, indledning, en ny windows 7 træk ringede applocker forsøg på at tage alt, hvad der er galt med software begrænsning politikker i tidligere udgaver af vinduer.denne artikelserie forklarer, hvorfor software begrænsning politikker er ineffektive, og hvordan applocker kan hjælpe. i de sidste mange generationer af vinduer, hvis du ønskede at begrænse som ansøgninger blev brugerne mulighed for at løbe, din eneste muligheder var at anvende software begrænsning politikker, eller en tredjepart nytteværdi såsom bit9 er paritet.problemet med at anvende software begrænsning politikker, er det, for at være helt ærlig, det er virkelig ikke godt.selv om det er muligt at lukke bruger arbejdsstationer med software begrænsning politikker, der har tendens til at være meget vanskeligt at skabe politikker, at brugerne kan ikke let omgå.,, jeg vil aldrig glemme en samtale, jeg havde med nogen i redmond, for mange år siden.software begrænsning politikker er ved at blive indført for første gang, og jeg havde lige set dem viste for første gang.i løbet af demo - jeg havde bemærket, at det ville være let for en bruger, at finde rundt i de fleste af de former for politik, der kunne skabes, og jeg spurgte, om prisen, hvad god software, begrænsning af politikker, hvis de var så nem at omgå.jeg fik at vide, at software begrænsning politikker er i deres første generation form, og at de ville få det bedre med tiden.jeg fik at vide, at selv om brugerne kunne omgå nogle af de politikker, som brugerne ikke ville være i stand til at gøre det ved et uheld.de ville have til at udføre bevidste handlinger for at undgå politikker, og på det punkt kan du bringe dem for at krænke deres selskabs sikkerhedspolitik.,, jeg må sige, at det svar, jeg gav på mit spørgsmål ville ikke få mig til at have det bedre, men jeg accepterer, at software, begrænsning af politikker helt nye, og gik ud fra, at de vil blive væsentligt forbedret i den næste version af windows.til min skuffelse, microsoft kun foretaget mindre ændringer af begrænsning politikker i vinduerne vista og windows server - 2008.de har tilføjet en ny type regel kaldes netværk zone regler, og indførte en ny sikkerhed kaldt grundlæggende bruger, men det var temmelig meget af omfanget af de ændringer, den gode nyhed er, at microsoft windows 7, endelig har ændret software begrænsning politikker.denne nye fase element er også blevet omdøbt til applocker.forvent ikke applocker skal være så omfattende som tredjepart desktop - løsninger, men det er lidt bedre end software, begrænsning af politikker.,, software begrænsning politik mangler, før du kan værdsætte applocker, du er nødt til at forstå, hvad det handlede om software begrænsning politikker, som har gjort dem så frygtelig ineffektive.desuden, applocker støtter fortsat de samme typer regler som software begrænsning politik, så tror jeg, at det er fornuftigt at bruge resten af denne artikel giver dig en hurtig lynkursus i software begrænsning regler.,, software begrænsning politik består af forskellige typer af regler.du kan skabe en attest, regler, hash regler, vej regler, internet - zone regler og netværk zone regler.,, certifikat regler, certifikat regler er sandsynligvis den mest sikre af de til rådighed stående regel typer.de giver dig mulighed for at tillade eller forbyde ansøgninger enten på grundlag af anvendelsen er digital signatur.problemet med denne type regel er, at når software begrænsning politikker, først blev indført med vinduer xp, næsten ingen skrev deres kode.selv i dag, vil du finde software sælgere, som ikke lægger en digital underskrift, at deres ansøgninger. et andet problem med certifikat regler er, at de har for stor en anvendelsesområde.hvis jeg vælger at lade ansøgninger, der er blevet undertegnet af microsoft, så alle microsoft ansøgninger vil være tilladt, medmindre jeg skabe et særskilt regel med en højere prioritet, der blokerer en bestemt uønsket microsoft anvendelse.,, hash regler, den anden type regel, at software begrænsning politikker støtte er en hash - regel.det er tanken, at vinduer kan skabe en matematisk hash i eksekverbar filer, og brug det hash til entydigt at identificere anvendelse.jeg må indrømme, at hash regler var en god idé på det tidspunkt, hvor de blev indført, men i dag er det upraktisk.enhver, der er ansvarlig for at matche forvaltning inden for en organisation, ved, at vi bliver bombarderet med plastre med en alarmerende hastighed.når som helst du lappe en ansøgning, hash - ændringer for alle sager, som er blevet erstattet, at tidligere eksisterende hash bestemmelser forældede.,, vej regler, vej regler er en af de svagere typer regler.de tillader eller blokere de applikationer, der er baseret på vej, hvor ansøgningen er blevet installeret.dette kan være en fil system vej eller et register vej.problemet med denne type regel er, at hvis en forbruger har tilstrækkelige rettigheder til at installere en ansøgning, så de også har tilstrækkelige rettigheder til at flytte denne ansøgning til et sted, der ikke vil blive påvirket af sti regler.,, internet - zone regler, internet - zone regler er klassiske eksempler på en god idé det var dårligt gennemføres.den grundlæggende idé bag internet - zone regler var at holde brugerne fra at downloade og installere ansøgninger fra internettet under hensyntagen til internettet zone, at lokaliteten, at sagen blev downloadet kom fra... der er nogle problemer med det, til at starte med, internet - zone regler kun gælder for msi filer (windows - installatør kolli).et andet problem er, at internettet zone regler kun anvendelse på det tidspunkt, hvor filen er overført.det betyder, at hvis en bruger downloade en zip - fil, der indeholder en ansøgning, så en internet - zone regel vil ikke forhindre, at anvendelsen af installeres, net - zone regler, net - zone regler svarer til internet - zone regler, men snarere end at undersøge internettet zone, at en fil, der hentes fra de undersøge netværk, hvor filen eksisterer i øjeblikket.for eksempel, de kunne skabe en politik, som kun gør det muligt for brugerne til at køre applikationer, der er monteret på det lokale computer.det store problem med denne type bestemmelse er det, før det kan være involveret, den pågældende ansøgning skal være et sted på deres net.,, kernen i problemet, og jeg har talt om nogle af manglerne ved de forskellige typer af regler, men problemets kerne er, at software er designet til at blokere for begrænsning af politikker for forskellige typer af ansøgninger.grunden til, at det er et problem, fordi der er et uendeligt antal ansøgninger, der ikke er godkendt til anvendelse i dit netværk, men et begrænset antal ansøgninger, som er tilladt.det er lettere at tillade en række ansøgninger, end det er at forsøge at blokere en lang række ukendte ansøgninger.heldigvis applocker giver denne kapacitet gennem anvendelse af whitelisting.jeg vil præsentere dig for denne og andre nye elementer i del 2.,, konklusion i denne artikel, jeg har forklaret, at software begrænsning politikker har tendens til at være en ideel løsning for kontrol af ansøgninger om netværk desktop - pc 'er.i del 2 i denne serie, begynder jeg at forklare, hvordan applocker på disse mangler,.,,,,,