Applocker与软件限制策略

1. 实现目的是一样的，均可帮助锁定系统防止未经授权程序运行。但SRP只实现了第一步，存在缺陷，即难以管理，并且无法应用于特定的用户或组，所有用户都会受到SRP规则影响。APPLOCKER解决上述问题，因而取代SRP。

那么，Applocker的工作原理是怎样的呢：

AppID和SRP服务共存于同一个库（AppIdSvc.dll）中，并通过一个SvcHost进程运行。该服务请求了注册表变动通知功能，借此监视注册表键值的改动，注册表键值可由GPO或本ID安全策略MMC管理单元中的AppLocker界面写入。

在检测到变化后，AppID服务会触发一个用户模式任务（AppIDPolicyConverter.exe），该任务将读取（使用XML描述的）新规则，并将其转换为二进制格式的ACE和SDDL字符串，这样才能被用户模式和内核模式的AppID以及Applocker组件所理解。该任务会将转换后的规则存储在c:windowssystem32applocker文件夹内，其文件后缀为.applocker。该文件只能由system，administrators和local service写入，对通过身份验证的其他用户是只读的。用户模式和内核模式的AppID组件会直接从注册表读取转后的规则。

另外AppID服务还会监视本地计算机的受信任根证书存储，并会通过一个用户模式的任务（AppIdCertStoreCheck.exe）验证这些证书，验证工作每天至少进行一次，或在证书存储出现变化后也会进行验证。AppID内核模式驱动程序（%SystemRoot%System32driversAppId.sys）可以通过APPIP_POLICY_CHANGED这个DeviceIoControl请求接到AppID服务发来的有关规则出现变化的通知

其中AppID服务使用LocalService账户运行，因此可以访问系统中的受信任根证书存储区域，也可以借助它来进行证书验证。AppID服务则负责验证发行商的证书、将新证书加入缓存，以及检测AppLocker规则的更新并通知AppID驱动程序。

其中AppID驱动程序承担了Applocker的大部分功能，并依赖与AppID服务的通信（通过DeviceIoControl请求通信），因此其设备对象会受到ACL的保护，仅允许NT SERVICEAppIDSvc、LOCAL SERVICE和BUILTINAdministrators组访问。因而该驱动程序无法被恶意软件仿造。

当AppID驱动程序首先加载后，它会调用PsSetCreateProcessNotifyRoutineEx请求一个进程创建回调。当该通知例程被调用后，它会获得一个PPS_CREATE_NOTIFY_INFO结构（所创建进程的描述）。之后将已识别的AppID属性写入进程的访问令牌，接下来它会调用未文档化的SeSrpAccessCheck例程，由这个例程检查进程令牌和条件式ACE的AppLocker规则，进而确定进程是否允许运行。如果进程不允许运行，AppID驱动程序会将STATUS_ACCESS_DISABLED_BY_POLICY_OTHER写入PPS_CREATE_NOTIFY_INFO结构的Status字段，这样即可导致进程创建操作被取消，并将设置进程的最终完成状态。对于DLL，其限制方式为：映像加载器在将DLL载入进程时向AppID驱动程序发送DeviceIoControl请求。随后由AppID驱动程序针对AppLocker条件式ACE检查该DLL的标识。（对所要加载的每个DLL进行这样的检查会消耗大量时间，甚至会被最终用户察觉，因此DLL规则通常是禁用的。）