Настройка политики AppLocker только для аудита

В этой статье для ИТ-специалистов описано, как задать для политик AppLocker параметр Только аудит в ИТ-среде с помощью AppLocker.

После создания правил AppLocker в коллекции правил вы можете настроить параметр применения: Принудительное применение правил или Только аудит.

Если задан параметр Принудительное применение правил для политики AppLocker, то правила применяются к коллекции правил и выполняется аудит всех событий. Если задан параметр Только аудит для политики AppLocker, выполняется только проверка по правилам, а все события, создаваемые в результате этой проверки, записываются в журнал AppLocker.

Примечание  

Для коллекции правил DLL нет режима аудита. Правила DLL действуют в отношении конкретных приложений. Поэтому проверяйте действие этих правил, прежде чем их развертывать в рабочей среде. Сведения о том, как включить коллекцию правил библиотек DLL, см. в этой статье.

 

Эта задача выполняется с помощью консоли управления групповыми политиками для политики AppLocker в объекте групповой политики (GPO) или с помощью оснастки "Локальная политика безопасности" для политики AppLocker на локальном компьютере или в шаблоне безопасности. Сведения об использовании этих оснасток MMC для администрирования AppLocker см. в статье Администрирование AppLocker.

Аудит коллекций правил

1. В консоли AppLocker щелкните правой кнопкой мыши AppLocker, а затем выберите Свойства.

2. На вкладке Применение установите флажок Настроено для нужной коллекции правил, а затем убедитесь, что в списке для этой коллекции выбран пункт Только аудит.

3. Повторите указанное выше действие, чтобы задать параметр Только аудит для других коллекций правил.

4. Нажмите кнопку ОК.