Criar lista de aplicativos implantados para cada grupo comercial
Aplica-se a: Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8
Este tópico descreve o processo de coleta de requisitos de uso do aplicativo de cada grupo comercial para implementar políticas de controle de aplicativo usando o AppLocker.
Determinar o uso do aplicativo
Para cada grupo comercial, verifique o seguinte:
A lista completa de aplicativos usados, incluindo versões diferentes de um aplicativo.
O caminho completo da instalação do aplicativo.
O publicador e assinado status de cada aplicativo.
O tipo de requisito os grupos de negócios definido para cada aplicativo, como crítico para os negócios, produtividade de negócios, pessoais ou opcional. Ele também pode ser útil durante esse esforço para identificar quais aplicativos estão com ou sem suporte pelo departamento de TI ou suporte por outros usuários fora do seu controle.
Uma lista de arquivos ou aplicativos que requerem credenciais administrativas para instalar ou executar. Se o arquivo exige credenciais administrativas para instalar ou executar, os usuários que não podem fornecer credenciais administrativas não poderão executar o arquivo, mesmo que o arquivo seja explicitamente permitido por uma política AppLocker. Mesmo com a imposição de diretivas AppLocker, somente os membros do grupo Administradores podem instalar ou executar arquivos que exigem credenciais administrativas.
Como realizar a avaliação de uso do aplicativo
Embora talvez você já tenha um método no lugar para entender o uso do aplicativo para cada grupo comercial, você precisará usar essas informações para ajudar a criar sua coleção de regras de AppLocker. O AppLocker inclui o Assistente para gerar regras automaticamente e o somente auditoria configuração de imposição para ajudá-lo a planejar e criar sua coleção de regras.
Métodos de inventário de aplicativos
Usar o Assistente para gerar regras automaticamente rapidamente cria regras para os aplicativos que você especificar. O assistente foi projetado especificamente para criar uma coleção de regras. Você pode usar o snap-in Diretiva de segurança Local para exibir e editar as regras. Esse método é muito útil na criação de regras de um computador de referência e ao criar e avaliar as políticas do AppLocker em um ambiente de teste. No entanto, ele requer que os arquivos estejam acessíveis no computador de referência ou por meio de uma unidade de rede. Isso pode significar o trabalho adicional na configuração do computador de referência e determinar uma política de manutenção para o computador.
Usando o somente auditoria método de imposição permite que você exiba os logs porque ela coleta informações sobre cada processo nos computadores de recebimento de objeto de diretiva de grupo (GPO). Portanto, você pode ver qual será a imposição nos computadores em um grupo de negócios. O AppLocker inclui cmdlets para criar regras e cmdlets do Windows PowerShell que você pode usar para analisar os eventos do log de eventos. No entanto, ao usar a diretiva de grupo para implantar em vários computadores, um meio para coletar eventos em um local central, é muito importante para o gerenciamento. Como o AppLocker registra informações sobre arquivos de usuários ou outros processos iniciados em um computador, você poderia perder criar algumas regras inicialmente. Portanto, você deve continuar sua avaliação até que você pode verificar que todos os aplicativos necessários que têm permissão para executar são acessados com êxito.
Dica
Se você executar o Application Verifier em relação a um aplicativo personalizado com as políticas do AppLocker habilitadas, isso poderá impedir que o aplicativo seja executado. Você deve desabilitar o verificador de aplicativo AppLocker.
Você pode criar um inventário de aplicativos do Windows 8 em um computador usando dois métodos: o Get-AppxPackage cmdlet do Windows PowerShell ou a UI AppLocker.
Os seguintes tópicos de guia passo a passo do AppLocker descrevem como executar cada método:
Gerar automaticamente regras executáveis de um computador de referência
Usando a auditoria para controlar quais aplicativos são usados
Pré-requisitos para concluir o inventário
Identifique o grupo de negócios e cada unidade organizacional (UO) no grupo ao qual você irá aplicar políticas de controle do aplicativo. Além disso, você deve ter identificado se ou não o AppLocker é a solução mais adequada para essas políticas. Para obter informações sobre essas etapas, consulte os seguintes tópicos:
Próximas etapas
Identificar e desenvolver a lista de aplicativos. Registre o nome do aplicativo, se ele está assinado ou não conforme indicado pelo nome do Editor e se ele é uma missão crítica, a produtividade dos negócios, opcional ou o aplicativo pessoal ou não. Registre o caminho de instalação dos aplicativos. Para obter informações sobre como fazer isso, consulte Documente sua lista de aplicativos.
Depois de criar a lista de aplicativos, a próxima etapa é identificar as coleções de regras, que se tornarão as políticas. Essas informações podem ser adicionadas à tabela em colunas:
Usar a regra padrão ou definir uma nova condição de regra
Permitir ou negar
Nome do GPO
Para fazer isso, consulte os seguintes tópicos: