Planen der AppLocker-Richtlinienverwaltung
In diesem Artikel werden die Entscheidungen beschrieben, die Sie treffen müssen, um die Prozesse zum Verwalten und Verwalten von AppLocker-Richtlinien einzurichten.
Richtlinienverwaltung
Bevor Sie mit dem Bereitstellungsprozess beginnen, sollten Sie erwägen, Ihre AppLocker-Regeln im Laufe der Zeit zu verwalten. Die Entwicklung eines Prozesses zum Verwalten von AppLocker-Regeln trägt dazu bei, dass AppLocker weiterhin effektiv steuert, wie Anwendungen in Ihrem organization ausgeführt werden dürfen.
Anwendungs- und Benutzersupportrichtlinie
Die Entwicklung eines Prozesses zum Verwalten von AppLocker-Regeln trägt dazu bei, dass AppLocker weiterhin effektiv steuert, wie Anwendungen in Ihrem organization ausgeführt werden dürfen. Zu den Überlegungen gehören:
- Welche Art von Endbenutzerunterstützung wird für blockierte Anwendungen bereitgestellt?
- Wie werden der Richtlinie neue Regeln hinzugefügt?
- Wie werden vorhandene Regeln aktualisiert?
- Werden Ereignisse zur Überprüfung weitergeleitet?
Helpdesk-Support
Wenn Ihr organization über eine eingerichtete Helpdesk-Supportabteilung verfügt, sollten Sie beim Bereitstellen von AppLocker-Richtlinien die folgenden Punkte berücksichtigen:
- Welche Dokumentation benötigt Ihre Supportabteilung für neue Richtlinienbereitstellungen?
- Welche kritischen Prozesse in den einzelnen Unternehmensgruppen sind von Anwendungssteuerungsrichtlinien betroffen, und wie können sie sich auf die Workload Ihrer Supportabteilung auswirken?
- Wer sind die Kontakte in der Supportabteilung?
- Wie werden Probleme mit der Anwendungssteuerung für den Endbenutzer behoben?
Endbenutzersupport
Da AppLocker die Ausführung nicht genehmigter Apps blockiert, ist es wichtig, dass Ihr organization sorgfältig plant, wie Endbenutzersupport bereitgestellt werden kann. Zu den Überlegungen gehören:
- Möchten Sie eine Intranetwebsite als Support für Benutzer verwenden, die auf blockierte Apps stoßen?
- Wie möchten Sie Ausnahmen von der Richtlinie unterstützen?
Verwenden einer Intranetwebsite
AppLocker kann so konfiguriert werden, dass die Standardblockmeldung angezeigt wird, jedoch mit einer benutzerdefinierten URL. Sie können diese URL verwenden, um Benutzer auf eine Supportwebsite umzuleiten, die Informationen darüber enthält, warum der Benutzer den Fehler erhalten hat und welche Anwendungen zulässig sind. Wenn Sie keine benutzerdefinierte URL für die Nachricht anzeigen, wenn eine App blockiert ist, wird die Standard-URL verwendet.
Die folgende Abbildung zeigt ein Beispiel für die Fehlermeldung für eine blockierte App. Sie können die Richtlinieneinstellung Supportweblinks festlegen verwenden, um den Link Weitere Informationen anzupassen.
Schritte zum Anzeigen einer benutzerdefinierten URL für die Nachricht finden Sie unter Anzeigen einer benutzerdefinierten URL-Nachricht, wenn Benutzer versuchen, eine blockierte App auszuführen.
AppLocker-Ereignisverwaltung
Jedes Mal, wenn ein Prozess ausgeführt werden soll, erstellt AppLocker ein Ereignis im AppLocker-Ereignisprotokoll. Das Ereignis enthält Informationen über die Datei, die ausgeführt werden soll, den Benutzer, der sie initiiert hat, und die AppLocker-Regel-GUID, die die Datei blockiert oder zugelassen hat. Das AppLocker-Ereignisprotokoll befindet sich im folgenden Pfad: Anwendungs- und Dienstprotokolle\Microsoft\Windows\AppLocker. Das AppLocker-Protokoll enthält drei Protokolle:
- EXE und DLL. Enthält Ereignisse für alle Dateien, die von den ausführbaren Und DLL-Regelsammlungen (.exe, .com, .dll und OCX) betroffen sind.
- MSI und Skript. Enthält Ereignisse für alle Dateien, die von windows Installer- und Skriptregelsammlungen betroffen sind (.msi, MSP, .ps1, .bat, .cmd, VBS und .js).
- Verpackte App-Bereitstellung oder gepackte App-Ausführung, enthält Ereignisse für alle universellen Windows-Apps, die von der gepackten App und der gepackten App-Installer-Regelsammlung (.appx) betroffen sind.
Das Sammeln dieser Ereignisse an einem zentralen Ort kann Ihnen helfen, Ihre AppLocker-Richtlinie zu verwalten und Probleme mit der Regelkonfiguration zu beheben.
Richtlinienwartung
Wenn Apps bereitgestellt, aktualisiert oder eingestellt werden, müssen Sie Ihre Richtlinienregeln auf dem neuesten Stand halten.
Sie können eine AppLocker-Richtlinie bearbeiten, indem Sie Regeln hinzufügen, ändern oder entfernen. Sie können jedoch keine Version für die Richtlinie angeben, indem Sie weitere Regeln importieren. Um die Versionskontrolle beim Ändern einer AppLocker-Richtlinie sicherzustellen, verwenden Sie Gruppenrichtlinie Verwaltungssoftware, mit der Sie Versionen von Gruppenrichtlinie Objects (GPOs) erstellen können. Ein Beispiel für diese Art von Software ist das Feature Advanced Gruppenrichtlinie Management aus dem Microsoft Desktop Optimization Pack. Weitere Informationen finden Sie unter Advanced Gruppenrichtlinie Management Overview (Übersicht über die erweiterte Gruppenrichtlinie-Verwaltung).
Wichtig
Sie sollten eine AppLocker-Regelsammlung nicht bearbeiten, während sie in Gruppenrichtlinie erzwungen wird. Da AppLocker steuert, welche Dateien ausgeführt werden dürfen, kann das Ändern einer Liverichtlinie zu unerwartetem Verhalten führen.
Neue Version einer unterstützten App
Wenn eine neue Version einer App im organization bereitgestellt wird, müssen Sie bestimmen, ob die vorherige Version dieser App weiterhin unterstützt werden soll. Um die neue Version hinzuzufügen, müssen Sie möglicherweise nur eine neue Regel für jede Datei erstellen, die der App zugeordnet ist. Wenn Sie Herausgeberbedingungen verwenden und die Version nicht angegeben ist, können die vorhandenen Regeln ausreichen, um die Ausführung der aktualisierten Datei zuzulassen. Sie müssen jedoch nach Dateinamen suchen, die sich ändern oder neue Dateien hinzugefügt wurden. Wenn ja, müssen Sie die vorhandenen Regeln ändern oder neue Regeln erstellen. Möglicherweise müssen Sie herausgeberbasierte Regeln für Dateien aktualisieren, deren digitale Signatur sich ändert.
Um festzustellen, ob eine Datei während eines App-Updates geändert wurde, überprüfen Sie die Releasedetails des Herausgebers, die mit dem Updatepaket bereitgestellt werden. Sie können auch die Webseite des Herausgebers überprüfen, um diese Informationen abzurufen. Jede Datei kann auch überprüft werden, um die Version zu bestimmen.
Für Dateien, die mit Dateihashbedingungen zulässig oder verweigert werden, müssen Sie den neuen Dateihash abrufen und sicherstellen, dass Ihre Regeln diesen neuen Hash enthalten.
Bei Dateien mit Pfadbedingungen sollten Sie überprüfen, ob der Installationspfad identisch ist. Wenn sich der Pfad geändert hat, müssen Sie eine Regel für den neuen Pfad hinzufügen, bevor Sie die neue Version der App installieren.
Kürzlich bereitgestellte App
Um eine neue App zu unterstützen, müssen Sie der vorhandenen AppLocker-Richtlinie eine oder mehrere Regeln hinzufügen.
App wird nicht mehr unterstützt
Wenn Ihr organization eine Anwendung, der AppLocker-Regeln zugeordnet sind, nicht mehr unterstützt, können Sie die Regeln löschen, um die App zu blockieren.
App ist blockiert, sollte aber zugelassen werden
Eine Datei kann aus drei Gründen blockiert werden:
- Der häufigste Grund ist, dass keine Regel vorhanden ist, um die Ausführung der App zuzulassen.
- Möglicherweise gibt es eine vorhandene Regel, die für die Datei erstellt wurde, die zu restriktiv ist.
- Eine Ablehnungsregel, die nicht überschrieben werden kann, blockiert die Datei explizit.
Bevor Sie die Regelsammlung bearbeiten, bestimmen Sie zunächst, welche Regel die Ausführung der Datei verhindert. Sie können das Problem mithilfe des Cmdlets Test-AppLockerPolicy Windows PowerShell beheben. Weitere Informationen zur Problembehandlung einer AppLocker-Richtlinie finden Sie unter Testen und Aktualisieren einer AppLocker-Richtlinie.
Aufzeichnen Ihrer Ergebnisse
Um dieses AppLocker-Planungsdokument abzuschließen, sollten Sie zunächst die folgenden Schritte ausführen:
- Ermitteln Ihrer Anwendungssteuerungsziele
- Erstellen einer Liste der für die einzelnen Unternehmensgruppen bereitgestellten Apps
- Auswählen der zu erstellenden Regeltypen
- Ermitteln der Gruppenrichtlinienstruktur und Regelerzwingung
- Planen der AppLocker-Richtlinienverwaltung
Die drei wichtigsten Bereiche, die für die AppLocker-Richtlinienverwaltung bestimmt werden müssen, sind:
Unterstützungsrichtlinie
Dokumentieren Sie Ihren Prozess für die Behandlung von Anrufen von Benutzern, die versucht haben, eine blockierte App auszuführen, und stellen Sie sicher, dass die Supportmitarbeiter die empfohlenen Schritte zur Problembehandlung und Eskalationspunkte für Ihre Richtlinie kennen.
Ereignisverarbeitung
Dokumentieren Sie, wo Ereignisse gesammelt werden, wie oft sie archiviert werden und wie die Ereignisse zur Analyse verarbeitet werden.
Richtlinienwartung
Detaillierte Informationen zu Ihren Richtlinienwartungs- und Lebenszyklusplänen.
Die folgende Tabelle enthält die hinzugefügten Beispieldaten, die beim Bestimmen der Verwaltung und Verwaltung von AppLocker-Richtlinien gesammelt wurden.
| Unternehmensgruppe | Organisationseinheit | Implementieren Sie AppLocker? | Apps | Installationspfad | Standardregel verwenden oder neue Regelbedingung definieren | Zulassen oder Verweigern | GPO-Name | Unterstützungsrichtlinie |
|---|---|---|---|---|---|---|---|---|
| Bankerzähler | Teller-East und Teller-West | Ja | Teller Software | C:\Program Files\Woodgrove\Teller.exe | Datei ist signiert; Erstellen einer Herausgeberbedingung | Zulassen | Tellers-AppLockerTellerRules | Webhilfe |
| Windows-Dateien | C:\Windows | Erstellen einer Pfadausnahme zur Standardregel zum Ausschließen von \Windows\Temp | Zulassen | Helpdesk | ||||
| Personalabteilung | HR-All | Ja | Auszahlung überprüfen | C:\Program Files\Woodgrove\HR\Checkcut.exe | Datei ist signiert; Erstellen einer Herausgeberbedingung | Zulassen | HR-AppLockerHRRules | Webhilfe |
| Arbeitszeittabellenplaner | C:\Program Files\Woodgrove\HR\Timesheet.exe | Die Datei ist nicht signiert. Erstellen einer Dateihashbedingung | Zulassen | Webhilfe | ||||
| Internet Explorer 7 | C:\Programme\Internet Explorer | Datei ist signiert; Erstellen einer Herausgeberbedingung | Verweigern | Webhilfe | ||||
| Windows-Dateien | C:\Windows | Verwenden der Standardregel für den Windows-Pfad | Zulassen | Helpdesk |
Die folgenden beiden Tabellen veranschaulichen Beispiele für die Dokumentation von Überlegungen zum Verwalten und Verwalten von AppLocker-Richtlinien.
Ereignisverarbeitungsrichtlinie
Eine Ermittlungsmethode für die App-Nutzung besteht darin, den AppLocker-Erzwingungsmodus auf Nur Überwachen festzulegen. Dieser Erzwingungsmodus schreibt Ereignisse in die AppLocker-Protokolle, die wie andere Windows-Protokolle verwaltet und analysiert werden können. Nachdem Apps identifiziert wurden, können Sie mit der Entwicklung von Richtlinien für die Verarbeitung und den Zugriff auf AppLocker-Ereignisse beginnen.
Die folgende Tabelle ist ein Beispiel dafür, was berücksichtigt und erfasst werden sollte.
| Unternehmensgruppe | Speicherort der AppLocker-Ereignissammlung | Archivierungsrichtlinie | Analysiert? | Sicherheitsrichtlinie |
|---|---|---|---|---|
| Bankerzähler | Weitergeleitet an: AppLocker-Ereignisrepository auf srvBT093 | Standard | Keine | Standard |
| Personalabteilung | NICHT WEITERLEITEN. srvHR004 | 60 Monate | Ja, Zusammenfassungsberichte monatlich an Manager | Standard |
Richtlinienwartungsrichtlinie
Beginnen Sie mit der Dokumentation, wie Sie Ihre Anwendungssteuerungsrichtlinien aktualisieren möchten.
Die folgende Tabelle ist ein Beispiel dafür, was berücksichtigt und erfasst werden sollte.
| Unternehmensgruppe | Regelaktualisierungsrichtlinie | Richtlinie zur Außerbetriebnahme der Anwendung | Anwendungsversionsrichtlinie | Anwendungsbereitstellungsrichtlinie |
|---|---|---|---|---|
| Bankerzähler | Geplant: Monatliche bis geschäftsbüro-Selektierung Notfall: Anfordern über helpdesk |
Durch Geschäftsbüro-Selektierung 30-tägige Vorlaufzeit erforderlich |
Allgemeine Richtlinie: Beibehalten früherer Versionen für 12 Monate Auflisten von Richtlinien für jede Anwendung |
Koordiniert durch Geschäftsbüro 30-tägige Vorlaufzeit erforderlich |
| Personalabteilung | Geplant: Monatlich durch Hr-Selektierung Notfall: Anfordern über helpdesk |
Durch Hr-Selektierung 30-tägige Vorlaufzeit erforderlich |
Allgemeine Richtlinie: Frühere Versionen 60 Monate lang aufbewahren Auflisten von Richtlinien für jede Anwendung |
Koordiniert durch Personalwesen 30-tägige Vorlaufzeit erforderlich |