如果说UAC杜绝了绝大多数非授权软件对管理员权限的“非法”获取,一定会有用户提出:“很多恶意软件是不需要管理员权限就可以运行的”。的确,有许多恶意软件可以通过一些普通权限来运行并且逐级地激发相关的应用,从而达到彻底控制计算机的目的,AppLocker的功能就是针对这种情况而设计的(该功能只存在于企业版和旗舰版的Windows 7中)。
在以Windows XP为终端操作平台的企业应用环境中,为了防止用户随便地安装、使用非标准的或者存在安全风险的软件,IT管理员费尽心机。即便是在使用了组策略(GPO)的活动目录(AD)管理环境下,因为缺乏终端策略的支持,制定、调整相关的组策略也是非常复杂的事情。有些管理员干脆禁掉了所有可能的动态链接库的使用,这无疑给普通用户的日常工作带来不便。用户时常抱怨IT管理者的苛刻政策导致公司的业务系统不能发挥大的效能。AppLocker就是针对这一管理挑战而设计的。
AppLocker的出现,可以给管理员带来巨大的方便。
允许安装什么程序、禁止什么通行,全部都可以掌控。
在典型的AD+GPO网络管理模式里,AppLocker的出现给管理员带来巨大的方便,通过组策略的制定,管理员可以轻松设定在用户终端上什么程序可以运行,什么程序不可以。较之从前的动辄封掉某个端口,AppLocker可以用类似“黑”“白”名单的方式来具体地允许或者禁止某一应用程序的执行。例如,您可以禁止某些P2P软件的使用而不妨碍其它合法P2P软件的网络访问,您可以给公司内部的流媒体大开绿灯而禁止用户访问公网上的视频网站……
在知识产权被日益重视的今天,AppLocker带给管理员的好处还包括对于用户滥用未授权软件的控制。宽带、无线、大容量存储以及移动计算的普及让用户获得软件和应用程序变得如此方便,新软件的层出不穷也让IT管理员们颇为头疼。一方面是业务部门日益强烈的有关解放生产力的呼声,一方面是严峻到四面楚歌的信息安全和符合规定的需求,IT管理员迫切需要一种可以完全控制用户桌面状态的手段,覆盖应用软件的安装、卸载、变更等整个生命周期。而AppLocker则在众多的“桌面管理软件小工具”之外提供了更为强大的,易于部署和维护的企业级解决方案。
对于管辖动辄成百上千台机器的管理员而言,在每台机器上种一个代理来管理桌面环境的时代已经带来管理上的噩梦,每一次重大的系统升级都是管理员不堪回首的经历。在AD+GPO的支持下,AppLocker在以万台终端计量的企业环境里,也能对用户应用程序状态进行精确控制,其带来的便利、灵活性以及对于任何严酷的审计审查、合规要求都是管理员梦寐以求的,从这种意义上讲,它已经解脱了管理员至少10%的客户端系统维护时间。
本文对于UAC和AppLocker的介绍仅仅是众多Windows 7安全管理功能中的一部分,在Windows 7里有诸多类似的针对企业应用环境的贴心设计,笔者会在后续的文章中选择具代表性和影响力的进行详细的阐述。各位读者请继续关注《微型计算机·PC OFFICE》栏目的相关介绍。