当今常用的针对信息安全的解决方案，可以说大部分都是倒退的。被迫去购买软件来保护你的IT环境，这些安全软件看起来更像是在亡羊补牢，而不是真正地保护你的系统。

　　想想你安装在你终端的各种安全软件。防病毒、反恶意软件，甚至防火墙，这些都是不得不额外附加的软件，因为你的操作系统核心没有被好好地保护起来。因为Windows操作系统权限管理机制的某些特性，一些本来不该被执行的代码却被允许运行了。

　　结果是，许多软件公司开发了一系列智能的解决方案，来保护系统不被恶意软件破坏。通过在你的系统中扫描恶意软件和在线查看它的特征，这些软件只能用被动应对的方法来保持系统的干净。实际上，杀毒或者清除恶意软件的动作都是在被感染病毒的进程运行之后才会开始。然后它们只能尽力去清除病毒并且防止进一步的破坏。

　　这个方法的弊端根源在于操作系统本身。因为操作系统的设计机制是无论一段代码要做什么操作，默认都是被允许执行的，所以你可以抱怨说操作系统本身是恶意软件存在的根源。如果没有一个操作系统在运行，今天的恶意软件作者们将没有一个平台来执行它们的这些恶意代码。

　　我们所有对这些被动反应的解决方案的议论，都是希望有一个好的替代方案，一个可以在最开始的时候就启动保护机制的方法。

　　让我们来假设一种情况，当你做为一个管理员时，非常清楚地确定哪些程序在你的系统里能运行，哪些不能运行。如果你没有特别允许一个可执行程序能运行，那它就应该是被禁止的。不管这个程序是恶意软件、游戏、不合适的或者未审批的软件，或者甚至是最新版本的微软OFFICE，这个系统将允许你完全控制什么软件能在你的网络内运行。在这个环境中，只要你没有提前审批一个软件，它就没有权限运行起来，因为你的操作系统核心没有赋予它权限。

　　这个安全方案就是微软最新的AppLocker特性。

　　AppLocker特性在微软环境中并不是一个全新的概念。它的前身是以组策略软件限制策略（SRP）出现的，最早版本的AppLocker做为一个演变中的增强功能并没有引起特别多的注意。依靠AppLocker和SRP，你网络中的单个操作系统可以在一个集中管理的策略平台下工作，它决定哪些可执行程序和动态链接库可以被执行。

　　列白名单的功能

　　想想今天你的网络里到底有多少代码在运行着。要让这些代码运行起来，有些可执行代码必须在系统中被实例化。然后这些有效负载才能去完成各种各样的任务。它可以是一个办公软件，或者是一个业务应用。在你吃午饭的时候，它可以被编译成一个sol.exe文件。不管是什么情况，都必须通过运行可执行程序来完成任务。一般情况下，任何一个可执行程序在被实例化之后都会自动运行。这是微软操作系统设计的机制，让它和用户可能运行的应用保持一致性。不幸的是，这种自由性也让恶意软件运行起来更容易。

　　AppLocker改变了这种现状，它要求可执行文件先取得批准，然后才能被允许在系统中运行。通过AppLocker，每当可执行文件试图运行的时候，它都会被要求与一个审核列表重新核对。如果可执行文件在白名单中，它就被允许在系统中运行；如果不在，则这个代码将被禁止运行。它可以是常见的EXE文件，或者DLL文件，共同构成一个高安全性的IT环境。

　　显然，维护这样一个白名单需要管理员付出很大的工作量。创建并维护这样一个清单需要保持警惕，因为它控制着用户，不让它们在域环境中安装运行不需要或者未经审核的软件。

　　AppLocker通过三种类型的规则来对这些应用程序分类：

• 路径规则通过对可执行文件放置的位置来定义它。这个位置可以是一个打包好的文件名或者路径，或者一个包含通配符的名字。例如，如果你知道你总是需要在默认路径下运行微软WORK程序WINWORD.EXE，你就可以创建一条规则，允许‘%PROGRAMFILES%Microsoft OfficeOffice12WINWORD.EXE’运行。

　　另外，如果你想允许所有这个路径下的可执行文件运行，可以用一个包含通配符的路径‘%PROGRAMFILES%Microsoft OfficeOffice12*.’来简化定义白名单，但是使用通配符在一个安全平台下容易造成一些漏洞。

• 文件哈希规则在牺牲了部分灵活性的情况下改进了路径规则。在文件哈希规则中，每个被批准的文件的密码哈希值都要录入到规则列表中去。通过创建哈希规则，可以保证被感染恶意代码的文件不会运行，同样路径下的文件，在定义宽松的路径规则下可以运行，而在哈希规则下则不会随意被运行起来。

　　尽管这个规则已经大大增强了安全性，但是当一个文件通过日常升级被合法地更改了之后，它就显示出弱点来了。举例来说，通过补丁或者服务包升级WINWORD.EXE文件后，相应地也需要你在白名单中更新它的哈希规则。

• 当你的应用程序文件有厂商的数字签名，发布规则就能很好的发挥作用了。因为用数字证书来标志一个文件的合法性，你可以确认它们是否是来自合法公司的授权软件。更强的是，发布规则可以灵活定义检查项目，可以对每个文件自定义属性值来做为审核依据，包括厂商、产品名、文件名、文件版本等等。

　　AppLocker通过和组策略协同工作，统一控制，更好的发挥它的功能。在组策略编辑器中创建规则，然后推送AppLocker策略，以保证每一台目标台式机在收到后都能应用这个策略。

　　AppLocker做为一项技术，在SRP中以它的早期形式已经存在了一段时间了，它的发展障碍之一，就是到底应该如何来定义白名单。没有一个管理员愿意在配置一个应用程序保护方案的时候，发现他们漏掉了一些关键的应用。

　　为了改善这个过程，AppLocker组策略向导提供了自动生成规则的功能。在一台安装有你想批准的软件的做为参照物的电脑上运行该向导，可以自动生成报表，并转化成一张规则列表。另一个有用的功能是整合了审计模式，它被用来在不做任何保护规则的情况下监控程序使用状况。这个审计模式更好的确保你能在开始做限制规则时能正确判断。

　　现在微软把AppLocker特性打包在除WEB版和基础版外的所有WINDOWS SERVER 2008 R2版本中，Windows 7的旗舰版和企业版也内置了这个特性。这意味着是有必要考虑升级系统来让这个功能发挥作用了。或者换个说法，如果你在找一个升级系统的好理由，AppLocker可以是一个很好的根据。

　　对没有实施过SRP的人来说，AppLocker 确实是一个全新的关于系统安全的思路。我们不说通过控制程序运行来保护你的域环境的干净有多大的可能性，就想想当恶意软件能在你的系统中运行，你就知道离一个高安全标准的平台还有多远了。让IT组织本身成为一道真正的安全保护墙吧。