在由两部分组成的技术小贴士的第一部分《如何用Windows 7的AppLocker创建应用白名单》，我们介绍了Windows 7的AppLocker中应用白名单的特性，同时介绍了如何定义AppLocker规则。现在，我们将介绍如何使AppLocker规则创建的工作自动化，以及在你启动AppLocker后如何运用这些规则。

　　AppLocker规则创建的自动化

　　当定义Windows XP/Vista的软件限制策略（Software Restriction Policies，简称SRP）时，管理员们常常需要孤军奋战。而在AppLocker中，微软加入了一些向导（wizards）来加速规则创建的进程。

　　为了帮助你迈出第一步，名为create-default的规则向导会建立三条AppLocker规则：所有用户只能在Windows目录和Program Files目录下运行程序，管理员可以在任何路径下运行程序。这些简单的规则还未真正触及AppLocker的精华；它们只是建立了一个沙箱供学习AppLocker用，而不会使你（管理员）感到无从入手。

　　为了使你能够真正进入AppLocker的世界，rule-creation向导会扫描整个PC以搜索所有的程序（可执行文件，安装文件和脚本文件），而后形成一个完整的AppLocker规则集。重要的是，这个规则集合最大化了program-rule的使用，只是对于没有签名的程序才回归到hash规则。

　　在全面运用这些预设的规则之前，你有机会检查并编辑它们 – 比如，添加例外或者允许来自于网络共享分区的新程序安装。这个向导加速了规则的创建，但是通常必须在受控的某台PC上运行（你的Windows Server可能没有正确或者完整的索引程序集合）。

　　AppLocker的易用性

　　针对AppLocker默认的禁止其他任何程序（规则允许之外）运行的机制，让我们在Windows 7台式机上用本地安全策略插件来体验一下AppLocker。在你开始之前，为了在发生错误时能进行重启，必须把AppID服务设置为手动启动方式。以一些非常宽泛的允许规则开始，逐渐加入具体的禁止规则以感受AppLocker的工作方式 – 包括对白名单来说很普遍的意外lock-me-out错误。你还可以把AppLocker运行在审计（audit-only）模式下，从而在主动变更规则以允许或禁止程序时，能够进行相应的事件记录。

　　大企业在应用AppLocker时肯定会相当痛苦，因为其白名单组成复杂，比如数以千计的用户和数以百计的组，还有由于为了控制种类繁多的企业级应用而导致名单的不断变动。但是中型企业会发现AppLocker使用非常方便高效 – 能使付出的努力收到相应的回报。通过向导对每台PC进行详尽的登记，以及针对当前所安装应用而进行的对规则的精细调整，公司内小型的办公室可以处于本地安全策略的完全控制之下。大部分的中型企业会倾向于用集中定义和维护的组策略对象（GPO）来部署AppLocker。