AppLocker即所謂的“應用程序控制策略，是Windows 7系統中新增加的一項安全功能。利用AppLocker管理員可以非常方便地進行配置，以實現用戶可在計算機上可運行哪些程序、安裝哪些文件、運行哪些腳本。由于AppLocker是基于組策略管理和配置的，因此我們可以非常方便地將其部署到整個網絡環境中，可謂一勞永逸。下面筆者結合實例對這一功能進行測試和解析。

1、牛刀小試

我們以管理員身份登錄系統，默認情況下該用戶可以運行所有的程序、腳本和沒有限制地進行軟件的安裝。下面我們進行一個演示：在D盤根目錄下有一個名為Bginfo.exe的程序，毫無疑問在沒有部署AppLocker前它可以運行。然后我們部署AppLocker看看其效果：執行“開始→ “運行，輸入pedit.msc打開組策略編輯器。在左側的窗格中依次定位到“計算機配置 →“Windows 設置→“安全設置→“應用程序控制，可以看到AppLocker組策略配置項。在其下有三項配置規則，分別是：可執行規則、Windows安裝程序規則、腳本規則。(圖1)

點擊“可執行規則組策略項，默認情況下規則為空白。在有窗格中單擊鼠標右鍵選擇“創建默認規則可以生成三條規則，即允許所有用戶運行“Program Files文件夾中的應用程序;允許所有用戶運行“Windows文件夾中的應用程序;允許Administrator用戶運行所有的應用程序。為了演示效果，我們雙擊打開第三條規則點選“拒絕確定退出。然后打開命令提示符運行gpupdate更新組策略個，最后我們運行Bginfo.exe程序，可以看到彈出警告對話框，應用程序運行被禁止。(圖2)

2、修改默認規則

AppLocker的默認規則方便了管理員快速部署策略，同時也可以根據需要對默認策略進行修改。右鍵點擊相應的默認策略選擇“屬性打開其設置面板，在“常規選項卡下可設置規則類型、規則名稱、規則描述、與規則相關的用戶或者組;在“路徑選項卡下可設置改變該規則對應的路徑(默認是所有路徑);在“例外選項卡下設置規則的例外項，系統提供了根據應用程序的發行者、程序路徑及其文件hash值進行排除。(圖3)

3、創建新規則

除了默認規則外，AppLocker最吸引管理員的是其可以定制應用程序限制策略。同樣的以“可執行規則為例我們創建一個自定義策略，右鍵點擊“可執行規則組策略項選擇“創建新規則彈出“創建可執行規則向導。單擊“下一步進入“權限設置頁面，在此頁面可以設置規則類型(允許或者拒絕)，指定規則針對的用戶或者組。單擊“下一步進入“條件設置頁面，在此頁面中可依據程序的發行者、路徑、文件哈希值作為條件設置規則。我們默認選擇“發行者單擊“下一步進入具體的設置頁面。單擊“瀏覽按鈕找到目標應用程序(例如C:/Program Files/Internet Explorer/IExplore.exe，該應用程序應該具有完畢的信息，我們用它為模板進行規則的設置 )可以看到剛才還是灰色的選項都已經激活。默認情況下滑竿處于最下方，就說明該該規則就是針對版本為8的iexplore.exe。拖動滑竿到“文件名 該規則的范圍比上面大了，文件版本顯示為*，意為該規則適用于所有版本的iexplore.exe。依次類推，滑竿每上升一格限制就更小一些，規則的范圍就擴大一些。比如，我們將滑竿拖動到“發行者上時，則該規則適用于所有的微軟程序。當滑竿拖動最上邊(Any publisher)是，說明該規則適用的范圍是所有的應用程序。需要說明的是，上面的各項條件都只是個范例，在實戰中我們可以根據需要進行修改，創建我們所需的規則。最后依據向導，設置規則的例外項并為規則起名等，這樣就完成了一個應用程序規則的創建。(圖4)

4、其他規則

和可執行規則類似，管理員可以創建“Windows 安裝程序規則和“腳本規則。與“可執行規則一樣不僅可快速創建默認規則，也可根據需要創建自定義的規則。通過“Windows 安裝程序規則管理員可限制、規范用戶安裝使用應用程序。需要說明的是，通過設置“文件哈希條件，可以保證用戶安裝可靠的應用程序(只能是msi的安裝程序)，在很多程度上杜絕了因為私自安裝而使系統中毒。“腳本規則的創建和使用和上面的類似，在系統管理中可通過該策略保證運行可靠的腳本，并杜絕危險腳本的運行。(圖5)

5、擴展延伸

AppLocker作為Windows 7新增的組策略項在系統管理中是非常有用的，增強了微軟系統對應用程序的能力提升了安全性，同時賦予管理者更多的自由。除了AppLocker之外，在組策略管理器中還有兩處與軟件管理相關的項值得大家注意：一個是“軟件限制策略(在“計算機配置 →“Windows 設置→“安全設置下);另外一處是“不要運行指定的Windows應用程序和“只運行指定的Windows應用程序(在“用戶配置→“管理模板→“系統下)。相信，只要靈活應用這三個組策略項Windows 7的應用程序安全就會得到進一步的提升。

2、修改默認規則

AppLocker的默認規則方便了管理員快速部署策略，同時也可以根據需要對默認策略進行修改。右鍵點擊相應的默認策略選擇“屬性打開其設置面板，在“常規選項卡下可設置規則類型、規則名稱、規則描述、與規則相關的用戶或者組;在“路徑選項卡下可設置改變該規則對應的路徑(默認是所有路徑);在“例外選項卡下設置規則的例外項，系統提供了根據應用程序的發行者、程序路徑及其文件hash值進行排除。(圖3)

3、創建新規則

除了默認規則外，AppLocker最吸引管理員的是其可以定制應用程序限制策略。同樣的以“可執行規則為例我們創建一個自定義策略，右鍵點擊“可執行規則組策略項選擇“創建新規則彈出“創建可執行規則向導。單擊“下一步進入“權限設置頁面，在此頁面可以設置規則類型(允許或者拒絕)，指定規則針對的用戶或者組。單擊“下一步進入“條件設置頁面，在此頁面中可依據程序的發行者、路徑、文件哈希值作為條件設置規則。我們默認選擇“發行者單擊“下一步進入具體的設置頁面。單擊“瀏覽按鈕找到目標應用程序(例如C:/Program Files/Internet Explorer/IExplore.exe，該應用程序應該具有完畢的信息，我們用它為模板進行規則的設置 )可以看到剛才還是灰色的選項都已經激活。默認情況下滑竿處于最下方，就說明該該規則就是針對版本為8的iexplore.exe。拖動滑竿到“文件名 該規則的范圍比上面大了，文件版本顯示為*，意為該規則適用于所有版本的iexplore.exe。依次類推，滑竿每上升一格限制就更小一些，規則的范圍就擴大一些。比如，我們將滑竿拖動到“發行者上時，則該規則適用于所有的微軟程序。當滑竿拖動最上邊(Any publisher)是，說明該規則適用的范圍是所有的應用程序。需要說明的是，上面的各項條件都只是個范例，在實戰中我們可以根據需要進行修改，創建我們所需的規則。最后依據向導，設置規則的例外項并為規則起名等，這樣就完成了一個應用程序規則的創建。(圖4)

4、其他規則

和可執行規則類似，管理員可以創建“Windows 安裝程序規則和“腳本規則。與“可執行規則一樣不僅可快速創建默認規則，也可根據需要創建自定義的規則。通過“Windows 安裝程序規則管理員可限制、規范用戶安裝使用應用程序。需要說明的是，通過設置“文件哈希條件，可以保證用戶安裝可靠的應用程序(只能是msi的安裝程序)，在很多程度上杜絕了因為私自安裝而使系統中毒。“腳本規則的創建和使用和上面的類似，在系統管理中可通過該策略保證運行可靠的腳本，并杜絕危險腳本的運行。(圖5)

5、擴展延伸

AppLocker作為Windows 7新增的組策略項在系統管理中是非常有用的，增強了微軟系統對應用程序的能力提升了安全性，同時賦予管理者更多的自由。除了AppLocker之外，在組策略管理器中還有兩處與軟件管理相關的項值得大家注意：一個是“軟件限制策略(在“計算機配置 →“Windows 設置→“安全設置下);另外一處是“不要運行指定的Windows應用程序和“只運行指定的Windows應用程序(在“用戶配置→“管理模板→“系統下)。相信，只要靈活應用這三個組策略項Windows 7的應用程序安全就會得到進一步的提升。

Windows 7有很多新玩意，不過GUI界面上的東西兩三天就覺得沒啥意思了，下面偶想說話題是Windows 7的一個新功能——Windows 7引導系統內置了VHD磁盤驅動，它讓我們將Windows 7系統安裝在虛擬磁盤上（實際上，也支持Windows server 2008）。

當然，搞這玩意，對于大部分人來說，純粹就是折騰，想折騰的就往下看——

玩法一：

假設硬盤上有C、D兩個分區，其中C分區已經安裝了Vista系統，現在偶想再安裝一個Windows 7系統，不過為了系統簡潔，不想直接將它安裝任何一個物理磁盤上，于是把它安裝在C:/VHD目錄下的Windows 7.VHD文件中，并與Vista系統組成雙系統.

PS：此玩法需要注意，C盤的容量不能太小，如果Vista占15GB，而Windows 7.VHD至少也要有10GB以上，因此，C盤容量至少在30GB以上才可以玩。

在開始之前，你需要準備兩個東西：

1.一個Windows 7 ISO鏡像文件

2.一個名叫imagex.exe工具（在Windows AIK包中可以找到），用于將install.wim灌進VHD中。

方法和步驟：

第一步：在Vista系統下，將Windows 7 ISO文件中的所有文件解壓到第二個分區（即D盤），順便把準備好的imagex.exe也放在D盤根目錄中。

第二步：然后打開系統的磁盤管理器，將D分區設置為活動分區，重啟后系統將從這里啟動，進入和光盤一樣的安裝環境（Vista系統以后都是可以這樣取代光驅的。當然，如果你有一個4GB以上的U盤，那么將U盤格式化為NTFS，并將其設為活動分區，那么將Vist a/Windows 7/WIN2008光盤內容拷貝進去，然后主板設置為USB啟動，那么U盤=光驅）。

盡管Windows7尚未發布，但由于使用者眾，因此已經有幾個Bug被用戶挖出來了。先是有不少用戶表示在Vista升級到Windows7的過程中遭遇無限輪回重啟，如今，又有用戶發現了與休眠相關的一個Bug。

部分用戶在Windows7進入休眠時，系統提示

STOP 0×000000A0 INTERNAL_POWER_ERROR (0×0000000B, 0x????????, 0x????????, 0x????????)

藍屏錯誤，好在目前已經有解決方法：

* 開始 - 所有 - 附件 - 命令提示符

* 右鍵- 以管理員身份運行

* 輸入如下命令并回車

powercfg /hibernate /size 100

此外，從Vista時代，由于睡眠功能的存在，休眠功能其實已經趨向于可有可無了，同時，禁用休眠功能還可以節省出于內存同等大小的硬盤空間，因此，我們建議大家使用Windows 7優化大師 (點此下載) 或魔方 (點此下載)中的系統設置關閉休眠功能。

圖片看不清楚？請點擊這里查看原圖（大圖）。

2、修改默認規則

AppLocker的默認規則方便了管理員快速部署策略，同時也可以根據需要對默認策略進行修改。右鍵點擊相應的默認策略選擇“屬性打開其設置面板，在“常規選項卡下可設置規則類型、規則名稱、規則描述、與規則相關的用戶或者組;在“路徑選項卡下可設置改變該規則對應的路徑(默認是所有路徑);在“例外選項卡下設置規則的例外項，系統提供了根據應用程序的發行者、程序路徑及其文件hash值進行排除。(圖3)

3、創建新規則

除了默認規則外，AppLocker最吸引管理員的是其可以定制應用程序限制策略。同樣的以“可執行規則為例我們創建一個自定義策略，右鍵點擊“可執行規則組策略項選擇“創建新規則彈出“創建可執行規則向導。單擊“下一步進入“權限設置頁面，在此頁面可以設置規則類型(允許或者拒絕)，指定規則針對的用戶或者組。單擊“下一步進入“條件設置頁面，在此頁面中可依據程序的發行者、路徑、文件哈希值作為條件設置規則。我們默認選擇“發行者單擊“下一步進入具體的設置頁面。單擊“瀏覽按鈕找到目標應用程序(例如C:/Program Files/Internet Explorer/IExplore.exe，該應用程序應該具有完畢的信息，我們用它為模板進行規則的設置 )可以看到剛才還是灰色的選項都已經激活。默認情況下滑竿處于最下方，就說明該該規則就是針對版本為8的iexplore.exe。拖動滑竿到“文件名 該規則的范圍比上面大了，文件版本顯示為*，意為該規則適用于所有版本的iexplore.exe。依次類推，滑竿每上升一格限制就更小一些，規則的范圍就擴大一些。比如，我們將滑竿拖動到“發行者上時，則該規則適用于所有的微軟程序。當滑竿拖動最上邊(Any publisher)是，說明該規則適用的范圍是所有的應用程序。需要說明的是，上面的各項條件都只是個范例，在實戰中我們可以根據需要進行修改，創建我們所需的規則。最后依據向導，設置規則的例外項并為規則起名等，這樣就完成了一個應用程序規則的創建。(圖4)

4、其他規則

和可執行規則類似，管理員可以創建“Windows 安裝程序規則和“腳本規則。與“可執行規則一樣不僅可快速創建默認規則，也可根據需要創建自定義的規則。通過“Windows 安裝程序規則管理員可限制、規范用戶安裝使用應用程序。需要說明的是，通過設置“文件哈希條件，可以保證用戶安裝可靠的應用程序(只能是msi的安裝程序)，在很多程度上杜絕了因為私自安裝而使系統中毒。“腳本規則的創建和使用和上面的類似，在系統管理中可通過該策略保證運行可靠的腳本，并杜絕危險腳本的運行。(圖5)

5、擴展延伸

AppLocker作為Windows 7新增的組策略項在系統管理中是非常有用的，增強了微軟系統對應用程序的能力提升了安全性，同時賦予管理者更多的自由。除了AppLocker之外，在組策略管理器中還有兩處與軟件管理相關的項值得大家注意：一個是“軟件限制策略(在“計算機配置 →“Windows 設置→“安全設置下);另外一處是“不要運行指定的Windows應用程序和“只運行指定的Windows應用程序(在“用戶配置→“管理模板→“系統下)。相信，只要靈活應用這三個組策略項Windows 7的應用程序安全就會得到進一步的提升。

2、修改默認規則

AppLocker的默認規則方便了管理員快速部署策略，同時也可以根據需要對默認策略進行修改。右鍵點擊相應的默認策略選擇“屬性打開其設置面板，在“常規選項卡下可設置規則類型、規則名稱、規則描述、與規則相關的用戶或者組;在“路徑選項卡下可設置改變該規則對應的路徑(默認是所有路徑);在“例外選項卡下設置規則的例外項，系統提供了根據應用程序的發行者、程序路徑及其文件hash值進行排除。(圖3)

3、創建新規則

除了默認規則外，AppLocker最吸引管理員的是其可以定制應用程序限制策略。同樣的以“可執行規則為例我們創建一個自定義策略，右鍵點擊“可執行規則組策略項選擇“創建新規則彈出“創建可執行規則向導。單擊“下一步進入“權限設置頁面，在此頁面可以設置規則類型(允許或者拒絕)，指定規則針對的用戶或者組。單擊“下一步進入“條件設置頁面，在此頁面中可依據程序的發行者、路徑、文件哈希值作為條件設置規則。我們默認選擇“發行者單擊“下一步進入具體的設置頁面。單擊“瀏覽按鈕找到目標應用程序(例如C:/Program Files/Internet Explorer/IExplore.exe，該應用程序應該具有完畢的信息，我們用它為模板進行規則的設置 )可以看到剛才還是灰色的選項都已經激活。默認情況下滑竿處于最下方，就說明該該規則就是針對版本為8的iexplore.exe。拖動滑竿到“文件名 該規則的范圍比上面大了，文件版本顯示為*，意為該規則適用于所有版本的iexplore.exe。依次類推，滑竿每上升一格限制就更小一些，規則的范圍就擴大一些。比如，我們將滑竿拖動到“發行者上時，則該規則適用于所有的微軟程序。當滑竿拖動最上邊(Any publisher)是，說明該規則適用的范圍是所有的應用程序。需要說明的是，上面的各項條件都只是個范例，在實戰中我們可以根據需要進行修改，創建我們所需的規則。最后依據向導，設置規則的例外項并為規則起名等，這樣就完成了一個應用程序規則的創建。(圖4)

4、其他規則

和可執行規則類似，管理員可以創建“Windows 安裝程序規則和“腳本規則。與“可執行規則一樣不僅可快速創建默認規則，也可根據需要創建自定義的規則。通過“Windows 安裝程序規則管理員可限制、規范用戶安裝使用應用程序。需要說明的是，通過設置“文件哈希條件，可以保證用戶安裝可靠的應用程序(只能是msi的安裝程序)，在很多程度上杜絕了因為私自安裝而使系統中毒。“腳本規則的創建和使用和上面的類似，在系統管理中可通過該策略保證運行可靠的腳本，并杜絕危險腳本的運行。(圖5)

5、擴展延伸

AppLocker作為Windows 7新增的組策略項在系統管理中是非常有用的，增強了微軟系統對應用程序的能力提升了安全性，同時賦予管理者更多的自由。除了AppLocker之外，在組策略管理器中還有兩處與軟件管理相關的項值得大家注意：一個是“軟件限制策略(在“計算機配置 →“Windows 設置→“安全設置下);另外一處是“不要運行指定的Windows應用程序和“只運行指定的Windows應用程序(在“用戶配置→“管理模板→“系統下)。相信，只要靈活應用這三個組策略項Windows 7的應用程序安全就會得到進一步的提升。