Dokumentieren der Gruppenrichtlinienstruktur und AppLocker-Regelerzwingung
In diesem Planungsthema wird beschrieben, was Sie für das Eingreifen, Ermitteln und Aufzeichnen in Ihren Anwendungssteuerungsrichtlinien benötigen, wenn Sie AppLocker verwenden.
Aufzeichnen der Ergebnisse
Befolgen Sie zum Abschließen des AppLocker-Planungsdokuments zunächst die folgenden Schritte:
Erstellen einer Liste der für die einzelnen Unternehmensgruppen bereitgestellten Apps
Ermitteln der Gruppenrichtlinienstruktur und Regelerzwingung
Nachdem Sie ermittelt haben, wie Sie Ihre Gruppenrichtlinienobjekte (Group Policy Objects, GPOs) strukturieren, um AppLocker-Richtlinien anzuwenden, sollten Sie Ihre Ergebnisse aufzeichnen. Sie können die folgende Tabelle verwenden, um zu ermitteln, wie viele GPOs erstellt (oder bearbeitet) werden müssen und mit welchen Objekten sie verknüpft sind. Wenn Sie auswählen, benutzerdefinierte Regeln zu erstellen, um das Ausführen von Systemdateien zu erlauben, beachten Sie hierzu die allgemeine Regelkonfiguration in der Spalte Standardregel verwenden oder neue Regelbedingung definieren.
In der folgenden Tabelle sind die Beispieldaten enthalten, die gesammelt wurden, als Sie Ihre Erzwingungseinstellungen und die GPO-Struktur für Ihre AppLocker-Richtlinien bestimmt haben.
| Unternehmensgruppe | Organisationseinheit | AppLocker implementieren? | Apps | Installationspfad | Standardregel verwenden oder neue Regelbedingung definieren | Zulassen oder ablehnen | GPO-Name |
|---|---|---|---|---|---|---|---|
Bank Tellers |
Teller-East und Teller-West |
Ja |
Teller-Software |
C:\Programme\Woodgrove\Teller.exe |
Datei ist signiert; Herausgeberbedingung erstellen |
Zulassen |
Tellers-AppLockerTellerRules |
Windows-Dateien |
C:\Windows |
Pfadausnahme von Standardregel erstellen, um „\Windows\Temp“ auszuschließen |
Zulassen |
||||
Human Resources |
HR-All |
Ja |
Check Payout |
C:\Programme\Woodgrove\HR\Checkcut.exe |
Datei ist signiert; Herausgeberbedingung erstellen |
Zulassen |
HR-AppLockerHRRules |
Time Sheet Organizer |
C:\Programme\Woodgrove\HR\Timesheet.exe |
Datei ist nicht signiert; Dateihashbedingung erstellen |
Zulassen |
||||
Internet Explorer 7 |
C:\Programme\Internet Explorer\ |
Datei ist signiert; Herausgeberbedingung erstellen |
Verweigern |
||||
Windows-Dateien |
C:\Windows |
Standardregel für den Windows-Pfad verwenden |
Zulassen |
Nächste Schritte
Nachdem Sie die Gruppenrichtlinienstruktur und die Regelerzwingungsstrategie für die Apps jeder Unternehmensgruppe bestimmt haben, verbleiben die folgenden Aufgaben: