【Server2008 R2特色9】個人端的應用程式控管度更高

Windows Server 2003可以利用群組原則當中的軟體限制原則，企業可以根據安裝路徑及執行檔的雜湊值（Hash），禁止使用者執行特定的應用程式，不過這項功能很容易遭到破解，只要變更安裝路徑，或者安裝不同版本的軟體，就可以讓先前設定好的群組原則失效。

AppLocker，它可以說是軟體限制原則的加強版本，除了具備舊有的一切功能，最為重要的是企業可以透過不可隨意修改的發行者資訊，有效禁止或允許應用程式的執行。

然而，欲透過發行者資訊的方式落實應用程式控管，前提是軟體必須具備數位簽章，否則就只能採用路徑及雜湊兩種方式設定管理規則。此外，AppLocker可以控管的範圍不單是一般的執行檔而己，還包括了MSI、MSP封裝檔、批次檔及Powershell的Script檔。

實際上是這樣設定的，當我們在群組原則的設定指定利用發行者資訊，來建立應用程式的控管規則，這時AppLocker的設定介面會要求我們選取要加入控管的程式檔，接著從該檔案的數位簽章中讀取發行者的相關資訊。

AppLocker取得的發行者資訊，限定的範圍由大到小，可區分為「發行者」、「軟體名稱」、「執行檔名稱」及「版本編號」4種，管理者只要透過設定介面左側的滑桿，可以定義應用程式的控管強度。

【相關報導請參考「Windows Server2008 R2預覽」】