Планирование управления политикой AppLocker
В этом разделе описаны решения, которые необходимо принять для формирования процессов обслуживания политик AppLocker и управления ими.
Управление политикой
Перед началом процесса развертывания подумайте, как будут вестись управление правилами AppLocker. Разработка процесса управления правилами AppLocker позволяет обеспечить возможность AppLocker непрерывно эффективно контролировать то, как в вашей организации можно запускать приложения.
Политика поддержки приложений и пользователей
Разработка процесса управления правилами AppLocker позволяет обеспечить возможность AppLocker непрерывно эффективно контролировать то, как в вашей организации можно запускать приложения. Рассматриваемые вопросы:
Какая поддержка пользователей предоставляется для заблокированных приложений?
Как новые правила добавляются к политике?
Как обновляются существующие правила?
Отправляются ли события на анализ?
Служба технической поддержки
Если в организации имеется отдел технической поддержки, при развертывании политик AppLocker необходимо учитывать следующие моменты.
Предоставление какой документации требует отдел поддержки для развертывания новых политик?
Какие критические процессы в каждой бизнес-группе как в отношении рабочего процесса, так и в отношении времени будут затронуты политиками управления приложениями и как они могут повлиять на рабочую нагрузку отдела поддержки?
Кто является контактными лицами в отделе поддержки?
Как отдел поддержки будет решать проблемы с контролем приложений, возникающие между пользователем и теми, кто поддерживает правила AppLocker?
Поддержка пользователей
AppLocker не позволяет запускать неутвержденные приложения, поэтому важно, чтобы организация тщательно спланировала предоставление поддержки для пользователей. Рассматриваемые вопросы:
Хотите ли вы использовать сайт в интрасети в качестве первого канала поддержки тех пользователей, которые пытаются запустить заблокированное приложение?
Как вы собираетесь сохранять исключения из политики? Позволите ли вы пользователям запускать сценарий, чтобы временно разрешить доступ к заблокированному приложению?
Использование сайта в интрасети
В AppLocker можно настроить отображение стандартного сообщения с настраиваемым URL-адресом. С помощью этого URL-адреса пользователей можно перенаправлять на сайт технической поддержки, где приведена информация о том, почему возникло сообщение об ошибке и какие приложения разрешены. Если в сообщении, отображаемом при попытке запуска заблокированного приложения, не указан настраиваемый URL-адрес, используется URL-адрес по умолчанию.
Ниже приведен пример сообщения об ошибке в отношении заблокированного приложения. Вы можете использовать параметр политики Установить веб-ссылку поддержки, чтобы настроить ссылку Дополнительные сведения.
Действия, которые необходимо выполнить для отображения настраиваемого URL-адреса в сообщении, см. в разделе Отображение сообщения с настраиваемым URL-адресом, когда пользователь пытается запустить заблокированное приложение.
Управление событиями AppLocker
Каждый раз, когда процесс запрашивает разрешение на запуск, AppLocker создает событие в журнале событий AppLocker. В сведениях о событии указывается, какой файл пытался запустить приложение, атрибуты файла, пользователь, инициировавший запрос, и GUID правила, которое использовалось при принятии решения о выполнении AppLocker. Журнал событий AppLocker находится по следующему пути: Applications and Services Logs\Microsoft\Windows\AppLocker. Журнал AppLocker содержит три журнала:
EXE и DLL. Содержит события для всех файлов, которые затрагивают коллекции правил в отношении исполняемых файлов и DLL-файлов (EXE, COM, DLL и OCX).
MSI и сценарий. Содержит события для всех файлов, которые затрагивают коллекции правил в отношении установщика Windows и сценариев (MSI, MSP, PS1, BAT, CMD, VBS и JS).
Журнал Packaged app-Deployment или Packaged app-Execution содержит события, относящиеся ко всем универсальным приложениям для Windows, к которым применяется коллекция правил для упакованных приложений и установщиков упакованных приложений (APPX).
Централизованный сбор этих событий позволяет упростить ведение политики AppLocker, а также выявлять и устранять проблемы с конфигурацией правил. Технологии сбора событий, например представленные в Windows, позволяют администраторам подписываться на определенные каналы событий и агрегировать события из исходных компьютеров в журнал событий в сборщике операционной системы Windows Server. Дополнительные сведения о настройке подписки на события см. в разделе Настройка компьютеров для сбора и отправки событий.
Обслуживание политик
По мере развертывания новых и обновления существующих приложений издателям программного обеспечения необходимо вносить изменения в коллекции правил для обеспечения актуальности политики.
Изменение политики AppLocker производится путем добавления, изменения или удаления правил. Однако нельзя указать версию политики, импортировав дополнительные правила. Для обеспечения управления версиями при изменении политики AppLocker используйте ПО для управления групповыми политиками, которое позволяет создавать версии объектов групповых политик. Примером такого вида программного обеспечения служит функция расширенного управления групповыми политиками в пакете Microsoft Desktop Optimization Pack. Дополнительные сведения о расширенном управлении групповыми политиками см. в разделе Обзор расширенного управления групповыми политиками (https://go.microsoft.com/fwlink/?LinkId=145013).
Внимание
Не следует изменять коллекцию правил AppLocker, пока он применяется в групповой политике. Поскольку AppLocker управляет тем, какие файлы могут быть запущены, при внесении изменений в действующую политику может возникнуть непредвиденное поведение.
Новая версия поддерживаемого приложения
Когда новая версия приложения развертывается в организации, вам необходимо определить, будет ли предыдущая версия этого приложения по-прежнему поддерживаться. Чтобы добавить новую версию, вам, возможно, понадобится лишь создать новое правило для каждого файла, который связан с этим приложением. Если вы используете условия издателя, а версия не указана, то существующего правила или правил может быть достаточно для обеспечения возможности запуска обновленного файла. Однако необходимо убедиться, что в обновленном приложении не изменены имена файлов и не добавлены файлы для поддержки новых функций. Если такие изменения имеют место, необходимо изменить существующие правила либо создать новые. Чтобы продолжить использовать правило на основе условий издателя без определенной версии файла, также необходимо убедиться, что цифровая подпись файла остается такой же, как в предыдущей версии — для правильного применения правила требуется соответствие издателя, названия продукта и имени файла (если настроено в правиле).
Чтобы определить, был ли файл изменен при обновлении приложения, просмотрите сведения о выпуске от издателя, предоставленные с пакетом обновления. Эту информацию также можно получить на веб-странице издателя. Либо можно проанализировать каждый файл, чтобы определить версию.
Для файлов, запуск которых разрешается или запрещается по хэшам, необходимо получить хэш новых файлов. Чтобы добавить поддержку новой и сохранить поддержку более ранней версии, можно либо создать новое правило хэша файла для новой версии, либо изменить уже существующее правило и добавить хэш нового файла в список условий.
Для файлов с условиями пути необходимо проверить, что путь установки не изменялся и соответствует пути, указанному в правиле. Если путь изменился, перед установкой новой версии приложения необходимо обновить правило.
Недавно развернутое приложение
Для поддержки нового приложения в существующую политику AppLocker необходимо добавить одно или несколько правил.
Приложение больше не поддерживается
Если ваша организация решила, что она больше не будет поддерживать приложение, с которым связаны правила AppLocker, то самый простой способ запретить запуск такого приложения — удалить эти правила.
Приложение заблокировано, но должно быть разрешено
Файл может быть заблокирован по трем причинам.
Самая распространенная причина — отсутствие правила, позволяющего запускать приложение.
Может иметься созданное для файла правило, которое является слишком строгим.
Правило отказа в запуске, которое нельзя переопределить, явно блокирует файл.
Прежде чем изменять коллекцию правил, сначала определите, какое правило не позволяет запустить файл. Вы можете устранить проблему с помощью командлета Windows PowerShell Test-AppLockerPolicy. Дополнительные сведения об устранении проблем с политикой AppLocker см. в разделе Тестирование и обновлении политики AppLocker (https://go.microsoft.com/fwlink/?LinkId=160269).
Следующие шаги
После определения того, как организация будет управлять политикой AppLocker, запишите свои заключения.
Политика поддержки пользователей. Задокументируйте установленный процесс обработки звонков пользователей, попытавшихся запустить заблокированное приложение, и предоставьте персоналу службы технической поддержки четкую процедуру эскалации, чтобы администратор при необходимости мог обновить политику AppLocker.
Обработка событий. Укажите в документации, будут ли события собраны в одном месте, именуемом хранилищем, как будет выполняться архивирование этого хранилища и будут ли события обрабатываться для анализа.
Ведение политики. Подробно опишите, как правила будут добавляться в политику, а также в котором объекте групповой политики определяются правила.
Дополнительные сведения и инструкции по документированию процессов см. в разделе Документирование процессов управления приложениями.