首页 > > 操作系统 > WinXP >

AppLocker规则创建教程

2019-04-16 01:00:26来源：华彩软件站阅读 ()

在很多场合下，电脑并不是由一个人独自使用，而是有多人轮流使用，比如学校的计算机房等。出于各种因素考虑，对于这些场合下的计算机使用，肯定会有所限制，向学校机房的话肯定是不希望学生在上课时偷偷玩游戏，最常见的方法就是限制指定软件运行。

借助一些工具软件，就可以将指定程序封锁不让它运行，但是这些工具软件往往也存在很大局限性。首先是封锁方式，有些可能简单到仅通过判断程序启动文件名称来进行封锁，这种方式只需改下文件名就可以绕过，因此如今已经被淘汰。高级一点的，通过对比程序文件的校验值，如MD5或者hash值来判断，这种方法虽然先进一些，但也存在一定问题，对于那些经常自动更新的程序很难起作用，因为自动更新后启动文件本身往往会变动，校验值也随之更改，间接导致原有封锁失效。

除了方法上的局限性，还有一个不足之处就是程序数量如此多，用上述黑名单的方式几乎是不现实的，更何况新的应用程序每天都在增加。所以我们需要换一种思路来解决。

在即将正式发售的Windows 7里，微软设置了一种名为AppLocker的软件运行限制功能，是基于黑名单和白名单的混合策略，判断依据也具有多种方式。

作为一个新增功能，微软将它藏却有点深：点击Windows 7开始菜单，在搜索框里输入gpedit.msc，打开本地组策略编辑器；然后依次展开：计算机配置——Windows设置——安全设置——应用程序控制策略，这里就是AppLocker的所在地了。

找到AppLocker所在位置（点击图片放大）

再展开AppLocker后，你会看到三种规则类别，分别是“可执行规则”、“Windows安装程序规则”和“脚本规则”，依次对应应用程序，新下载的安装文件和各种脚本文件。

右键点击任一类别，选择“创建新规则”，然后跟随设置向导到开始配置这台电脑的软件限制规则。

开始创建一个规则（点击图片放大）

首先你需要决定该策略的方向，是仅“允许”指定程序运行还是仅“拒绝”特定程序运行；然后选择使用该策略的用户或组对象，是所有登录用户还是某些特定登录用户。

比如我想让使用Guest（来宾帐户）登录的用户仅能运行指定程序，首先将行为选为“允许”，接着点击“用户或组”右侧的“选择”按钮，接着在弹出的窗口里点击“高级”，点击“立即查找”列出所有用户和组，选中“Guest”，然后依次按确定关闭窗口返回到向导窗口。此时用户或组这里会变更为“XXXXXXXGuest”。

将用户限定为来宾（点击图片放大）