適用于：Windows 10 神州網(wǎng)信政府版，Windows 10

1.概要：

AppLocker 在企業(yè)內(nèi)部部署，由 IT 人員使用受信任的憑據(jù)集中管理。 這使得其策略創(chuàng)建和部署符合類似的策略部署過程和安全限制。

2.操作步驟/更多信息：

如何使用AppLocker創(chuàng)建規(guī)則：

1. 按Win+R，輸入“regedit”，打開注冊表編輯器，跳轉(zhuǎn)至HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AppIDSvc，將start鍵值置為2.

1. 按Win+R，輸入“services.msc”，打開服務(wù)，雙擊application identity服務(wù)，點擊啟動。

1. 按Win+R，輸入“taskschd.msc”，展開計劃任務(wù)-Microsoft-Windows-AppID，查看對應(yīng)計劃任務(wù)是否運行。（如禁用，可手動開啟）

1. 在開始菜單-Windows管理工具-本地安全策略中，展開應(yīng)用程序控制策略-applocker，根據(jù)需要創(chuàng)建規(guī)則類型，選擇文件類型，以“可執(zhí)行規(guī)則”為例，右鍵選擇“創(chuàng)建新規(guī)則”，按照向?qū)нM行操作：

點擊“下一步”；

選擇操作類型：允許或拒絕；選擇用戶權(quán)限，點擊”下一步”；

選擇條件類型：發(fā)布者，路徑或文件哈希，點擊”下一步”；

指定受規(guī)則影響的文件或文件夾，點擊“下一步”；

如有需要，可根據(jù)條件添加例外，完成后點擊“下一步”；

添加例外界面：

點擊“創(chuàng)建”，完成規(guī)則創(chuàng)建向?qū)В?/span>

如第一次尚未添加默認規(guī)則，系統(tǒng)會詢問是否需要添加，點擊“是”；

1. 右鍵點擊applocker，選擇屬性，在“可執(zhí)行規(guī)則”下勾選“已配置”，并選擇“強制規(guī)則”，點擊“確定”；

等待3-5分鐘或重啟電腦，查看新規(guī)則是否生效。

AppLocker的分發(fā)方式：

AppLocker 策略通過已知進程和已知方式通過組策略在域中分發(fā)。本地策略的強制設(shè)置等同于組策略對象中的相同 AppLocker 策略 (GPO) 。 但是，由于 AppLocker 規(guī)則是累加的，因此仍將為該計算機評估不在 GPO 中的本地策略。

注意事項：

• 當(dāng)使用路徑條件類型的規(guī)則保護目錄中的文件時，無論對規(guī)則使用允許還是拒絕操作，仍有必要并且最佳做法是，根據(jù)安全策略設(shè)置訪問控制列表 (ACL) 來限制對這些文件的訪問。
• 目前Applocker依然與SRP共存，不過Applocker的規(guī)則會和SRP的規(guī)則分開存儲。如果針對同一個組策略對象同時應(yīng)用了Applocker和SRP規(guī)則，最終將只應(yīng)用Applocker規(guī)則。

軟件限制策略與Applocker的異同：

1. 實現(xiàn)方式有所不同，AppLocker是白名單模式，SRP是黑名單模式。

1. 實現(xiàn)目的是一樣的，均可幫助鎖定系統(tǒng)防止未經(jīng)授權(quán)程序運行。但SRP只實現(xiàn)了第一步，存在缺陷，即難以管理，并且無法應(yīng)用于特定的用戶或組，所有用戶都會受到SRP規(guī)則影響。APPLOCKER解決上述問題，因而取代SRP。
2. AppLocker比SRP更勝一籌的另一個功能是AppLocker的審核模式，該模式可供管理員創(chuàng)建AppLocker策略并檢查其結(jié)果（存儲在系統(tǒng)事件日志中），以確定策略是否能按照預(yù)期執(zhí)行，但這一過程中并不會真正執(zhí)行這些限制。AppLocker審核模式可用于監(jiān)視系統(tǒng)中的一個或多個用戶曾使用過哪些應(yīng)用程序。

那么，Applocker的工作原理是怎樣的呢：

AppID和SRP服務(wù)共存于同一個庫（AppIdSvc.dll）中，并通過一個SvcHost進程運行。該服務(wù)請求了注冊表變動通知功能，借此監(jiān)視注冊表鍵值的改動，注冊表鍵值可由GPO或本ID安全策略MMC管理單元中的AppLocker界面寫入。

在檢測到變化后，AppID服務(wù)會觸發(fā)一個用戶模式任務(wù)（AppIDPolicyConverter.exe），該任務(wù)將讀取（使用XML描述的）新規(guī)則，并將其轉(zhuǎn)換為二進制格式的ACE和SDDL字符串，這樣才能被用戶模式和內(nèi)核模式的AppID以及Applocker組件所理解。該任務(wù)會將轉(zhuǎn)換后的規(guī)則存儲在c:\windows\system32\applocker文件夾內(nèi)，其文件后綴為.applocker。該文件只能由system，administrators和local service寫入，對通過身份驗證的其他用戶是只讀的。用戶模式和內(nèi)核模式的AppID組件會直接從注冊表讀取轉(zhuǎn)后的規(guī)則。

另外AppID服務(wù)還會監(jiān)視本地計算機的受信任根證書存儲，并會通過一個用戶模式的任務(wù)（AppIdCertStoreCheck.exe）驗證這些證書，驗證工作每天至少進行一次，或在證書存儲出現(xiàn)變化后也會進行驗證。AppID內(nèi)核模式驅(qū)動程序（%SystemRoot%\System32\drivers\AppId.sys）可以通過APPIP_POLICY_CHANGED這個DeviceIoControl請求接到AppID服務(wù)發(fā)來的有關(guān)規(guī)則出現(xiàn)變化的通知

其中AppID服務(wù)使用LocalService賬戶運行，因此可以訪問系統(tǒng)中的受信任根證書存儲區(qū)域，也可以借助它來進行證書驗證。AppID服務(wù)則負責(zé)驗證發(fā)行商的證書、將新證書加入緩存，以及檢測AppLocker規(guī)則的更新并通知AppID驅(qū)動程序。

其中AppID驅(qū)動程序承擔(dān)了Applocker的大部分功能，并依賴與AppID服務(wù)的通信（通過DeviceIoControl請求通信），因此其設(shè)備對象會受到ACL的保護，僅允許NT SERVICE\AppIDSvc、LOCAL SERVICE和BUILTIN\Administrators組訪問。因而該驅(qū)動程序無法被惡意軟件仿造。

當(dāng)AppID驅(qū)動程序首先加載后，它會調(diào)用PsSetCreateProcessNotifyRoutineEx請求一個進程創(chuàng)建回調(diào)。當(dāng)該通知例程被調(diào)用后，它會獲得一個PPS_CREATE_NOTIFY_INFO結(jié)構(gòu)（所創(chuàng)建進程的描述）。之后將已識別的AppID屬性寫入進程的訪問令牌，接下來它會調(diào)用未文檔化的SeSrpAccessCheck例程，由這個例程檢查進程令牌和條件式ACE的AppLocker規(guī)則，進而確定進程是否允許運行。如果進程不允許運行，AppID驅(qū)動程序會將STATUS_ACCESS_DISABLED_BY_POLICY_OTHER寫入PPS_CREATE_NOTIFY_INFO結(jié)構(gòu)的Status字段，這樣即可導(dǎo)致進程創(chuàng)建操作被取消，并將設(shè)置進程的最終完成狀態(tài)。對于DLL，其限制方式為：映像加載器在將DLL載入進程時向AppID驅(qū)動程序發(fā)送DeviceIoControl請求。隨后由AppID驅(qū)動程序針對AppLocker條件式ACE檢查該DLL的標(biāo)識。（對所要加載的每個DLL進行這樣的檢查會消耗大量時間，甚至?xí)蛔罱K用戶察覺，因此DLL規(guī)則通常是禁用的。）

IT之家 7 月 8 日消息 微軟在 6 月 24 日發(fā)布了新一代桌面操作系統(tǒng) Windows 11，現(xiàn)已推出 Dev 預(yù)覽版，相信很大一部分小伙伴已經(jīng)更新好了。

對于正式版，微軟僅表示將會在今年圣誕節(jié)左右發(fā)布，預(yù)計將會與英特爾 12 代酷睿一同到來。

IT之家發(fā)現(xiàn)，在正式推出之前，全版本的 Windows 11 系統(tǒng)今日通過了 SIG 藍牙認證并出現(xiàn)在了官方網(wǎng)站上。

SIG 清單顯示了今年晚些時候?qū)瞥龅娜姹拘吞枺?Windows 11 Pro、Windows 11 Home、Windows 11 Pro for Workstations、Windows 11 Pro Education、Windows 11 Enterprise、Windows 11 Education、Windows 11 Mixed Reality 等，全版本均可完美支持藍牙 5.1。

微軟此前并未透露這些 Windows 版本之間的區(qū)別，預(yù)計會在近期宣布。

也就是說，今年晚些時候到來的 Win11 正式版至少將推出家庭版、專業(yè)版、企業(yè)版、專業(yè)工作站版、教育版和專業(yè)教育版等，相信大家不會太驚訝，只是這個混合現(xiàn)實版可能有點陌生。

眾所周知，目前的 Windows 10 就包括多種版本，例如家庭普通版、教育版、專業(yè)版、企業(yè)版、專業(yè)工作站版、物聯(lián)網(wǎng)版等，甚至還有中國政府特供版（神州網(wǎng)信政府版）。

微軟表示，專業(yè)版面向使用 PC、平板電腦和二合一設(shè)備的企業(yè)用戶，助力所有企業(yè)高效運營的堅實基礎(chǔ)，除具有 Win10 家庭版的功能外還使用戶能管理設(shè)備和應(yīng)用，保護敏感的企業(yè)數(shù)據(jù)，支持遠程和移動辦公，使用云計算技術(shù)；企業(yè)版則是在專業(yè)版基礎(chǔ)上增添了大中型企業(yè)用來防范針對設(shè)備、身份、應(yīng)用和敏感企業(yè)信息的現(xiàn)代安全威脅的先進功能，適用于有高級安全和管理需求的企業(yè)；而專業(yè)工作站版則專為有高級工作負載或數(shù)據(jù)需求的人士而設(shè)計。

相對來說，Windows 10 企業(yè)版是 Win10 版本中功能最全的版本，專業(yè)版相當(dāng)于企業(yè)版的分支版本。對于 Windows 各版本來說，基礎(chǔ)功能方面區(qū)別不大，主要是商業(yè)特性支持高低不一。

話雖這么說，但微軟發(fā)布大版本鏡像時一般會推出消費者版本和商業(yè)版兩種，其中包含的 Windows 版本并不相同。

首先消費者版 Consumer editions 中包括家庭版、家庭單語言版、教育版、專業(yè)版、專業(yè)教育版、專業(yè)工作站版（相當(dāng)于零售版）；而商業(yè)版 Business editions 則包括：企業(yè)版、教育版、專業(yè)版（相當(dāng)于 VL 版），實際功能沒什么不同，只是激活方式有區(qū)別罷了。