应用程序控制：强大的微软AppLocker(2)

下一个出现的画面将允许你添加必要的特例，而最后的画面是让你为新规则命名。随着对AppLocker的不断熟悉，你会发现创建这些规则是很快的，所以最好对这些规则采用标准的命名，这样便于日后的管理和修改。为规则命名后，点击Create以完成规则创建过程。如果这是你创建的第一个规则，屏幕上将会弹出提示，要求你创建“Default Rules”来允许用户和管理员访问系统文件。这是必须的(尤其是当你运行的是Windows 7之前版本的系统的情况下)，因为如果没有设置这些的话，将会阻止系统开机。点击提示信息中的“是”后，将会自动为你创建规则。

　　There is one final step to ensuring your rules apply properly. The Application Identity service must be enabled and set to run automatically so that AppLocker can properly identify applications. You can do this by typing services.msc into the Start Menu search box, locating the Application Identity service, double clicking it, clicking Start, and choosing Automatic in the Startup Type field. After a final reboot of the system your users will be presented with this lovely message should they attempt to run mstsc.exe

　　要确保新规则能够正常运用，还需要进行最后一个步骤。应用程序身份服务必须被启用，并且设置为自动运行，这样AppLocker才会鉴定应用程序。你可以这样操作，在开始菜单的搜索栏中输入services.msc，找出Application身份服务，双击它，点击Start，然后在Startup Type(启动类型)中选择自动。进行最后一次系统重启后，我们就完成了阻止mstsc.exe的操作，当用户启动mstsc.exe时就会弹出以下提示信息。

阻止所有不可信任的应用程序

　　在上个操作中，我们明确的知道需要阻止的应用程序类型，所以操作比较简单。那种情况比较适合用户允许访问部分系统文件的情况，但是在某些企业中，IT政策将会规定，用户不能运行任何IT部门明确规定不能使用的程序，而这种情况下，唯一有效的方法就是阻止所有不可信任的应用程序。

　　AppLocker可以很快速地帮我们实现这个设置。AppLocker的安全性很强，也正是因为此，当我们创建一个允许规则时，AppLocker会默认为，除了这种明确规定允许使用的应用程序外，其他所有应用程序都必须被阻止。例如，当我为C:folderfile.exe的应用程序创建一个允许规则后，所有在C:文件夹路径的其他应用程序都不能执行，只有file.exe能够执行。这就意味着，为了完成阻止所有不可信任应用程序的要求，我们需要做的就是为每种允许的应用程序创建允许规则。

　　这样，我们就需要为每种单个执行文件创建允许规则，包括那些我们已经安装的应用程序以及默认安全的Windows应用程序。所幸的是，微软公司也考虑到了这一点，AppLocker允许我们根据安装在特定工作组的应用程序自动生成规则，现在让我们开始进行设置。

　　如果你还没有创建默认规则以允许所有必须的系统程序运行，那么你第一步就需要创建这样的默认规则。右键单击Executable Rules，选择Create Default Rules，创建后，我们需要删除允许每个人执行C:Program Files目录所有程序的允许规则，因为这个规则违反了我们的要求。

　　我们的下一步骤就是自动生成允许规则。首先，需要右键单击Executable Rules然后选择Automatically Generate Executable Rules。主要有两个存储应用程序的位置：第一个就是Windows目录，由于默认规则可以允许所有用户执行该目录下的程序(并且推荐保留这个规则)，我们不需要为这个文件夹创建任何允许规则。然后就是Program Files目录，在第一个对话框中选择这个文件夹。在这个的下面，你可以选择政策运用的用户组，在本文的例子中选择的是用户组。最后，你需要选择一个名字来识别这组规则，这个名字将会出现在规则描述前面的括号里。完成这些操作和，点击Next进入下一画面。