Delen via


Plan voor AppLocker beleidsbeheer

 

Van toepassing op: Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8

In dit onderwerp voor beschrijft de beslissingen die u moet worden aangebracht in de processen voor het beheren en onderhouden van AppLocker-beleid maken.

Beleidsbeheer

Voordat u het implementatieproces, bekijk hoe de AppLocker-regels worden beheerd. Ontwikkeling van een proces voor het beheren van AppLocker regels helpt u zeker dat AppLocker blijft effectief bepalen hoe toepassingen kunnen worden uitgevoerd in uw organisatie.

Toepassings- en ondersteuningsbeleid

Ontwikkeling van een proces voor het beheren van AppLocker regels helpt u zeker dat AppLocker blijft effectief bepalen hoe toepassingen kunnen worden uitgevoerd in uw organisatie. Overwegingen omvatten:

  • Welk type ondersteuning voor de eindgebruiker is opgegeven voor geblokkeerde toepassingen?

  • Hoe worden nieuwe regels toegevoegd aan het beleid?

  • Hoe worden de bestaande regels bijgewerkt?

  • Gebeurtenissen doorgestuurd voor controle?

Ondersteuning voor helpdesk

Als uw organisatie een afdeling gevestigde help helpdesk-ondersteuning heeft, kunt u de volgende u bij het implementeren van AppLocker beleid:

  • Welke documentatie vereist de ondersteuningsafdeling voor nieuwe beleid implementaties?

  • Wat zijn de kritieke processen bezighoudt met elke groep beide in het werkproces en time-out die worden beïnvloed door toepassingsbeleid van het besturingselement en kan invloed op de belasting van de ondersteuningsafdeling?

  • Die zijn de contactpersonen in de ondersteuningsafdeling?

  • Hoe wordt de ondersteuningsafdeling oplossen van problemen met toepassingen besturingselement tussen de eindgebruiker en degenen die de AppLocker-regels onderhouden?

Ondersteuning voor de eindgebruiker

Omdat AppLocker niet-goedgekeurde toepassingen worden uitgevoerd verhindert, is het belangrijk dat uw organisatie zorgvuldig plannen bieden ondersteuning voor de eindgebruiker. Overwegingen omvatten:

  • Wilt u een intranetsite gebruiken als een eerste regel van ondersteuning voor gebruikers die u hebt geprobeerd een geblokkeerde toepassing uit te voeren?

  • Hoe wilt u ondersteuning voor uitzonderingen aan het beleid? Kunnen gebruikers een script voor tijdelijk toegang tot een geblokkeerde toepassing uitvoeren?

Met behulp van een intranetsite

AppLocker kan worden geconfigureerd om het standaardbericht weer te geven, maar met een aangepaste URL. U kunt deze URL gebruiken om gebruikers te leiden naar een ondersteuningssite dat informatie over waarom bevat de gebruiker de fout en welke toepassingen mogen ontvangen. Als u een aangepaste URL voor het bericht niet wordt weergegeven wanneer een toepassing wordt geblokkeerd, wordt de standaard-URL wordt gebruikt.

De volgende afbeelding ziet u een voorbeeld van het foutbericht voor een geblokkeerde toepassing. U kunt deeen koppeling ondersteuning ingesteldbeleidsinstelling om aan te passen demeer informatiekoppeling.

AppLocker blocked application error message

Foutbericht geblokkeerde toepassing

Voor stappen om een aangepaste URL voor het bericht weer te geven, Ziegeven een aangepaste URL wanneer gebruikers probeert een geblokkeerde toepassing uit te voeren(https://go.microsoft.com/fwlink/?LinkId=160265).

Beheer van AppLocker gebeurtenissen

Elke keer dat een proces toestemming om uit te voeren, vraagt maakt AppLocker een gebeurtenis in het gebeurtenislogboek AppLocker. De details van de gebeurtenis waarop het bestand probeert uit te voeren, de kenmerken van het bestand, de gebruiker die de aanvraag en de regel GUID die is gebruikt om de beschikking AppLocker uitvoering gestart. Het gebeurtenislogboek AppLocker bevindt zich in het volgende pad: Toepassingen en Services Logs\Microsoft\Windows\AppLocker. Het logboek AppLocker bevat drie logboeken:

  1. EXE en DLL. Gebeurtenissen voor alle bestanden die worden beïnvloed door het uitvoerbare bestand en verzamelingen van regels voor dll-bestand (.exe, .com dll- en extensie) bevat.

  2. MSI en Script. Gebeurtenissen voor alle bestanden die worden beïnvloed door de Windows Installer en script regel collecties (.msi, MSP-.ps1, type, cmd, .vbs en .js) bevat.

  3. Ingepakt app-implementatieoftot de uitvoering van de app ingepaktgebeurtenissen voor alle Windows 8-apps beïnvloed door de app ingepakte bevat en het installatieprogramma voor app verpakt regelverzameling (appx).

Verzamelen van deze gebeurtenissen in een centrale plaats, kunt u het beleid AppLocker onderhouden en oplossen van problemen in de regel. Gebeurtenisgegevensverzameling technologieën zoals die beschikbaar zijn in Windows kunnen beheerders abonneren op specifieke gebeurtenis kanalen en hebben de gebeurtenissen van de broncomputer geaggregeerd naar een doorgestuurde gebeurtenislogboek op de collector van een Windows Server-besturingssysteem wordt uitgevoerd. Zie voor meer informatie over het instellen van een abonnement op gebeurtenissenconfigureren Computers te verzamelen en doorsturen gebeurtenissen(https://go.microsoft.com/fwlink/?LinkId=145012).

Beleid onderhoud

Nieuwe toepassingen zijn geïmplementeerd of bestaande toepassingen zijn bijgewerkt door de uitgever van de software, moet u uw verzamelingen van regels om ervoor te zorgen dat het beleid huidige is herzien.

U kunt een beleid AppLocker bewerken door toevoegen, wijzigen of verwijderen van regels. U kunt geen echter een versie van het beleid opgeven door aanvullende regels importeren. Gebruik Group Policy management software waarmee u versies van Group Policy Objects (GPO's) maken om versiebeheer wanneer u een beleid AppLocker wilt wijzigen. Een voorbeeld van dit type software is het onderdeel Geavanceerd Groepsbeleidsbeheer van Microsoft Desktop Optimization Pack. Zie voor meer informatie over geavanceerde GroepsbeleidsbeheerGeavanceerd overzicht van Groepsbeleidsbeheer(https://go.microsoft.com/fwlink/?LinkId=145013).

Waarschuwing

U moet een verzameling AppLocker regel niet bewerken terwijl wordt afgedwongen in Groepsbeleid. Omdat AppLocker welke bestanden kunnen bepaalt worden uitgevoerd, kunt wijzigingen aanbrengen in een live beleid onverwacht gedrag maken.

Nieuwe versie van een ondersteunde toepassing

Wanneer een nieuwe versie van een toepassing in de organisatie is geïmplementeerd, moet u bepalen of om door te gaan naar de vorige versie van de toepassing te ondersteunen. Als u wilt de nieuwe versie toevoegen, hoeft u alleen om een nieuwe regel voor elk bestand dat is gekoppeld aan de toepassing te maken. Als u van publisher voorwaarden gebruikmaakt en de versie niet is opgegeven, de bestaande regel of de regels mogelijk voldoende zodat het bijgewerkte bestand om uit te voeren. U moet echter controleren of de bijgewerkte toepassing niet is gewijzigd van de bestandsnamen of bestanden voor de nieuwe functionaliteit toegevoegd. Als dit het geval is, moet u de bestaande regels wijzigen of nieuwe regels maken. Om door te gaan om een regel op basis van publisher zonder een specifieke versie opnieuw te gebruiken, moet u ook ervoor zorgen dat de digitale handtekening van het bestand nog steeds identiek aan de vorige versie is, de uitgever, de productnaam en de bestandsnaam (indien geconfigureerd in uw regel) moeten alle overeenkomen met de regel juist worden toegepast.

Bekijk de details van de release van de uitgever opgegeven met het updatepakket om te bepalen of een bestand is gewijzigd tijdens het bijwerken van een toepassing. U kunt ook de webpagina van de uitgever om op te halen deze informatie bekijken. Elk bestand kan ook worden gecontroleerd om te bepalen welke versie.

Om de bestanden die zijn toegestaan of geweigerd met bestand hash-voorwaarden, moet u de nieuwe bestands-hash ophalen. Ondersteuning voor een nieuwe versie toevoegen en ondersteuning voor de oudere versie van Microsoft, kunt u een nieuw bestand hash-regel voor de nieuwe versie maken of bestaande regel bewerken en nieuwe bestands-hash toevoegen aan de lijst met voorwaarden.

Bestanden met de voorwaarden van pad, moet u controleren of het installatiepad is niet gewijzigd van wat is opgegeven in de regel. Als het pad is gewijzigd, moet u de regel bijwerken voordat de nieuwe versie van de toepassing wordt geïnstalleerd.

Toepassing onlangs is geïmplementeerd

Om een nieuwe toepassing te ondersteunen, moet u een of meer regels toevoegen aan het bestaande AppLocker beleid.

Toepassing wordt niet langer ondersteund.

Als uw organisatie is vastgesteld dat wordt niet meer ondersteund een toepassing die gekoppeld aan AppLocker-regels is, is de gemakkelijkste manier om te voorkomen dat gebruikers de toepassing wordt uitgevoerd om te verwijderen van deze regels.

Toepassing is geblokkeerd, maar moet worden toegestaan

Een bestand kan worden geblokkeerd voor drie mogelijke oorzaken:

  • De meest voorkomende oorzaak is dat er geen regel bestaat zodat de toepassing uit te voeren.

  • Er is een bestaande regel die is gemaakt voor het bestand dat is te beperken.

  • Een regel voor weigeren, die niet kan worden genegeerd, is het bestand expliciet blokkeren.

Voordat u de verzameling van regels bewerken, moet u eerst bepalen welke regel verhindert dat het bestand wordt uitgevoerd. U kunt het probleem oplossen met behulp van deTest-AppLockerPolicyWindows PowerShell-cmdlet. Zie voor meer informatie over het oplossen van een AppLockerpolicytesten en een AppLocker-beleid bijwerken(https://go.microsoft.com/fwlink/?LinkId=160269).

Volgende stappen

Record na bepalen hoe uw organisatie uw beleid AppLocker wilt beheren, uw bevindingen.

  • Ondersteuningsbeleid van de eindgebruiker. Het proces dat u wilt gebruiken voor het verwerken van aanroepen van gebruikers die u hebt geprobeerd een geblokkeerde toepassing uit te voeren en zorg dat het ondersteuningspersoneel wissen escalatie stappen zodat de beheerder het beleid AppLocker kunt bijwerken indien nodig het document.

  • Verwerking van de gebeurtenis. Het document of de gebeurtenissen worden verzameld in een winkel, hoe aangeroepen centraal dat store gearchiveerd en of de gebeurtenissen voor analyse wordt verwerkt.

  • Onderhoud van beleid. Gedetailleerde informatie over hoe u regels worden toegevoegd aan het beleid en in welke GPO de regels worden gedefinieerd.

Voor informatie en stappen uit het document uw processen, ZieUw toepassing besturingselement processen document.