一、这第一步非常重要，它决定了你的AppLocker是否能生效，计算机上右键→管理→服务，找到Application Identity服务，设为自动启动；

二、执行“开始”→ “运行”，输入gpedit.msc打开组策略编辑器。在左侧的窗格中依次定位到“计算机配置” →“Windows 设置”→“安全设置”→“应用程序控制”，可以看到AppLocker组策略配置项。

三、在“可执行程序规则”、“安装程序规则”、“脚本规则”上分别右键，创建默认规则，即可。

五、第一次使用AppLocker，设置完以上后，必须重启机器（注销不行），才能使策略生效。

六、大功告成，用IE上任意挂马网站，双击任意病毒吧，只要不要把病毒放在以上所允许过的路径就可以。

七、疑问：网马复制自已到系统目录？没有可能。在UAC开启的状态下，当前用户及其所运行的程序，不能读取HIPS中所谓的AD行为中的底层磁盘，不能除USER外的注册表项，不可写除USER目录外的系统盘，可以说，UAC就是一个规则严密的HIPS。

八、疑问：我有一些不常用的绿色软件比如注册机，MD5验证程序等，不是放在程序安装目录，我也没有在AppLocker中创建过允许规则，那我想用它时会不会很麻烦？答案是：一点也不麻烦，右键以管理员运行就可以了。

可执行文件及脚本；

2、提权后的管理员可以运行任何位置的程序。

我可以实机运行一些病毒样本吗？

答：完全可以，只需像下面这样设置，病毒就只能修改用户临时目录USER了。

非系统盘，右键，属性，安全，编辑，把Authenticated Users用户组的修改、写入、完全控制、特殊权限等去掉勾，只保留读取和执行。

这样，你可以运行任意一个不需要提权（UAC没有提示）的毒，但是毒无法破坏系统，也无法删改你的重要资料。

注意，不要随便对陌生程序提权，除非你完全确信这个软件安全。

我用迅雷下载文件到D盘，但无法保存，怎么办？

答：没关系，新建一个目录专门用来下载东西，该目录给予Authenticated Users修改、写入、完全控制就可以了。

记得下载完转移到安全目录。

其他问题同理，比如有的人把电驴的配置文件放到电驴安装目录下，电驴需要写自身目录，怎么办？

请对电驴的配置目录config及电驴安装根目录前几个DAT及INI文件允许Authenticated Users修改、写入、完全控制就可以了。

我复制一个文件到D盘是不是也无法复制？

答：可以复制。不过复制前UAC会有一个提示，允许，确定，即可。

也许有人问：火狐能够进行升级吗？它不是不能修改自身目录？答案是可以升级，因为在升级前，UAC会提示，允许，确定，即可。

如果你不经常安装软件，一个月只装一两个软件，你还可以：

先安装好你的常用软件。

开始菜单，运行，输入：gpedit.msc,回车。

展开：本地计算机策略——计算机配置——WINDOWS设置——安全设置——本地策略——安全选项，在右面找到：用户帐户控制（只提升签名并验证的可执行文件），选中“已启用”（默认是已禁用），应用，确定，重启或注销。

这样：你能正常运行你的常用软件，就算是运行了一个提权的病毒也没有事了，因为它根本提不了权。

请问配置策略后为什么规则不生效？

答：applocker需要系统是旗舰版或企业版，专业版不支持，同时Application Identity服务要开启。