本教程将向您展示如何在Windows 2012服务器上配置组策略应用程序锁定器。

本教程将向您展示如何阻止所有应用程序的安装或执行。

本教程将向您展示如何允许特定应用程序运行。

这将有助于您的计算机环境符合ISO 27001等国际信息安全认证。

域控制器正在运行Windows 2012 R2。

域计算机正在运行Windows 7和Windows 10。

应用程序锁定器适用于Windows Enterprise或Ultimate版本。

应用程序锁定器无法在Windows专业版上运行。

硬件清单:

以下部分介绍了用于创建此Windows教程的设备列表。

上面列出的每一件硬件都可以在亚马逊网站上找到。

Windows Playlist:

在此页面上,我们可以快速访问与Windows相关的视频列表。

不要忘记订阅我们命名的youtube频道 FKIT.

Windows相关教程:

在此页面上,我们提供了与Windows相关的教程列表的快速访问。

教程 – 创建Application Locker GPO

在运行带有Active Directory的Windows 2012 R2的域控制器上执行了以下任务。

单击“开始”菜单,找到并打开“组策略管理”工具。

在“组策略管理”屏幕上,找到名为“组策略对象”的文件夹。

右键单击“组策略对象”文件夹,然后选择“新建”选项。

输入新策略的名称。

在我们的示例中,新GPO被命名为:SOFTWARE POLICY。

在“组策略管理”屏幕上,展开名为“组策略对象”的文件夹。

右键单击新的组策略对象,然后选择“编辑”选项。

在组策略编辑器屏幕上,您将看到用户配置和计算机配置。

我们只会更改计算机配置。

我们不需要更改任何用户配置。

首先,我们需要将名为Application Identity的Windows服务配置为自动启动。

在组策略编辑器屏幕上,展开“计算机配置”文件夹,然后找到以下项目。

•计算机配置> Windows设置>安全设置>系统服务

在右侧,将显示Windows的可用服务列表。

双击名为Application Identity的配置项。

在配置项屏幕上,您需要选择自动选项。

为了使应用程序锁定器工作,域计算机需要运行应用程序标识服务。

教程 – 配置Application Locker GPO

在组策略编辑器屏幕上,展开“计算机配置”文件夹,然后找到以下项目。

•计算机配置> Windows设置>安全设置>应用程序控制策略> AppLocker

在右侧,将显示可用于应用程序锁定器策略的配置项。

单击名为Configure Rule enforcement的配置项。

将显示Applocker属性窗口。

启用可执行规则,然后选择“强制规则”选项。

启用Windows Installer规则并选择“强制规则”选项。

启用打包应用程序规则,然后选择“强制规则”选项。

单击“确定”按钮。

接下来,我们需要创建默认的软件规则。

右键单击“可执行文件规则”策略,然后选择“创建默认规则”选项。

要完成组策略创建,您需要关闭“组策略编辑器”窗口。

仅当您关闭组策略窗口时,系统才会保存您的配置。

可执行的默认规则声明如下:

允许执行Windows文件夹中的每个EXE文件。

允许执行Program files文件夹中的每个EXE文件。

允许Administrators组成员执行任何EXE文件。

要授权其他应用程序,请右键单击“可执行文件”规则,然后选择“创建新规则”选项。

右键单击Windows安装程序规则,然后选择“创建默认规则”选项。

要授权其他应用程序,请右键单击Windows安装程序规则,然后选择“创建新规则”选项。

右键单击Package App规则,然后选择Create default rules选项。

要完成组策略创建,您需要关闭“组策略编辑器”窗口。

仅当您关闭组策略窗口时,系统才会保存您的配置。

教程 – 应用Application Locker GPO

您已完成Application locker GPO的创建。

但是,您仍需要启用新的组策略。

在组策略管理屏幕上,您需要右键单击所需的组织单位,然后选择链接现有GPO的选项。

在我们的示例中,我们将名为SOFTWARE POLICY的组策略链接到名为TECH.LOCAL的域的根。

应用GPO后,您需要等待10或20分钟。

在此期间,GPO将复制到您可能拥有的其他域控制器。

等待20分钟后,您应该重新启动用户的计算机。

在引导期间,计算机将获取并应用新组策略的副本。

要测试配置,您需要登录域计算机,下载任何软件并尝试运行它。

您的计算机应自动阻止GPO上未明确允许的任何应用程序运行。