windows 7旗舰版组策略中新增了一个applocker。


用户若能根据自己的实际情况，设置好applocker的各种类型的默认规则，即可以防止正常系统程序被病毒、木马滥用，也可以阻止非正常路径中的恶意程序运行。从而达到预防系统中毒的目的。


applocker的默认规则设置操作很简单。这里不再一一赘述（网上的相关帖子都臭了街了！google一下即可找到。）本帖主要讨论其病毒预防作用及实际应用中需要注意的地方。






点击任务栏左下角的windows  logo（开始），在”搜索程序和文件“窗口中键入 gpedit.msc ， 按回车。即可见 windows7 的组策略编辑窗口：




 附件: 您所在的用户组无法下载或查看附件


在这里依次点击：计算机配置、windows设置、安全设置、应用程序控制策略，即可见到applocker（ 如上图所示）。 要使applocker中的规则生效，必须先开启系统服务application identity（启动类型设置为：自动；见下图）。这个服务的安装默认启动类型为”手动“。更改此服务启动类型，可在”搜索程序和文件“窗口中键入services.msc ，找到这个服务，将其启动类型改为”自动“。然后重启系统。



 附件: 您所在的用户组无法下载或查看附件


重启后，便可再次进入组策略编辑窗口，创建相应的默认规则。这是我创建的”可执行程序默认规则“：





 附件: 您所在的用户组无法下载或查看附件


所有默认规则创建完后，还可针对特定参数修改。修改流程见下面几个图（以”windows安装程序规则“的”用户“更改为例）：



 附件: 您所在的用户组无法下载或查看附件

 附件: 您所在的用户组无法下载或查看附件

 附件: 您所在的用户组无法下载或查看附件

 附件: 您所在的用户组无法下载或查看附件



 附件: 您所在的用户组无法下载或查看附件


修改完后的windows安装程序规则：



 附件: 您所在的用户组无法下载或查看附件

用户系统信息：Opera/9.80 (Windows NT 6.1; U; zh-cn) Presto/2.2.15 Version/10.00

脚本规则：



 附件: 您所在的用户组无法下载或查看附件




全部搞掂后，运行一个桌面上的病毒样本  -.vbs:



 附件: 您所在的用户组无法下载或查看附件






需要注意的是：如果默认规则为路径限制，则除了规则中允许的路径以外的程序统统不能运行。


以windows安装程序规则为例，如果按照1楼的最后一个图所示设置了默认路径规则，并强制执行默认规则，则用户应在%windows%\installer\目录下自己建一个文件夹，将自己用到的安装程序放在这个文件夹中运行，才能实现期望的程序安装。



 附件: 您所在的用户组无法下载或查看附件



否则，安装程序程序运行时，将被相应的applocker默认规则禁止。下例就是安装程序不在默认规则允许的路径中运行时的情形：



 附件: 您所在的用户组无法下载或查看附件

目前，用WIN7， 可以不用SSM。


关键是先了解WIN7 能做些什么。