比如你要禁止360chrome.exe运行,可以这么做:单击“开始” → 在“搜索程序和文件”框中键入 secpol.msc → 按 Enter键 → 打开本地安全策略 → 找到应用程序控制策略 → AppLocker → 可执行规则 → 右侧空白区域右键菜单 → 创建新规则 → 进入新规则向导。
术语解释:
“权限”步骤:操作设为“拒绝”,用户可以选择“Everyone(全部人)”或者是指定帐户。
“条件”步骤:最保险的就是通过“发布者”的条件来做限制,也就是说,现在的大型软件的相关程序都是经过软件发布者签名的,利用这个规则,就可以限制所有拥有该签名的程序,这就避免了“路径”规则的修改路径后即可运行,或者是”文件哈希“规则的换个版本可运行的规避手段。为了方便演示,这里我们选“发布者”。
“发布者”设置:“浏览”找到QQ的主程序文件,选择后会自动出现该程序的相关信息,在滑动按钮中我们选择“发布者”。
“例外”设置:经过上一步设置后,所有带有腾讯官方签名的程序都将无法运行,比如QQ、QQ音乐、QQ影音、QQ游戏等腾讯系列软件,甚至包含了安装程序,如果需要单独允许某个程序运行,可在这里将其添加成例外程序。
“名称”设置:最后一步就是设置规则名称,你可以帮这条规则起个易于识别的名称。
如果你是当前创建的是第一条规则,那么在完成后会有个默认规则创建提示,需点击“是”,允许创建默认规则,以免你设置的规则使得系统文件程序遭到限制。
成功创建规则后,当用于企图运行带有腾讯官方签名的任何程序时,操作都将被拦截。这个规则无论用户如何更改文件路径、版本都能生效。
如果设置AppLocker规则无效,请单击“开始”→在“搜索程序和文件”框中键入 services.msc→按 Enter键→打开“服务”,找到找到Application Identity项,将其启动类型设为“自动”,然后按“启动”,就可让规则生效。
其实这个规则也不完美,它限制了路径,由于路径的限制使得这个规则使用有限。不如使用火绒等一些具备HIPS功能的安全软件,简单方便。
PS:居然有人问我,填写路径不就行了?真的好无语,既然用到了限制某软件的使用,就必须全局限制,而不是只限制某个目录。
很多文章都是一上来说用组策略(gpedit.msc) → 用户配置 → 管理模板 → 系统 → 不要运行Windows应用程序 - 已启用,然后在“选项”里添加可执行文件的文件名。但是此招有一个问题:
防止 Windows 运行在此设置中指定的程序。
如果启用此设置,则用户无法运行已添加到不允许的应用程序列表的程序。
此设置仅阻止用户运行由 Windows 资源管理器进程启动的程序。它不会阻止用户运行由系统进程或其他进程启动的程序,如任务管理器。另外,如果允许用户使用命令提示符(Cmd.exe),则此设置不会阻止用户在命令窗口中启动不允许他们使用 Windows 资源管理器启动的程序。注意: 若要创建不允许的应用程序的列表,请单击“显示”。在“显示内容”对话框的“值”列中,键入应用程序可执行文件名(例如,Winword.exe、Poledit.exe 和 Powerpnt.exe)。
使用方法也说的很明白了,仅阻止用户运行由Windows资源管理器进程启动的程序,如果是其它程序运行另外一个指定程序,则不受此规则限制。感觉这个功能好鸡肋。
|