本教程将向您展示如何在Windows 2012服务器上配置组策略应用程序锁定器。
本教程将向您展示如何阻止所有应用程序的安装或执行。
本教程将向您展示如何允许特定应用程序运行。
这将有助于您的计算机环境符合ISO 27001等国际信息安全认证。
域控制器正在运行Windows 2012 R2。
域计算机正在运行Windows 7和Windows 10。
应用程序锁定器适用于Windows Enterprise或Ultimate版本。
应用程序锁定器无法在Windows专业版上运行。
硬件清单:
以下部分介绍了用于创建此Windows教程的设备列表。
上面列出的每一件硬件都可以在亚马逊网站上找到。
Windows相关教程:
在此页面上,我们提供了与Windows相关的教程列表的快速访问。
教程 – 创建Application Locker GPO
在运行带有Active Directory的Windows 2012 R2的域控制器上执行了以下任务。
单击“开始”菜单,找到并打开“组策略管理”工具。
在“组策略管理”屏幕上,找到名为“组策略对象”的文件夹。
右键单击“组策略对象”文件夹,然后选择“新建”选项。
输入新策略的名称。
在我们的示例中,新GPO被命名为:SOFTWARE POLICY。
在“组策略管理”屏幕上,展开名为“组策略对象”的文件夹。
右键单击新的组策略对象,然后选择“编辑”选项。
在组策略编辑器屏幕上,您将看到用户配置和计算机配置。
我们只会更改计算机配置。
我们不需要更改任何用户配置。
首先,我们需要将名为Application Identity的Windows服务配置为自动启动。
在组策略编辑器屏幕上,展开“计算机配置”文件夹,然后找到以下项目。
•计算机配置> Windows设置>安全设置>系统服务
在右侧,将显示Windows的可用服务列表。
双击名为Application Identity的配置项。
在配置项屏幕上,您需要选择自动选项。
为了使应用程序锁定器工作,域计算机需要运行应用程序标识服务。
教程 – 配置Application Locker GPO
在组策略编辑器屏幕上,展开“计算机配置”文件夹,然后找到以下项目。
•计算机配置> Windows设置>安全设置>应用程序控制策略> AppLocker
在右侧,将显示可用于应用程序锁定器策略的配置项。
单击名为Configure Rule enforcement的配置项。
将显示Applocker属性窗口。
启用可执行规则,然后选择“强制规则”选项。
启用Windows Installer规则并选择“强制规则”选项。
启用打包应用程序规则,然后选择“强制规则”选项。
单击“确定”按钮。
接下来,我们需要创建默认的软件规则。
右键单击“可执行文件规则”策略,然后选择“创建默认规则”选项。
要完成组策略创建,您需要关闭“组策略编辑器”窗口。
仅当您关闭组策略窗口时,系统才会保存您的配置。
可执行的默认规则声明如下:
允许执行Windows文件夹中的每个EXE文件。
允许执行Program files文件夹中的每个EXE文件。
允许Administrators组成员执行任何EXE文件。
要授权其他应用程序,请右键单击“可执行文件”规则,然后选择“创建新规则”选项。
右键单击Windows安装程序规则,然后选择“创建默认规则”选项。
要授权其他应用程序,请右键单击Windows安装程序规则,然后选择“创建新规则”选项。
右键单击Package App规则,然后选择Create default rules选项。
要完成组策略创建,您需要关闭“组策略编辑器”窗口。
仅当您关闭组策略窗口时,系统才会保存您的配置。
教程 – 应用Application Locker GPO
您已完成Application locker GPO的创建。
但是,您仍需要启用新的组策略。
在组策略管理屏幕上,您需要右键单击所需的组织单位,然后选择链接现有GPO的选项。
在我们的示例中,我们将名为SOFTWARE POLICY的组策略链接到名为TECH.LOCAL的域的根。
应用GPO后,您需要等待10或20分钟。
在此期间,GPO将复制到您可能拥有的其他域控制器。
等待20分钟后,您应该重新启动用户的计算机。
在引导期间,计算机将获取并应用新组策略的副本。
要测试配置,您需要登录域计算机,下载任何软件并尝试运行它。
您的计算机应自动阻止GPO上未明确允许的任何应用程序运行。
