AppLocker是微軟從Windows 7開始提供的應用程式管理工具

主要用來防止未經授權的軟體使用行為 還可避免惡意軟體對系統造成危害

Windows 8裡的AppLocker基本功能和先前的版本差不多

但除了管理傳統桌面應用程式外 它也可以用來控管Metro Apps

首先我們來介紹阻擋Metro Apps的設定方法

在Metro介面的應用程式區找到命令提示字元 並輸入gpedit.msc以開啟群組原則編輯器

Windows 8裡的AppLocker_是

在群組原則編輯器中展開 電腦設定 > Windows 設定 > 安全性設定 > 應用程式控制原則 > AppLocker

並在 已封裝的應用程式原則 上按右鍵 選擇 建立新規則

Windows 8裡的AppLocker_的_02

接下來會出現一個提示畫面 如果以後不想看到可以勾選 預設略過這個頁面 之後按下一步

Windows 8裡的AppLocker_是_03

從這邊開始就是正式要建立軟體限制原則了 我們要先決定規則的類型是允許或拒絕

既然題目是禁止特定應用程式執行 這邊當然是選拒絕

Windows 8裡的AppLocker_是_04

如果要針對特定使用者來建立規則 可以在下面的使用者或群組點一下選取 並輸入使用者帳戶

Windows 8裡的AppLocker_的_05

再來要挑選我們想禁止的Apps 這裡從已安裝的封裝應用程式中選取會比較容易

Windows 8裡的AppLocker_blank_06

假設我們要標止 財經 這個Metro App的執行 就在清單前打勾

Windows 8裡的AppLocker_blank_07

如果前一個步驟中選了已封裝或安裝應用程式的話 則必須手動挑選一個APPX檔案

Windows 8裡的AppLocker_是_08

確定要封鎖的應用程式後 再來調整限制的層級 預設層級為最低

表示包含發行者 名稱 和版本 都必須完全符合 此規則才會生效

Windows 8裡的AppLocker_的_09

如果把限制的層級拉高 較低層級的條件會以*代替

Windows 8裡的AppLocker_是_10

層級設定完畢後 可以直接按建立以產生此規則 或是繼續下一步

下一步是設定例外條件 可在符合前述條件的情形下 允許特定程式通行

Windows 8裡的AppLocker_Windows_11

最後再輸入名稱 以幫助自己辨識此規則的用途

Windows 8裡的AppLocker_管理工具_12

完成後回到Metro介面 找到市集並點選

Windows 8裡的AppLocker_管理工具_13

結果出現程式已遭封鎖的訊息

Windows 8裡的AppLocker_blank_14

設定之後如果沒有生效 可到命令提示字元輸入 services.msc 開啟服務編輯器

找到Application Identity項目 按下啟動 之後應該就可以了

Windows 8裡的AppLocker_blank_15

再來是一般傳統桌面應用程式的設定方法

這個部分的操作過程和Windows 7的設定完全相同 一開始當然也是要啟動群組原則

但不但處在於要建立的是 可執行檔規則

Windows 8裡的AppLocker_的_16

同樣先選擇要允許或拒絕

Windows 8裡的AppLocker_Windows_17

再來選擇執行規則的觸發條件 總共有 發行者 路徑 和 檔案雜湊 等方式

這裡我們選擇路徑

Windows 8裡的AppLocker_是_18

選瀏覽檔案

Windows 8裡的AppLocker_是_19

選擇要封鎖的應用程式執行檔 這裡以WinRAR為例

Windows 8裡的AppLocker_的_20

選好後再確定一次路徑

Windows 8裡的AppLocker_是_21

設定例外規則

Windows 8裡的AppLocker_Windows_22

設定名稱

Windows 8裡的AppLocker_的_23

大功告成

如果是首次建立規則 系統會詢問是否要一併建立預設規則

Windows 8裡的AppLocker_Windows_24

如果選是 則會自動產生3條允許通過的規則