了解微软公司AppLoker产品的所有功能很难，但是在被用来锁定远程桌面服务中未经批准的应用时，AppLocker让人眼前一亮。

　　许多企业还没有实施Windows 7的应用程序安全特性，这不奇怪。因为即使是最小的网络都在每个桌面支持几十或者上百的应用。清点所有的应用并添加到AppLocker的白名单中是个大工程，该工程的绝对规模和成本可能远远超出了Windows 7应用安全特性工具带来的好处。

　　AppLocker自己的库存工具加剧了这种潜在的负面投资回报率。AppLoker会扫描个人电脑来收集应用特性并生成规则。但是完成涉及众多电脑的任务需要对Windows应用程序识别服务和事件日志重定向进行仔细编排。随之带来的问题是双重的：服务不会把数据分类汇总成直接可用的报告，实现事件日志转发远非简单的任务。

　　这并不是说AppLocker没有用处。一旦你拥有了一份应用程序清单，在应用和AppLocker策略之间建立映射是很容易的。当AppLocker完全起作用时，它创建“批准执行”环境，只允许被批准的可执行文件在目标计算机上运行。

　　正常运行的AppLocker基础架构在强化允许在网络上运行的软件列表方面赋予IT强大的力量。其它的任何应用，包括你不想管理的准合法、不合法和未经许可的应用，自动被拒绝执行。

　　因此尽管AppLocker的特性的确有帮助，但是一个很大的障碍就是配置AppLocker到完全运行的状态。不要让AppLocker这方面的限制掩饰其它的使用案例，尤其是远程桌面服务RDS。

　　AppLocker和RDS

　　如果你从未查看过AppLocker的组策略配置，在组策略编辑器中，定位到“计算机配置|策略|Windows 设置|安全设置|应用程序控制策略|AppLocker”，在那儿你会发现在四个位置可以进行配置设置。

　　根节点对可执行文件、Windows安装程序文件、脚本，乃至动态链接库（即使对DDLs规则可能影响系统性能有强烈警告）配置强制设定。每个分类能够被配置使强制生效或者简化审计用户执行次数。后面的选项仅仅监控用户的行为而没有真正地阻止它们。

　　右键单击三个子节点中的任一个——可执行规则，Windows安装程序规则或者脚本规则——弹出创建认可规则的选项列表。这正是AppLocker的扫描特性真正突出的地方。

　　对于许多管理员来说，在RDS服务器内部的应用程序设置相对稳定。我们不会经常在那些服务器上添加应用程序。即使我们添加应用，也仅仅是在周密的测试和配置管理之后。回想一下，AppLocker就是用来扫描单个电脑，将收集的应用特性存放到库存许可应用程序中。针对你的RDS 服务器运行扫描对于用户来说意味着记录你已经批准的应用。一旦扫描完成，只要从被授权的列表中移除那些应用你就能限制特定的应用和系统可执行文件（比如iexplorer.exe或者cmd.exe）。

　　对可执行文件进行扫描，从右键单击“可执行规则”开始，然后选择自动生成规则。在随后的向导中，选择你想扫描的驱动器以及文件夹。对于RDS 服务器来说，扫描整个驱动器确保捕获每个应用程序。向导的第二步定义你想创建的规则类型。文件哈希规则基于每个可执行文件的哈希值来允许或禁止它的执行，这种规则是有效的，但是当可执行文件由于补丁或者软件升级发生变化时变得无效。功能更强大的发布者规则询问可执行文件的数字签名，数字签名是一种大多数合法的软件供应商使用的用于验证他们软件的证书。

　　完整的系统扫描仅花费几分钟并且很快使整个应用程序列表允许或拒绝访问。这时候，你可以通过调整规则明确的限制你不想在你的RDS服务器上运行的应用。这个方法对Windows安装程序文件和脚本同样有效。

　　无论组策略在哪里被应用，所有这些功能被设计用来贯穿整个网络。然而，它更适合于像那些典型的被RDS 服务器享用的严格控制的环境。

　　因此，如果发现你的RDS发布的桌面由于用户运行未经批准的应用程序而泛滥成灾，考虑AppLocker的“批准执行”环境作为你的下一个锁定步骤。