很多用户和企业应该都有这样的需求:为了保护电脑系统和数据的安全,希望禁止些程序的运行。这种技术的难点在于如何限制特定条件的程序运行,同时还能保证其他的程序能够正常运行,以什么条件进行限制才能有效的实现这一目标呢?什么样的软件能够实现这一功能呢?

其实,在Windows XP 中,系统就自带有“软件限制策略”功能,就是用来实现上述需求的。而在 Windows 7(旗舰版和企业版)中,微软又增加了一种叫做“AppLocker”的功能,作为对“软件限制策略”的补充,能够指定更丰富的限制条件,官方对两者差异的介绍为:

 

p_w_picpath

 

最近对AppLocker功能进行了一点实验,将得出的经验记录在此,供大家参考:

  • 第一次使用需要将 Application Identity 服务设为自动运行,重启后生效
  • 启用 Application Identity 服务之后,对 AppLocker 策略的更改是即时生效的
  • 默认规则的作用是允许运行系统程序,阻止所有其他程序
  • 例外是在规则之内不应用该规则的条件