在Windows 7操作系统中，AppLocker（应用程序控制策略）是一项强大的安全功能，它允许系统管理员通过组策略精确控制用户可以在计算机上运行哪些应用程序、安装程序、脚本和Windows Installer文件。合理配置AppLocker，结合对计算机系统服务的理解与管理，能有效提升系统安全性与稳定性。

一、AppLocker的核心功能与启用方法

AppLocker并非默认开启，需要手动启用并配置策略。其核心功能包括：

1. 可执行规则控制（.exe, .com）。
2. Windows安装程序规则控制（.msi, .msp）。
3. 脚本规则控制（.ps1, .bat, .cmd, .vbs, .js）。
4. 动态链接库规则控制（.dll, .ocx）。
5. 封装应用与智能应用规则控制（AppX包）。

启用步骤：

1. 点击“开始”菜单，在搜索框中输入“gpedit.msc”并回车，打开“本地组策略编辑器”。
2. 依次展开：“计算机配置” -> “Windows 设置” -> “安全设置” -> “应用程序控制策略” -> “AppLocker”。
3. 在右侧窗格中，可以看到上述五类规则。右键点击任意一类规则（如“可执行规则”），选择“创建默认规则”。这一步至关重要，它会创建允许“所有用户”运行“Program Files”和“Windows”文件夹下程序的基础允许规则，防止因配置不当导致系统无法正常使用。
4. 创建默认规则后，AppLocker引擎即被激活。你可以根据需要创建新的“拒绝”或“允许”规则来细化控制。

二、创建自定义AppLocker规则

以阻止某特定游戏程序为例：

1. 在“可执行规则”上右键，选择“创建新规则...”。
2. 在向导的“操作”页面，选择“拒绝”，并选择要应用的用户或用户组（如“Everyone”）。
3. 在“条件”页面，选择“发布者”（最精确，依赖数字签名）、“路径”或“文件哈希”。对于无签名的普通程序，常用“路径”条件，直接指定程序的.exe文件位置。
4. 后续步骤按提示完成即可。规则创建后，被限制的用户尝试运行该程序时，会看到“此程序被组策略阻止”的提示。

三、AppLocker与计算机系统服务的协同管理

计算机系统服务（Services）是在后台运行、支持系统各种功能的程序。AppLocker虽然不直接管理服务，但可以通过控制相关可执行文件（.exe或.dll）来间接影响服务的运行。

重要关联点：

1. 服务可执行文件路径：许多系统服务对应的.exe文件位于“C:\Windows\System32”或“C:\Windows”下。AppLocker的默认规则已经允许这些路径，确保了系统核心服务的正常运行。如果你创建了过于宽泛的拒绝规则，可能会意外阻止服务宿主进程（svchost.exe）或特定服务程序，导致服务启动失败。
2. 第三方服务：对于安装的第三方软件所注册的服务，其可执行文件通常位于“Program Files”目录下，同样受默认规则允许。若你需要阻止某第三方服务，除了在“服务”管理控制台（services.msc）中禁用该服务外，还可以通过AppLocker创建针对其可执行文件的拒绝规则，实现双重封锁。
3. 脚本与计划任务：系统常利用脚本（如VBS、PowerShell）和计划任务来执行维护工作，这些也受AppLocker中“脚本规则”控制。不当配置可能影响重要的系统维护任务。

四、最佳实践与故障排查

1. 先允许，后拒绝：始终先为系统关键路径（Windows, Program Files）创建默认的允许规则，再创建具体的拒绝规则。这是安全配置的基本原则。
2. 审核模式先行：在正式部署拒绝规则前，可先将规则集合配置为“审核模式”。这样规则不会真正阻止程序，但会在事件查看器（eventvwr.msc）的“应用程序和服务日志\Microsoft\Windows\AppLocker”中记录匹配事件。通过分析日志，可以确认规则效果，避免影响正常工作。
3. 规则导出与备份：配置好的AppLocker策略可以右键点击“AppLocker”节点，选择“导出策略”进行备份。重装系统或部署到其他计算机时，可“导入策略”快速应用。
4. 故障恢复：如果因AppLocker规则配置错误导致系统关键程序（甚至管理工具本身）无法运行，可以重启计算机进入“安全模式”。在安全模式下，AppLocker策略不会被加载，此时可以重新登录并打开组策略编辑器修正或清除错误规则。

在Windows 7中，AppLocker是构筑应用程序执行边界的利器，而计算机系统服务是维持系统运转的基石。将两者结合管理，在制定AppLocker规则时充分考虑对系统服务及关键进程的影响，遵循最小权限和测试先行的原则，方能在提升安全性的保障系统的稳定与可用性。