隨著計算機和網際網路的普及,各種病毒和木馬也越來越多,特別是一些新型病毒和木馬,往往在防毒軟體提供有效查殺方法前就已經對使用者利益造成了嚴重損害,而在越來越多的重要資料和資訊儲存在電腦當中的情況下,電腦的安全問題就更顯重要。
在Windows7當中,我們可以利用系統自帶的AppLocker功能進一步提升系統安全性,做到既不影響平時的正常操作,又可以有效防範惡意程式的執行!
啟用AppLocker 別忘記執行服務
首先,用滑鼠右鍵點選計算機,依次選擇“管理→服務”,找到“Application Identity”服務並設為自動啟動。這一步非常重要,因為只有設定為自動啟動才能使AppLocker生效。
然後在開始選單中的搜尋框中輸入“gpedit.msc”啟動組策略編輯器。依次展開“計算機配置→Windows設定→安全設定→應用程式控制策略”,就可以看到一個名為AppLocker的相關設定專案。
選擇這個設定專案以後,在右側視窗可以看到“可執行規則”、“Windows安裝程式規則”和“指令碼規則”三種類型(如圖1所示)。在每一種規則上單擊滑鼠右鍵都可以建立新規則,就可以根據自己的需要,建立相應的操作規則——
提示:第一次使用AppLocker,配置完成後必須重新啟動電腦才能使策略生效。
牛刀小試 讓快閃記憶體病毒無計可施
平時我們經常要用到快閃記憶體,利用它傳輸或共享一些檔案。可是現在快閃記憶體病毒十分猖獗,也常常導致我們的系統反覆中毒。這時我們就可以利用AppLocker建立一條相應的規則,避免快閃記憶體病毒對系統的入侵破壞。快閃記憶體病毒傳播的一個關鍵檔案就是“AutoRun.inf”,所以只需要禁止這個檔案的執行就可以了。
首先我們在左側視窗列表中選中“指令碼規則”,然後在右側視窗單擊滑鼠右鍵選擇“建立新規則”命令,這時系統就會彈出“建立指令碼規則”的視窗。在視窗的“操作”中選擇“拒絕”,然後在“使用者或組”裡面選擇“Everyone”,再點選“下一步”按鈕。接著在視窗的建立條件中選擇“路徑”選項,接著點選“下一步”。然後在“路徑”框中輸入“?:AutoRun.inf”(如圖2所示),再繼續點選“下一步”按鈕。由於後面沒有其他必需的操作了,所以直接點選“建立”按鈕完成規則的建立。現在再插上快閃記憶體,就不會因為快閃記憶體的自動執行而中毒了。
提示:根據上面的設定,快閃記憶體和光碟的自動執行功能都將被禁用,如果你只想禁用快閃記憶體的自動執行功能,只需要指定快閃記憶體的碟符即可。此外,AppLocker除了可以設定檔案或資料夾的絕對路徑以外,還可以使用檔案或資料夾的相對路徑或系統變數。比如“%WINDIR%”代表作業系統目錄的位置,而“%TEMP%”則代表當前系統預設的臨時目錄。
進階應用 保護系統檔案安全
現在的計算機病毒可是無孔不入,就算自己再小心謹慎也可能中招。而很多病毒都利用Windows對自己目錄當中的檔案的“過分信任”來執行或感染系統檔案,所以我們可以編寫一條規則,禁止病毒的可執行檔案在系統目錄中執行。原理很簡單,只需要禁止Windows目錄當中除系統的可執行檔案以外的其他程式檔案即可。
同樣,還是在右側視窗中建立一條新的可執行規則。首先在視窗的“操作”中選擇“拒絕”,在“使用者或組”裡面選擇“Everyone”,點選“下一步”按鈕,在視窗的建立條件中選擇“路徑”選項,接著在“路徑”框中輸入“%WINDIR%*.exe”,然後在“例外”視窗中選擇“釋出者”並點選“新增”按鈕,在彈出的窗口裡麵點擊“瀏覽”按鈕。從彈出的視窗中隨意選擇一款微軟的程式檔案,再將滑塊移動到“釋出者”這個位置上(如圖3所示),然後點選視窗中的“確定”按鈕,確認剛才的相關設定就可以了。這時在“例外”列表中就可以看到釋出者的相關資訊,最後直接點選“建立”按鈕完成規則的建立。
提示:由於已經將微軟作為釋出者的例外情況,因此係統目錄當中所有系統自帶的軟體都可以正常執行,而病毒或木馬即便“潛入”了系統目錄也無法執行,當然也就無法竄改系統檔案,也就不能危害系統和使用者的資訊保安。同時,規則當中的路徑或檔名稱還可以使用萬用字元,這樣可以很方便地對某一類檔案進行設定,例如“?:*.exe”,就表示任何目錄下的任何可執行檔案,“D:*”就表示D盤下的任何檔案。不過該操作要求有一定的電腦基礎,新手慎用!
擴充套件應用 限制已知程式執行
其實AppLocker除了具有病毒主動防禦功能外,還可以用來限制已知程式軟體的執行!
例如需要限制孩子執行某一款遊戲,就可以通過AppLocker建立規則,阻止遊戲的執行。如果遊戲不需要安裝,那麼利用“路徑”來判斷,顯然就無法避免出現孩子將遊戲移動到其他目錄就可以執行的問題,不過沒關係,只要建立“檔案雜湊”型別的規則即可。這樣不論遊戲移動到什麼位置,規則只要發現檔案雜湊是一樣的值,就會毫不留情地阻止其執行。
此外,我們的電腦當中都會存放一些重要的檔案,為了防止他人隨意修改,就可以用AppLocker建立規則將這些檔案保護起來。方法非常簡單,只需要暫時禁用開啟這些檔案的軟體程式即可。
通過前面的介紹我們可以瞭解到,利用AppLocker可以很好地保護系統檔案,從而避免計算機病毒對系統檔案造成損害。只要系統檔案完好無損,即便病毒感染了某些應用程式也無法影響系統的正常執行,在這樣的情況下,利用防毒軟體就可以將病毒輕鬆搞定。怎麼樣?趕緊試試看吧!
點評:AppLocker是Win7當中新增的一項功能,並且在控制面板當中沒有該功能的選項,因此很多使用者都不瞭解它的功能,甚至不知道它的存在。其實靈活運用AppLocker,可以有效管理使用者如何執行所有型別的應用程式檔案,包括可執行檔案、指令碼檔案、程式安裝檔案和動態連結庫檔案等,並可以很好地保護系統檔案安全,不怕未知病毒的破壞。此外,靈活利用AppLocker的規則組合還可以實現更多的功能。例如只允許擁有一定許可權的使用者執行某一個程式,只允許某個使用者執行某個目錄下的某幾款軟體或者現有軟體等。
AppLocker Q & A
問:如果我的主要程式沒有安裝在系統目錄,但又想給它們也加上保護怎麼辦?
答:很簡單,建立規則,將你的程式或程式安裝目錄新增進來,然後在“拒絕”的“例外”列表當中根據需要進行具體的設定即可。
問:一些軟體沒有在允許的目錄當中,或者不在例外的列表當中該怎麼辦?
答:同樣很簡單,用滑鼠右鍵點選並以管理員身份執行即可。
問:一些軟體自身需要一些檔案的寫許可權,或者會產生新的檔案(例如下載),怎麼辦?
答:賦予相關目錄和檔案“Authenticated Users”使用者完全控制權限即可。
Applocker的關鍵特點
方便高效,例如您可以輕鬆配置一個程式高於其某個版本都能執行,對於IT人員來說,這可以節省大量的策略維護時間。利用AppLocker管理員可以非常方便地進行配置,以實現使用者可在計算機上可執行哪些程式、安裝哪些檔案、執行哪些指令碼。由於AppLocker是基於組策略管理和配置的,因此我們可以非常方便地將其部署到整個網路環境中,可謂一勞永逸。Applocker使得企業IT管理員可以非常方便的配置使用者可以在計算機上執行哪些應用:包括程式,安裝檔案與指令碼。還可以通過公司名來限制某個公司的產品執行,比如限制tencent公司的應用程式,那麼qq,qqgame等等,都不能夠被執行。
Applocker使用方法
一、這第一步非常重要,它決定了你的AppLocker是否能生效,計算機上右鍵→管理→服務,找到Application Identity服務,設為自動啟動;
二、執行“開始”→ “執行”,輸入gpedit.msc開啟組策略編輯器。在左側的窗格中依次定位到“計算機配置” →“Windows 設定”→“安全設定”→“應用程式控制”,可以看到AppLocker組策略配置項。
三、在“可執行程式規則”、“安裝程式規則”、“指令碼規則”上分別右鍵,建立預設規則,即可。
四、大部份人的程式都不裝在C:ProgramFiles*下,怎麼辦?在“可執行程式規則”、“指令碼規則”(安裝程式規則保持預設即可)分別右鍵→新建規則,選擇允許或拒絕,使用者保持預設的Everyone(即任意使用者)→下一步,路徑處瀏覽到你的程式或目錄(最好是目錄,只需一條規則就搞定,比如d:ProgramFiles*)→建立。
五、第一次使用AppLocker,設定完以上後,必須重啟機器(登出不行),才能使策略生效。
六、大功告成,現在用IE上任意掛馬網站,雙擊任意病毒吧,只要不要把病毒放在以上所允許過的路徑就可以。
七、疑問:網馬複製自已到系統目錄?沒有可能。在UAC開啟的狀態下,當前使用者及其所執行的程式,不能讀取HIPS中所謂的AD行為中的底層磁碟,不能除USER外的登錄檔項,不可寫除USER目錄外的系統盤,可以說,UAC就是一個規則嚴密的HIPS。
八、疑問:我有一些不常用的綠色軟體比如註冊機,MD5驗證程式等,不是放在程式安裝目錄,我也沒有在AppLocker中建立過允許規則,那我想用它時會不會很麻煩?答案是:一點也不麻煩,右鍵以管理員執行就可以了。
Applocker 更多常見問題
問:我可以實機執行一些病毒樣本嗎?
答:完全可以,只需像下面這樣設定,病毒就只能修改使用者臨時目錄USER了。
非系統盤,右鍵,屬性,安全,編輯,把Authenticated Users使用者組的修改、寫入、完全控制、特殊許可權等去掉勾,只保留讀取和執行。
這樣,你可以執行任意一個不需要提權(UAC沒有提示)的毒,但是毒無法破壞系統,也無法刪改你的重要資料。
注意,不要隨便對陌生程式提權,除非你完全確信這個軟體安全。
問:我用迅雷下載檔案到D盤,但無法儲存,怎麼辦?
答:沒關係,新建一個目錄專門用來下載東西,該目錄給予Authenticated Users修改、寫入、完全控制就可以了。
記得下載完轉移到安全目錄。
其他問題同理,比如有的人把電驢的配置檔案放到電驢安裝目錄下,電驢需要寫自身目錄,怎麼辦?
請對電驢的配置目錄config及電驢安裝根目錄前幾個DAT及INI檔案允許Authenticated Users修改、寫入、完全控制就可以了。
問:我複製一個檔案到D盤是不是也無法複製?
答:可以複製。不過複製前UAC會有一個提示,允許,確定,即可。
也許有人問:火狐能夠進行升級嗎?它不是不能修改自身目錄?答案是可以升級,因為在升級前,UAC會提示,允許,確定,即可。
如果你不經常安裝軟體,一個月只裝一兩個軟體,你還可以:
先安裝好你的常用軟體。
開始選單,執行,輸入:gpedit.msc,回車。
展開:本地計算機策略——計算機配置——WINDOWS設定——安全設定——本地策略——安全選項,在右面找到:使用者帳戶控制(只提升簽名並驗證的可執行檔案),選中“已啟用”(預設是已禁用),應用,確定,重啟或登出。
這樣:你能正常執行你的常用軟體,就算是運行了一個提權的病毒也沒有事了,因為它根本提不了權。