Windows 7作为一款万众瞩目的下一代主流操作系统注定将成为划时代的产品。微软除了充分吸取了开发Windows Vista的经验教训，还增加了不少方便实用的新功能，比如：可以直接给移动存储设备加密的BitLocker To GO、将系统安装到VHD映像等。Windows 7的UAC的安全窗口的弹出频率有所减少，不少朋友可能会认为Windows 7的用户账户控制功能有所减弱了，其实，这是Windows 7对于繁琐的用户控制功能的改进。如果需要更加安全灵活地控制用户执行程序、文件以及脚本，那么，在Windows 7中已经有更加实用的AppLocker了，中文名称是应用程序控制策略。那么，我们怎么来使用这个安全功能呢?

　　1.启用AppLocker有窍门

　　启用AppLocker功能比较简单，我们可以采取以下方法。首先，我们在Windows 7的搜索框输入“Gpedit.msc”命令打开组策略编辑器，依次进入“计算机配置-Windows设置-安全设置-应用程序控制策略-AppLocker”项目，AppLocker有可执行规则、Windows安装程序规则和脚本规则三种，默认没有添加任何策略。我们不妨来创建一个最简洁的可执行规则。只需右键单击“可执行规则”项目，选择“创建默认规则”命令即可建立三条可执行规则(如图1)。第一条规则的含义是只允许所有用户运行“Program Files”文件夹的程序，第二条规则表示允许所有用户运行“Windows”文件夹的程序，第三条规则含义是只允许管理员用户运行所有程序。当前用户以普通用户权限运行程序的，因此，可以双击第一条规则，在弹出的窗口将“操作”设置为“拒绝”来获得限制运行任何程序的效果(如图2)。然而，我们发现该策略是无法生效的。这是什么原因呢?

　　图1

　　图2

　　其实，AppLocker功能默认是被系统屏蔽的，我们需要予以开启。我们在Windows 7的搜索框输入“Services.msc”命令打开“服务”窗口，打开“Application Identity”服务，这是一个验证应用程序标识的服务，默认停用该服务将阻止系统强制执行AppLocker，因此，我们需要点击“启动”按钮开启服务(如图3)。接着，我们再次运行任意一个“Program Files”文件夹的程序就弹出了禁用的窗口(如图4)，刚才的策略生效了。由于拒绝策略的优先级别较高，我们将无法启动该文件夹的所有的程序，我们只能右键单击程序选择“以管理员身份运行”命令才能正常运行程序。

　　图3

　　图4

　　2.个性化AppLocker策略方法

　　即使将第一条策略恢复，我们发现Windows 7也将只允许普通用户运行“Program Files”文件夹和“Windows”文件夹的程序，有时会感到很不方便，那么怎么来让普通用户运行任意目录的程序呢?我们尝试来修改第一条策略。打开这条策略，进入“路径”选项，我们发现只需将路径修改成*就可以了(如图5)。这时可能无法马上起效，我们需要在搜索框输入“Gpupdate”命令更新组策略才能达到目的。

　　图5

　　以上策略可以让任何用户运行所有的程序了，如果，我们需要限制他们运行某些程序怎么办呢?我们可以打开刚才的第一条策略，进入“例外”选项，比如：希望限制运行Foxmail程序，那么，选择“添加例外”下的“路径”，然后点击“添加”按钮，点击“浏览文件”按钮添加Foxmail的可执行程序即可(如图6)。接着，普通用户运行Foxmail就会遇到禁止的提示了(如图7)。

　　图6

　　图7

　　3.创建实用的程序限制策略

　　刚才我们通过默认的AppLocker策略介绍基本的设置方法和限制效果，那么，如何将其更好地应用到程序限制呢?比如：我们希望建立一条限制孩子使用QQ2009 SP2的策略。我们可以右键单击右侧空白窗格选择“创建新规则”命令，这时就弹出“创建可执行规则”的窗口(如图8)，点击“下一步”按钮;接着需要选择用户的权限，选择操作为“拒绝”，点击“用户或组”下的“选择”按钮选择孩子的账户(如图9);在弹出的“选择用户或组”窗口点击“高级”按钮，接着点击“立即查找”，接着双击下方的“小淘气”用户(假定的孩子用户)即可选定(如图10)，退出到刚才的窗口，点击“下一步”按钮;这时需要选择创建主要条件的类型，如果应用程序已由软件发布者签名，那么，直接选择“发布者”是比较快速的，否则可以选择“文件哈希”条件，这需要计算文件的哈希值，速度稍慢，而“路径”则不推荐，因为，孩子只需改变程序的安装路径即可逃脱限制了(如图11)，这里我们只需选择“发布者”条件，点击“下一步”按钮;这时我们发现了选择“发布者”的窗口，点击“浏览”按钮选择QQ的可执行文件，默认显示了文件的发布者、产品名、文件版本等信息(如图12)，默认只能限制当前版本的QQ程序，可以向上拉动左侧的滑竿到“文件名”位置，这时可以限制任意版本的QQ程序了(如图13)，再向上拉动到“发布者”位置可以限制所有腾讯的软件，最上方即可限制所有的程序了，我们只需拉动到“文件名”位置就足够了，点击“下一步”按钮;接着，我们可以添加例外的条件，比如：孩子可以运行一个低版本的QQ可以运行，选择“路径”条件，点击“添加”按钮选择QQ的路径(如图14)，点击“下一步”按钮;这时可以输入名称和描述信息，点击“创建”即可完成了(如图15)。

　　图8

　　图9

　　图10

　　图11

　　图12

　　图13

　　图14

　　图15

　　那么，最后的限制效果会如何呢?孩子可以运行QQ2008，却无法运行QQ2009 SP2(如图16)，成功达到了预定的目标。

　　图16

　　AppLocker还可以创建Windows安装程序和脚本规则，方法和创建可执行规则类似。通过文件哈希条件限制安装应用程序可以提高系统的安全性，而脚本规则同样可以保证只运行安全脚本，避免中毒。AppLocker的操作过程方便快捷，适合普通用户来加固系统安全防线，而且管理员通过组策略配置用于网络部署是很高效易用的。