Windows 7 AppLocker 執行概觀
更新日期: 2010年1月適用於: Windows 7
本主題提供 AppLocker 的簡介,這是 Windows 7 中的新應用程式控制功能,有助於防止在組織網路內執行垃圾應用程式和未知應用程式,同時提供安全、可操作及符合規範的優點。
如需完整的 Windows 7 資源、文章、示範及指導,請瀏覽 Windows 用戶端 TechCenter 上的 Windows 7 的 Springboard Series。
如需完整的 Windows 7 資源、文章、示範及指導,請瀏覽 Windows 用戶端 TechCenter 上的 Windows 7 的 Springboard Series。
簡介
一般桌上型電腦的軟體組態常會因為安裝和執行非標準或未核准的軟體,而變得與其預期或初始的狀態不同。使用者會從住家、網際網路下載、點對點檔案分享及經由電子郵件安裝軟體,結果使得惡意軟體感染率更高、支援部門協助的機會更多,以及更難以確認您的桌上型電腦只執行核准、已授權的軟體。此外,公司生產力會降低。因此,許多組織想要透過不同的鎖定計劃 (包括限制系統管理員認證),嘗試在他們的桌上型電腦環境中施加更多控制。建議以標準使用者 (非系統管理員) 的身分執行,因為這有助於限制可以在桌上型電腦環境進行的組態變更,不過,以標準使用者身分執行並不會防止在您的組織中安裝或執行未知軟體或垃圾軟體。
在 Windows XP 及 Windows Vista 中的「軟體限制原則」(SRP) 提供 IT 系統管理員一個定義與強制執行應用程式控制原則的機制。不過,SRP 在一個非常動態的桌上型電腦環境 (應用程式可能經常需要安裝及更新) 中可能變成管理負擔,因為應用程式控制原則主要是使用雜湊規則。如果使用雜湊規則,每次應用程式更新時,就需要建立一個新的雜湊規則。
在 Windows XP 及 Windows Vista 中的「軟體限制原則」(SRP) 提供 IT 系統管理員一個定義與強制執行應用程式控制原則的機制。不過,SRP 在一個非常動態的桌上型電腦環境 (應用程式可能經常需要安裝及更新) 中可能變成管理負擔,因為應用程式控制原則主要是使用雜湊規則。如果使用雜湊規則,每次應用程式更新時,就需要建立一個新的雜湊規則。
Windows 7 AppLocker
Windows 7 引進 AppLocker 處理企業中不斷增加的應用程式控制解決方案需求:簡單且靈活的機制,允許系統管理員明確地指定允許在他們桌面環境中執行的程式。因此,AppLocker 提供的不只是安全性保護,還有操作方面及符合規範的優點,其方法是,讓系統管理員:
AppLocker 引進以應用程式數位簽章為基礎的發行者規則。發行者規則可以指定如應用程式版本的屬性,以建立可在應用程式更新後使用的規則。例如,組織可以建立「如果是由軟體發行者 Adobe 簽署的話,允許執行 Acrobat Reader 9.0 以上的所有版本」規則。現在當 Adobe 更新 Acrobat 時,您可以部署應用程式更新,而不需要為了新版應用程式建立另一個規則。
AppLocker 支援多個可獨立設定的原則,稱為規則集合:可執行檔、安裝程式、指令碼和 DLL。多重集合可以讓組織建立的規則超越傳統僅限執行檔的解決方案,提供更靈活及增強的保護。例如,組織可以建立「只要 Adobe Photoshop 版本仍為 14.*,則允許繪圖安全性群組執行來自 Adobe 的 Photoshop 安裝程式或應用程式」規則。這允許 IT 系統管理員保留控制,但允許使用者根據其商務需求,將其電腦保持為最新狀態。除此之外,在開始封鎖應用程式執行及可能影響使用者效率之前,可以分別將每個原則放在僅限稽核模式中以測試您的規則。
AppLocker 規則可以和組織中特定的使用者或群組設定關聯。這可以提供特定的控制,藉由驗證及強制執行可以執行特定應用程式的使用者,讓您符合規範的需求。例如,您可以建立「允許財務安全性群組中的使用者執行企業應用程式的財務部分」規則。這可以封鎖財務安全性群組以外的員工 (包含系統管理員) 執行財務應用程式,但仍提供這些有商務需求之員工執行應用程式的存取權。
透過新規則建立工具及精靈,AppLocker 提供 IT 系統管理員更好的體驗。例如,IT 系統管理員可以使用測試參考電腦,然後將規則匯入廣泛部署的生產環境,藉以自動產生規則。IT 系統管理員也可以匯出原則,提供實際執行設定的備份或提供文件以符合規範要求。您的群組原則基礎結構也可以用來建立與部署 AppLocker 規則,以節省您組織的訓練與支援成本。
AppLocker 是 Windows 7 企業版 及 Windows 7 旗艦版 中提供的新技術。此外,AppLocker 可以在 Windows Server 2008 R2 Standard、Windows Server 2008 R2 Enterprise、Windows Server 2008 R2 Datacenter 及 Itanium 型系統的 Windows Server 2008 R2 中使用。這些相同的版本中也提供軟體限制原則。
- 防止未授權的軟體在您的桌上型電腦環境下執行 (如果該軟體不在允許清單中)
- 防止易受攻擊且未經授權的應用程式在您的桌上型電腦環境下執行,包含惡意軟體
- 禁止使用者執行非必要性消耗網路頻寬,或任何可能影響企業運算環境的應用程式
- 防止使用者執行使他們桌上型電腦環境不穩定且增加支援人員支援成本的應用程式
- 針對有效的桌面設定管理,提供更多選擇
- 允許使用者根據原則執行核准的應用程式和軟體更新,同時保留只有具有系統管理認證的使用者可以安裝或執行應用程式和軟體更新的需求
- 協助確保桌上型電腦環境符合企業原則及業界法規
AppLocker 引進以應用程式數位簽章為基礎的發行者規則。發行者規則可以指定如應用程式版本的屬性,以建立可在應用程式更新後使用的規則。例如,組織可以建立「如果是由軟體發行者 Adobe 簽署的話,允許執行 Acrobat Reader 9.0 以上的所有版本」規則。現在當 Adobe 更新 Acrobat 時,您可以部署應用程式更新,而不需要為了新版應用程式建立另一個規則。
AppLocker 支援多個可獨立設定的原則,稱為規則集合:可執行檔、安裝程式、指令碼和 DLL。多重集合可以讓組織建立的規則超越傳統僅限執行檔的解決方案,提供更靈活及增強的保護。例如,組織可以建立「只要 Adobe Photoshop 版本仍為 14.*,則允許繪圖安全性群組執行來自 Adobe 的 Photoshop 安裝程式或應用程式」規則。這允許 IT 系統管理員保留控制,但允許使用者根據其商務需求,將其電腦保持為最新狀態。除此之外,在開始封鎖應用程式執行及可能影響使用者效率之前,可以分別將每個原則放在僅限稽核模式中以測試您的規則。
AppLocker 規則可以和組織中特定的使用者或群組設定關聯。這可以提供特定的控制,藉由驗證及強制執行可以執行特定應用程式的使用者,讓您符合規範的需求。例如,您可以建立「允許財務安全性群組中的使用者執行企業應用程式的財務部分」規則。這可以封鎖財務安全性群組以外的員工 (包含系統管理員) 執行財務應用程式,但仍提供這些有商務需求之員工執行應用程式的存取權。
透過新規則建立工具及精靈,AppLocker 提供 IT 系統管理員更好的體驗。例如,IT 系統管理員可以使用測試參考電腦,然後將規則匯入廣泛部署的生產環境,藉以自動產生規則。IT 系統管理員也可以匯出原則,提供實際執行設定的備份或提供文件以符合規範要求。您的群組原則基礎結構也可以用來建立與部署 AppLocker 規則,以節省您組織的訓練與支援成本。
AppLocker 是 Windows 7 企業版 及 Windows 7 旗艦版 中提供的新技術。此外,AppLocker 可以在 Windows Server 2008 R2 Standard、Windows Server 2008 R2 Enterprise、Windows Server 2008 R2 Datacenter 及 Itanium 型系統的 Windows Server 2008 R2 中使用。這些相同的版本中也提供軟體限制原則。
摘要
您的桌面環境不只是您最好的生產工具之一,也代表一個重大的投資。您需要可讓使用者執行有效工作所需之應用程式的工具,而同時仍可有效防禦未知軟體與垃圾軟體。
Windows 7 引進 AppLocker 處理企業中應用程式控制解決方案的需求:簡單且靈活的機制,允許系統管理員明確地指定允許在他們桌面環境中執行的程式。因此,AppLocker 提供的不只是安全性保護,還有操作方面及符合規範的優點。此外,AppLocker 可以使用已知且認可的工具和技術管理,讓 IT 資源專注於結合 IT 基礎結構與動態商務需求。
Windows 7 引進 AppLocker 處理企業中應用程式控制解決方案的需求:簡單且靈活的機制,允許系統管理員明確地指定允許在他們桌面環境中執行的程式。因此,AppLocker 提供的不只是安全性保護,還有操作方面及符合規範的優點。此外,AppLocker 可以使用已知且認可的工具和技術管理,讓 IT 資源專注於結合 IT 基礎結構與動態商務需求。
另請參閱
http://technet.microsoft.com/zh-tw/library/dd548340(WS.10).aspx
沒有留言:
張貼留言