利用AppLocker設定介面左側的滑桿,管理者可以定義應用程式的控管等級。(圖片來源/iThome)

Windows Server 2003可以利用群組原則當中的軟體限制原則,企業可以根據安裝路徑及執行檔的雜湊值(Hash),禁止使用者執行特定的應用程式,不過這項功能很容易遭到破解,只要變更安裝路徑,或者安裝不同版本的軟體,就可以讓先前設定好的群組原則失效。

AppLocker,它可以說是軟體限制原則的加強版本,除了具備舊有的一切功能,最為重要的是企業可以透過不可隨意修改的發行者資訊,有效禁止或允許應用程式的執行。

然而,欲透過發行者資訊的方式落實應用程式控管,前提是軟體必須具備數位簽章,否則就只能採用路徑及雜湊兩種方式設定管理規則。此外,AppLocker可以控管的範圍不單是一般的執行檔而己,還包括了MSI、MSP封裝檔、批次檔及Powershell的Script檔。

實際上是這樣設定的,當我們在群組原則的設定指定利用發行者資訊,來建立應用程式的控管規則,這時AppLocker的設定介面會要求我們選取要加入控管的程式檔,接著從該檔案的數位簽章中讀取發行者的相關資訊。

AppLocker取得的發行者資訊,限定的範圍由大到小,可區分為「發行者」、「軟體名稱」、「執行檔名稱」及「版本編號」4種,管理者只要透過設定介面左側的滑桿,可以定義應用程式的控管強度。

 

【相關報導請參考「Windows Server2008 R2預覽」】


Advertisement

更多 iThome相關內容