下载地址 ftp://ftp.microsoft.com/reskit/win2000
		

				1. Appsec.exe （Application Security）
		

				Appsec.exe是一个基于GUI的应用程序，它允许管理员在一个多用户环境下限制普通用户访问一组网络上经预订的应用程序。启用这种应用程序安全性，将会导致系统拒绝普通用户执行或使用一个未经许可的应用程序。大家看这是不是一个很有用的工具呢？对某些特定的程序进行限制以后，可以减少一些Hacker入侵的可能，下面我们继续讨论
		

				对于2000来说一个显著的特点就是引入了GPO（Group Policy）这种东西，实际上就是一个界面化了的注册表编辑器，但是因为GPO的存在2000大大提高了他的安全性。一般来说，我们可以通过配置GPO从启动菜单和桌面上隐藏一个应用程序，但是不能禁止用户用其它手段访问它，Appsec增加了这种安全性，可以禁止用户执行应用程序甚至是从命令行模式或者使用其他的应用程序。Microsoft的建议是和GPO一起使用，放在Terminal Server上运行或者说是在应用程序运行的机器上使用。
		

				Appsec对于应用程序的限制还算严格，除了应用程序的名称以外还要包括该应用程序的全路径，只有二者都附和才能够运行。
		

				下面提几点注意：
		

				a. 只有管理员或管理员组的成员可以运行所有程序，用户（包括PowerUser组）只能运行列表中的应用程序。
		

				b. Appsec第一次启用时，Terminal Server的会话必须中断，否则Appsec将不能在本次会话中启用。
		

				c. 实际上Appsec只能限制调用CreateProcess方法的应用程序，不能限制使用NTCreateProcess方法的程序，但是这种程序非常的少见。
		

				d. Appsec只能限制32位的程序，但是在默认情况下，一旦启用appsec任何对16位程序的访问都是禁止的，但是可以添加ntvdm.exe来使16位程序可以被访问。
		

				e. 我想这个也是Appsec最大的缺点，Appsec并不对程序本身进行检查，也就是所如果将该有效程序进行替换的话，Appsec不会发现。所以说我们必须禁止用户替换和重命名应用程序，这可以用Security Template来做
		

				f. 还有Appsec只可限制可执行文件，不可以是DLLs。
		

				g. Appsec的使用是对于计算机的，也就是说一经启用使用本机的用户都要受到限制。
		

				另外，应该要提到的一点是，按照Microsoft的要求，Appsec的列表中至少应该有：
		

				\Wtsrv\explorer.exe
		

				\Wtsrv\system32\cmd.exe
		

				\Wtsrv\system32\net.exe
		

				\Wtsrv\system32\regini.exe
		

				\Wtsrv\system32\subst.exe
		

				\Wtsrv\system32\systray.exe
		

				\Wtsrv\system32\xcopy.exe
		

				这么几项。
		

				当然啦！你去掉也是可以的，但是会造成用户难以正常使用。嗯，以我个人的建议，如果你想防止Hacker入侵去掉net.exe会有意想不到的收获，呵呵！cmd.exe也是不错的选择，如果不想管理员以外的任何人访问就统统去掉就好，后果你们试试就知道了。
		

				p.s. 这个程序所需要的文件Appsec.exe（这个倒是在），Appsec.hlp（这个也在），但是Appsec.dll，
		

				psec.cnt，Instappsec.exe并没有包括在Resource Kit里面，要去网站上自己下载！！这简直是搞笑嘛！也
		

				只有Microsoft干得出来。你可以在这个地方下载这个hotfix:
		

				http://download.microsoft.com/download/win2000 ... 0/NT5/EN-US/appsec_hot