Een referentiecomputer gebruiken om AppLocker-beleid te maken en te onderhouden
Van toepassing op: Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8
In dit onderwerp voor de IT-professional worden de stappen beschreven voor het maken en handhaven van AppLocker-beleid met behulp van een referentiecomputer.
Achtergrond en vereisten
Een AppLocker-referentiecomputer is een baseline-computer die u kunt gebruiken om beleid te configureren. Deze kan vervolgens worden gebruikt voor het onderhouden van AppLocker-beleid. Zie AppLocker-referentiecomputer configureren voor de procedure voor het configureren van een referentiecomputer.
Een AppLocker-referentiecomputer die wordt gebruikt voor het maken en onderhouden van AppLocker-beleid moet de bijbehorende toepassingen voor elke organisatie-eenheid (OE) bevatten om de productieomgeving te kunnen nabootsen.
Belangrijk
Op de referentiecomputer moet een van de ondersteunde versies van Windows worden uitgevoerd. Zie Vereisten voor het gebruik van AppLocker voor meer informatie over de vereisten voor het besturingssysteem voor AppLocker.
U kunt AppLocker-beleid op de referentiecomputer testen met behulp van de handhavingsinstelling Alleen controle of met Windows PowerShell-cmdlets. U kunt de referentiecomputer ook gebruiken als onderdeel van een testconfiguratie die beleidsregels bevat die zijn gemaakt met behulp van softwarerestrictiebeleid.
Stap 1: automatisch regels genereren op de referentiecomputer
Met AppLocker kunt u automatisch regels genereren voor alle bestanden in een map. AppLocker scant de opgegeven map en schept de voorwaardetypen die u voor elk bestand in de map kiest. Zie Voer de Wizard regels voor automatisch worden gegenereerd voor de te volgen procedure.
Notitie
Als u deze wizard uitvoert voor het maken van uw eerste regels voor een groepsbeleidsobject (GPO), wordt u na het voltooien van de wizard gevraagd om de standaardregels te maken waardoor essentiële systeembestanden kunnen worden uitgevoerd. U kunt de standaardregels op ieder moment bewerken. Als uw organisatie heeft besloten de standaardregels te bewerken of aangepaste regels te maken zodat de Windows-systeembestanden kunnen worden uitgevoerd, dient u ervoor te zorgen dat de standaardregels worden verwijderd nadat u deze door aangepaste regels hebt vervangen.
Stap 2: de standaardregels maken op de referentiecomputer
AppLocker bevat standaardregels voor elke regelverzameling. Deze regels zijn bedoeld om ervoor te zorgen dat de bestanden waarmee Windows correct kan functioneren, in een AppLocker-regelverzameling zijn toegestaan. U moet de standaardregels uitvoeren voor elke regelverzameling. Zie AppLocker-standaardregels voor meer informatie over standaardregels en de overwegingen voor het gebruik ervan. Zie Standaard AppLocker-regels maken voor de procedure voor het maken van standaardregels.
Belangrijk
Wanneer u uw eigen regels maakt, kunt u de standaardregels als sjabloon gebruiken. Hiermee kunnen de bestanden in de Windows-directory worden uitgevoerd. Deze regels zijn echter alleen bedoeld als een soort aanvangsbeleid wanneer u voor de eerste keer AppLocker-regels gaat testen.
Stap 3: regels en de regelverzameling op de referentiecomputer wijzigen
Als AppLocker-beleid actief is in de productieomgeving, exporteert u het beleid van de bijbehorende groepsbeleidsobjecten en slaat u dat op de referentiecomputer op. Zie Een AppLocker-beleid exporteren vanuit een groepsbeleidsobject voor de te volgen procedure. Als er geen AppLocker-beleid is geïmplementeerd, maakt u de regels en ontwikkelt u het beleid met behulp van de volgende procedures:
Stap 4: AppLocker-beleid op de referentiecomputer testen en bijwerken
U dient elke verzameling regels te testen om ervoor te zorgen dat ze naar behoren werken. De Test-AppLockerPolicy Windows PowerShell-cmdlet kan worden gebruikt om te bepalen of een van de regels in de regelverzameling op uw referentiecomputer wordt geblokkeerd. Voer de stappen uit op elke referentiecomputer die u gebruikt voor het definiëren van het AppLocker-beleid. Zorg ervoor dat de referentiecomputer is toegevoegd aan het domein en dat deze het AppLocker-beleid van het juiste groepsbeleidsobject ontvangt. Omdat AppLocker-regels worden overgenomen van gekoppelde groepsbeleidsobjecten, implementeert u alle regels zodanig dat alle te testen groepsbeleidsobjecten tegelijk worden getest. Gebruik de volgende procedures om deze stap te voltooien:
Waarschuwing
Als u de handhavingsinstelling voor de verzameling hebt ingesteld op Regels afdwingen of als u de regelverzameling niet hebt geconfigureerd, wordt het beleid geïmplementeerd als het groepsbeleidsobject in de volgende stap wordt bijgewerkt. Als u de handhavingsinstelling voor de verzameling hebt ingesteld op Alleen controle, worden toegangsgebeurtenissen voor toepassingen geschreven naar het AppLocker-logboek en wordt het beleid niet doorgevoerd.
Stap 5: het beleid exporteren en importeren naar de productie
Als het AppLocker-beleid is getest, kan het naar het groepsbeleidsobject worden geïmporteerd (of geïmporteerd naar afzonderlijke computers die niet worden beheerd door het groepsbeleid) om de beoogde effectiviteit te controleren. Voer hiervoor de volgende procedures uit:
Als de handhavingsinstelling van het AppLocker-beleid is ingesteld op Alleen controle en het beleid aan de verwachtingen voldoet, kunt u de instelling wijzigen in Regels afdwingen. Zie Een AppLocker-beleid voor uniekheid regels configureren voor meer informatie over het wijzigen van de handhavingsinstelling.
Stap 6: het effect van het beleid in de productie controleren
Als er meer verfijningen of updates nodig zijn nadat een beleid is geïmplementeerd, gebruikt u de volgende relevante procedures om het beleid te controleren en bij te werken: