Создание документа по планированию AppLocker
В этом разделе по планированию для ИТ-специалистов содержатся сводные сведения, необходимые для исследования и включения в планировочный документ AppLocker.
Проектирование развертывания AppLocker
Процесс разработки и планировочный документ помогают изучать использование приложения в организации и записывать заключения для эффективного развертывания и обслуживания политик управления приложением с помощью AppLocker.
Эти шаги необходимо выполнить при проектировании и в процессе планирования.
Создание списка приложений, развернутых для каждой бизнес-группы
Определение структуры групповой политики и применение правил
Содержимое планировочного документа AppLocker
Ваш планировочный документ должен содержать перечисленные ниже элементы.
Список бизнес-групп, которые будут участвовать в проекте политики управления приложением, их требования, описание их бизнесов-процессов и контактные данные.
Плановые даты проекта политики управления приложением для планирования и развертывания.
Полный список приложений, используемых каждой бизнес-группой (подразделением), в том числе сведения о версии и пути установки.
Условия, которые нужно применять к правилам, регулирующим каждое приложение (или необходимость использования набора по умолчанию, предоставляемого AppLocker).
Стратегию использования групповой политики для развертывания политик AppLocker.
Стратегию в обработке событий использования приложения, созданных AppLocker.
Стратегию обслуживания политик AppLocker и управления ними после развертывания.
Пример шаблона для планировочного документа AppLocker
Вы можете использовать следующую форму, чтобы составить собственный планировочный документ AppLocker.
Бизнес-группа:
Среды операционной системы: (Windows и не Windows)
Контакты |
Бизнес-контакт: |
Технический контакт: |
Другие отделы |
В этой бизнес-группе: |
Охват данным проектом: |
Политики безопасности |
Внутренние: |
Нормативные требования/соответствие правовым нормам: |
Бизнес-цели |
Основные: |
Дополнительные: |
Плановые даты проекта |
Дата утверждения разработки: |
Дата развертывания политики: |
Правила
| Бизнес-группа | Подразделение | Применить AppLocker? | Приложения | Путь установки | Использовать правило по умолчанию или задать новое условие правил | Разрешить или запретить | Имя GPO | Политика поддержки |
|---|---|---|---|---|---|---|---|---|
|
Обработка событий
| Бизнес-группа | Расположение коллекции событий AppLocker | Политика архивации | Проанализировано? | Политика безопасности |
|---|---|---|---|---|
|
Обслуживание политик
| Бизнес-группа | Политика обновления правила | Политика вывода приложений из эксплуатации | Политика версий приложений | Политика развертывания приложений |
|---|---|---|---|---|
|
Планируется: Экстренные: |
Пример планировочного документа AppLocker
Правила
| Бизнес-группа | Подразделение | Применить AppLocker? | Приложения | Путь установки | Использовать правило по умолчанию или задать новое условие правил | Разрешить или запретить | Имя GPO | Политика поддержки |
|---|---|---|---|---|---|---|---|---|
Сотрудники банка |
Teller — восток и Teller — запад |
Да |
Программное обеспечение Teller |
C \Program Files\Woodgrove\Teller.exe |
Файл подписан; создать условие издателя |
Разрешить |
Tellers-AppLockerTellerRules |
Справка в Интернете |
Файлы Windows |
C:\Windows |
Создать исключение пути для правила по умолчанию, чтобы исключить \Windows\Temp |
Разрешить |
Служба технической поддержки |
||||
Отдел кадров |
HR-All |
Да |
Проверка выплаты |
C:\Program Files\Woodgrove\HR\Checkcut.exe |
Файл подписан; создать условие издателя |
Разрешить |
HR-AppLockerHRRules |
Справка в Интернете |
Инициатор ведомости отработанного времени |
C:\Program Files\Woodgrove\HR\Timesheet.exe |
Файл не подписан; создать условие хэшей файлов |
Разрешить |
Справка в Интернете |
||||
Internet Explorer 7 |
C \Program Files\Internet Explorer\ |
Файл подписан; создать условие издателя |
Запретить |
Справка в Интернете |
||||
Файлы Windows |
C:\Windows |
Использовать правило по умолчанию для пути Windows |
Разрешить |
Служба технической поддержки |
Обработка событий
| Бизнес-группа | Расположение коллекции событий AppLocker | Политика архивации | Проанализировано? | Политика безопасности |
|---|---|---|---|---|
Сотрудники банка |
Направлено в: репозиторий событий AppLocker на srvBT093 |
Стандартный |
Нет |
Стандартный |
Отдел кадров |
НЕ ПЕРЕНАПРАВЛЯТЬ. srvHR004 |
60 месяцев |
Да; сводные отчеты для менеджеров ежемесячно |
Стандартный |
Обслуживание политик
| Бизнес-группа | Политика обновления правила | Политика вывода приложений из эксплуатации | Политика версий приложений | Политика развертывания приложений |
|---|---|---|---|---|
Сотрудники банка |
Запланировано: ежемесячно через сортировку офиса Чрезвычайная ситуация: запросить через службу поддержки |
Через сортировку офиса Требуется уведомление за 30 дней |
Общая политика: хранить прошлые версии в течение 12 месяцев Список политик для каждого приложения |
Координируется через офис Требуется уведомление за 30 дней |
Отдел кадров |
Запланировано: ежемесячно через сортировку отделом кадров Чрезвычайная ситуация: запросить через службу поддержки |
Через сортировку отделом кадров Требуется уведомление за 30 дней |
Общая политика: хранить прошлые версии в течение 60 месяцев Список политик для каждого приложения |
Координируется через отдел кадров Требуется уведомление за 30 дней |
Дополнительные ресурсы
Руководство по разработке политик AppLocker является предшественником руководства по развертыванию политик AppLocker. После завершения планирования обратитесь к документу Руководство по развертыванию политик AppLocker.
Более общие сведения см. в разделе AppLocker.