竿上移一格到“文件名”即可限制使用Maxthon的任意版本了(如图7)。

图7 将“文件版本”旁的滑竿上移一格到“文件名”即可限制使用Maxthon的任意版本

　　如果Maxthon更改了程序名，这个限制依然会失效，不过，我们再将滑竿上移到“产品名”就可以继续限制了(如图8)。

图8 根据产品名称创建规则

　　同理，当产品名变化时，我们再将滑竿上移到“发布者”就可以继续保持限制了，一般情况滑竿上移到“文件名”即可，点击“下一步”按钮;接着，我们点击“创建”按钮即可完成策略建立了，规则建立过程中会建议同时创建默认规则(当默认规则未建立时，如图9)，确定即可。

图9 默认规则提示

　　那么，创建了该规则后，王蓉用户登录系统运行Maxthon是否会生效呢?我们来测试一下吧。运行Maxthon时，弹出了禁止运行的窗口(如图10)，这说明AppLocker已经通过组策略生效了。

图10 禁止提示