applocker怎么用以及Applocker常见问题解决方法

  利用AppLocker管理员可以非常方便地进行配置,以实现用户可在计算机上可运行哪些程序、安装哪些文件、运行哪些脚本。由于AppLocker是基于组策略管理和配置的,因此我们可以非常方便地将其部署到整个网络环境中,可谓一劳永逸。

  AppLocker即“应用程序控制策略”,是Windows 7系统中新增加的一项安全功能。通俗的说也就是iPhone加密软件。鉴于不少童鞋不会使用,所以小编教大家applocker怎么用。

  如何运行Applocker

  执行“开始”→ “运行”,输入gpedit.msc打开组策略编辑器。在左侧的窗格中依次定位到“计算机配置” →“Windows 设置”→“安全设置”→“应用程序控制”,可以看到AppLocker组策略配置项。

  AppLocker包含三部份功能:

  1、可执行程序控制;

  2、安装程序控制;

  3、脚本控制。

  在XP下使用过软件限制策略的部份朋友,也许会对此望而生畏,不过其实AppLocker是很容易使用的。

  第一个是总开关,就不多说了

  General 一般选项

  session locking 延时锁定,开启后只要不锁屏再次进入锁定软件都不需要输入密码

  lock setting 锁定选项,开启进入程序设置需要输入密码

  lock devic on fail 错误时锁定机器,当密码输入错误时自动进入锁屏状态

  aoto launch 自动加载,输入密码不用摁确认。密码正确事自定进入

  animation type 没啥用

  numeric keypad 数字键盘 ,如果想要使用纯数字密码

  最后一个为密码,输入你需要的密码,设置,锁定和解锁程序用的都是它

  applications 程序锁选项

  第一个进去可以选择要上锁的程序

  第二个的意思是 将解锁所有已上锁程序,上锁所有为未上锁程序

  第三个编辑模式 ,开启后可以在编辑模式上锁程序 ,如下图,点击小绿锁,输入正确密码即可给程序上锁。红色小锁的意思是程序已上锁,点击红色小锁,输入正确密码即可取消程序锁

  advance

  意思是在以下场景中不锁定程序都不要开启就好

  Folder locking 文件夹锁定选项

  第一个是开关

  输入正确的文件夹名称即可锁定整个文件夹,但是不会锁定文件夹中的程序,意思是可以通过Quickdo 等手势软件进入文件夹中程序,慎重~

  reset password phrase 密码重置密令

  进入后开启开关,设置重置密令。当你忘记密码后可以使用重置密码将密码还原为1234

  more 高级选项

  第一个是开关

  第二个 在里面输入wifi名字 ,当你的电话连接此wifi是,进入程序不需要输入密码

  Disable Photo in camera

  开启后讲无法从相机进入相机交卷

  Applocker常见问题

  我复制一个文件到D盘是不是也无法复制?

  答:可以复制。不过复制前UAC会有一个提示,允许,确定,即可。

  也许有人问:火狐能够进行升级吗?它不是不能修改自身目录?答案是可以升级,因为在升级前,UAC会提示,允许,确定,即可。

  如果你不经常安装软件,一个月只装一两个软件,你还可以:

  先安装好你的常用软件。

  开始菜单,运行,输入:gpedit.msc,回车。

  展开:本地计算机策略——计算机配置——WINDOWS设置——安全设置——本地策略——安全选项,在右面找到:用户帐户控制(只提升签名并验证的可执行文件),选中“已启用”(默认是已禁用),应用,确定,重启或注销。

  这样:你能正常运行你的常用软件,就算是运行了一个提权的病毒也没有事了,因为它根本提不了权。

  我可以实机运行一些病毒样本吗?

  答:完全可以,只需像下面这样设置,病毒就只能修改用户临时目录USER了。

  非系统盘,右键,属性,安全,编辑,把Authenticated Users用户组的修改、写入、完全控制、特殊权限等去掉勾,只保留读取和执行。

  这样,你可以运行任意一个不需要提权(UAC没有提示)的毒,但是毒无法破坏系统,也无法删改你的重要资料。

  注意,不要随便对陌生程序提权,除非你完全确信这个软件安全。

  我用迅雷下载文件到D盘,但无法保存,怎么办?

  答:没关系,新建一个目录专门用来下载东西,该目录给予Authenticated Users修改、写入、完全控制就可以了。

  记得下载完转移到安全目录。

  其他问题同理,比如有的人把电驴的配置文件放到电驴安装目录下,电驴需要写自身目录,怎么办?

  请对电驴的配置目录config及电驴安装根目录前几个DAT及INI文件允许Authenticated Users修改、写入、完全控制就可以了。