Sammeln von App-Nutzungsanforderungen
In diesem Artikel wird der Prozess zum Erfassen von App-Nutzungsanforderungen aus den einzelnen Geschäftsgruppen beschrieben, um Anwendungssteuerungsrichtlinien mithilfe von AppLocker zu implementieren.
Bestimmen der App-Nutzung
Bestimmen Sie für jede Geschäftsgruppe die folgenden Informationen:
- Die vollständige Liste der verwendeten Apps, einschließlich verschiedener Versionen einer App.
- Der vollständige Installationspfad der App.
- Der Herausgeber und die signierten status jeder App.
- Der Anforderungstyp, den die Geschäftsgruppen für jede App festlegen, z. B. unternehmenskritisch, geschäftsproduktivität, optional oder persönlich. Bei diesem Versuch kann es auch hilfreich sein, zu ermitteln, welche Apps von Ihrer IT-Abteilung oder von anderen Personen außerhalb Ihrer Kontrolle unterstützt oder nicht unterstützt werden.
Durchführen der App-Nutzungsbewertung
Möglicherweise haben Sie bereits eine Methode eingerichtet, um die App-Nutzung für jede Unternehmensgruppe zu verstehen. Sie müssen diese Informationen verwenden, um Ihre AppLocker-Regelsammlung zu erstellen. AppLocker enthält den Assistenten "Regeln automatisch generieren" und die Erzwingungskonfiguration " Nur überwachen ", um Sie bei der Planung und Erstellung Ihrer Regelsammlung zu unterstützen.
Methoden des Anwendungsinventurbestands
Mithilfe des Assistenten "Regeln automatisch generieren" werden schnell Regeln für die von Ihnen angegebenen Anwendungen erstellt. Der Assistent ist speziell für das Erstellen einer Regelsammlung konzipiert. Sie können das Snap-In Lokale Sicherheitsrichtlinie verwenden, um die Regeln anzuzeigen und zu bearbeiten. Diese Methode ist nützlich beim Erstellen von Regeln auf einem Referenzcomputer und beim Erstellen und Auswerten von AppLocker-Richtlinien in einer Testumgebung. Es ist jedoch erforderlich, dass auf die Dateien auf dem Referenzcomputer oder über ein Netzlaufwerk zugegriffen werden kann. Diese Anforderung kann mehr Arbeit beim Einrichten des Referenzcomputers und beim Festlegen einer Wartungsrichtlinie für diesen Computer bedeuten.
Mithilfe der Erzwingungsmethode Nur überwachen können Sie die Protokolle anzeigen, da sie Informationen zu jedem Prozess auf den Computern sammelt, auf denen das Gruppenrichtlinie Object (GPO) empfangen wird. Daher können Sie die möglichen Auswirkungen der Erzwingung auf Computer in einer Unternehmensgruppe auswerten. AppLocker enthält Windows PowerShell Cmdlets, mit denen Sie die Ereignisse aus dem Ereignisprotokoll analysieren können, und Cmdlets zum Erstellen von Regeln. Wenn Sie jedoch Gruppenrichtlinie für die Bereitstellung auf mehreren Computern verwenden, ist ein Mittel zum Sammeln von Ereignissen an einem zentralen Ort für die Verwaltbarkeit wichtig. Da AppLocker Informationen zu Dateien protokolliert, die Benutzer oder andere Prozesse auf einem Computer starten, könnten Sie einige Regeln anfangs nicht erstellen. Daher sollten Sie die Auswertung fortsetzen, bis Sie überprüfen können, ob auf alle erforderlichen Anwendungen, die ausgeführt werden dürfen, erfolgreich zugegriffen wird.
Tipp
Wenn Sie Application Verifier für eine benutzerdefinierte Anwendung mit aktivierten AppLocker-Richtlinien ausführen, kann dies die Ausführung der Anwendung verhindern. Sie sollten entweder Application Verifier oder AppLocker deaktivieren.
Sie können einen Bestand von gepackten Apps auf einem Gerät erstellen, indem Sie zwei Methoden verwenden: das Cmdlet Get-AppxPackage Windows PowerShell oder die AppLocker-Konsole.
In den folgenden Artikeln wird beschrieben, wie die einzelnen Methoden ausgeführt werden:
- Ausführen des Assistenten zum automatischen Generieren von Regeln
- Konfigurieren einer AppLocker-Richtlinie für reine Überwachungszwecke
Voraussetzungen für den Abschluss des Bestands
Identifizieren Sie die Geschäftsgruppe und jede Organisationseinheit (OE) innerhalb dieser Gruppe für Anwendungssteuerungsrichtlinien. Darüber hinaus sollten Sie ermitteln, ob AppLocker die am besten geeignete Lösung für diese Richtlinien ist. Informationen zu diesen Schritten finden Sie in den folgenden Artikeln:
- Grundlegendes zu AppLocker-Richtlinienentwurfsentscheidungen
- Ermitteln Ihrer Anwendungssteuerungsziele
Nächste Schritte
Identifizieren und entwickeln Sie die Liste der Apps. Notieren Sie sich den Namen der App, den Herausgeber und die Wichtigkeit der Anwendung. Notieren Sie sich den Installationspfad der Apps. Weitere Informationen finden Sie unter Dokumentieren Ihrer App-Liste.
Nachdem Sie die Liste der Apps erstellt haben, besteht der nächste Schritt darin, die Regeln zu identifizieren, die erstellt werden sollen, damit diese Apps ausgeführt werden können. Diese Informationen können der Tabelle unter Spalten mit der Bezeichnung hinzugefügt werden:
- Standardregel verwenden oder neue Regelbedingung definieren
- Zulassen oder Verweigern
- GPO-Name
Anleitungen finden Sie in den folgenden Artikeln: