Windows 7は、知名度の高い次世代メインストリームオペレーティングシステムとして画期的な製品になることを目指しています。 Windows Vistaの開発の教訓を完全に習得することに加えて、Microsoftはモバイルストレージデバイスを直接暗号化してシステムをVHDイメージにインストールすることができるBitLocker To GOなどの便利で新しい機能を多数追加しました。 Windows 7のUACセキュリティウィンドウのポップアップ頻度が減少し、多くの友人がWindows 7のユーザーアカウント制御機能が弱体化したと考えるかもしれませんが、これはWindows 7の面倒なユーザー制御機能の改善です。ユーザーの実行プログラム、ファイル、およびスクリプトをより安全で柔軟に制御する必要がある場合は、Windows 7にはより実用的なAppLockerが既にあり、中国語の名前がアプリケーション制御戦略です。では、このセキュリティ機能をどのように使用しますか。
1. AppLockerを有効にするためのコツがあります。AppLockerを有効にするのは比較的簡単です。次の方法を使用できます。まず、Windows 7の検索ボックスに「Gpedit.msc」コマンドを入力してグループポリシーエディタを開き、次に[コンピュータの構成] - [Windowsの設定] - [セキュリティの設定] - [アプリケーション制御ポリシー] - [AppLocker]プロジェクトに移動します。 Windowsインストーラのルールとスクリプトのルールには3種類あり、デフォルトではポリシーは追加されていません。最も簡単な実行可能ルールを作成しましょう。 「実行可能ルール」項目を右クリックして「デフォルトルールの作成」コマンドを選択すると、3つの実行可能ルールが作成されます(図1)。最初のルールはすべてのユーザーのみが "Program Files"フォルダの実行を許可されることを意味し、2番目のルールはすべてのユーザーが "Windows"フォルダの実行を許可されることを意味します。ユーザーはすべてのプログラムを実行します。現在のユーザーは通常のユーザー権限でプログラムを実行するため、最初のルールをダブルクリックし、ポップアップウィンドウで[アクション]を[拒否]に設定して、プログラムの実行を制限する効果を得ることができます(図2)。しかし、その戦略は効果的ではない可能性があることがわかりました。その理由は何ですか?
図1
図2
実際、AppLocker関数はデフォルトでシステムによってブロックされているので、開く必要があります。 Windows 7の検索ボックスに' Services.msc'コマンドを入力して[サービス]ウィンドウを開き、アプリケーションIDを確認するサービスである[アプリケーションID]サービスを開きます。デフォルトでは、サービスを無効にするとシステムが強制的に使用できなくなります。 AppLockerを実行すると、[開始]ボタンをクリックしてサービスを開く必要があります(図3)。その後、無効になったウィンドウをポップアップするために "Program Files"フォルダをもう一度実行すると(図4)、戦略が有効になりました。拒否ポリシーの優先度が高いため、このフォルダ内のすべてのプログラムを起動することはできません。プログラムを右クリックして[管理者として実行]を選択すると、プログラムを実行できます。
図3
図4
2.パーソナライズされたAppLocker戦略の方法
最初の戦略が復元されたとしても、Windows 7では通常のユーザーしか実行できません。 Program Filesフォルダと "Windows"フォルダプログラムは非常に不便に感じることがあるので、どのように普通のユーザーに任意のディレクトリでプログラムを実行させるのですか?最初のポリシーを変更します。このポリシーを開き、 "path"オプションに進みます。パスを*に変更するだけです(図5)。目標を達成するためにグループポリシーを更新するには、検索ボックスに< Gpupdate>コマンドを入力する必要があります。
図5
上記の方法では、すべてのプログラムをすべてのプログラムで実行できますが、特定のプログラムの実行を制限する必要がある場合は、最初のポリシーを開いて'に進みます。次のような例外:Foxmailプログラムの操作を制限したい、そして「例外を追加」の下で「例外を追加」を選択し、そして「追加」ボタンをクリックし、Foxmailを追加するために「参照」ボタンをクリックする実行可能プログラムは次のようになります(図6)。その後、Foxmailを実行している一般ユーザーは、禁止されたプロンプトに遭遇します(図7)。
図6
図7
3.実用的なプログラム制限戦略の作成
基本的な設定方法と制限の効果をデフォルトのAppLocker戦略で紹介したところです。プログラムの制限により適していますか?たとえば、子供たちによるQQ2009 SP2の使用を制限する戦略を確立したいと考えています。右側の空白のペインを右クリックして[Create new rule]コマンドを選択し、[Create executable rules]ウィンドウ(図8)をポップアップ表示して[Next]ボタンをクリックします。ユーザーの権限を選択し、アクションを[拒否]として選択し、[選択]ボタンの下にある[ユーザー/グループ]をクリックして子供のアカウントを選択し(図9を参照)、ポップアップで[ユーザーまたはグループの選択]をクリックします。 [詳細]ボタンをクリックし、[今すぐ検索]をクリックし、[いたずらっ子]ユーザー(ダブルクリック)をダブルクリックして(図10)、終了して終了します。ウィンドウが表示されたら、[次へ]ボタンをクリックして、作成する主な条件の種類を選択しますアプリケーションがソフトウェア発行元によって署名されている場合は、[発行元]を直接選択します。ファイルのハッシュ値を計算する必要がある「ファイルハッシュ」条件。速度はわずかに遅くなり、「パス」は推奨されません。これは、子がプログラムのインストールパスを変更するだけでよいためです。制限を解除することができます(図11)。ここでは、 "発行元"条件を選択し、[次へ]ボタンをクリックするだけで、次に[発行元]を選択して&'をクリックするウィンドウが見つかります。; [参照]ボタンをクリックしてQQ実行可能ファイル、ファイル発行者のデフォルト表示、製品名、ファイルバージョン、その他の情報(図12)を選択すると、デフォルトでQQプログラムの現在のバージョンのみが制限されます。 「ファイル名」の場所には、QQプログラムの任意のバージョンを制限することができ(図13)、次に「発行元」の場所にプルアップするとすべてのTencentソフトウェアを制限することができます。プログラムは、「ファイル名」の場所に移動するだけで十分で、「次へ」ボタンをクリックしてから、次のような例外条件を追加することができます。 「パス」条件を選択し、「追加」ボタンをクリックしてQQパスを選択し(図14)、「次へ」ボタンをクリックします;名前と説明を入力できますインタレスト、をクリックして'作成'完了させる(図15)。
図8の画像図9の画像図10の画像図11の画像図12の画像図13
図14
図15
では、最終的な制限の効果は何ですか?子供はQQ2008を実行できますが、QQ2009 SP2(図16)は実行できず、意図した目標を達成しました。
図16
AppLockerは、実行可能ファイルの作成と同様の方法で、Windowsインストーラーとスクリプトルールを作成することもできます。ファイルハッシュ制限を使用してアプリケーションをインストールすると、システムのセキュリティを向上させることができます。スクリプトルールを使用すると、セキュリティスクリプトのみが実行されて中毒を防ぐこともできます。 AppLockerの運用プロセスは便利で高速で、一般ユーザーがシステムセキュリティの保護を強化するのに適しています。管理者は、グループポリシー構成による非常に効率的で使いやすいネットワーク展開に適しています。