Использование компьютера-образца для создания и обслуживания политик AppLocker
Применимо к:Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8
В этом разделе для ИТ-специалистов описываются действия по созданию и обслуживанию политик AppLocker с помощью компьютера-образца.
Предпосылки и необходимые условия
Компьютер-образец AppLocker — это базовый компьютер, который можно использовать, чтобы настроить политики и впоследствии обслуживать политики AppLocker. Процедуру настройки компьютера-образца см. в разделе Настройка эталонного компьютера AppLocker.
Компьютер-образец AppLocker, который используется для создания и обслуживания политик AppLocker, должен содержать соответствующие приложения для каждого подразделения, чтобы имитировать рабочую среду.
Важно!
Компьютер-образец должен работать под управлением одной из поддерживаемых версий Windows. Сведения о требованиях к операционной системе для AppLocker см. в разделе Требования для использования AppLocker.
Вы можете выполнять тестирование политики AppLocker на компьютере-образце с помощью параметра применения Только аудит или командлетов Windows PowerShell. Компьютер-образец также можно использовать как часть конфигурации тестирования, включающую политики, созданные с помощью политик ограниченного использования программ.
Шаг 1. Автоматическое создание правил на компьютере-образце
С помощью AppLocker вы можете автоматически создать правила для всех файлов в папке. AppLocker просматривает указанную папку и создает типы условий, которые выбираются для каждого файла в этой папке. Соответствующую процедуру см. в разделе Запустите мастер правил автоматического создания.
Примечание
Если вы запускаете этот мастер, чтобы создать первые правила для объекта групповой политики (GPO), после завершения работы мастера вам будет предложено создать правила по умолчанию, позволяющие запускать важные системные файлы. Правила по умолчанию можно изменить в любое время. Если ваша организация решила изменить правила по умолчанию или создать настраиваемые правила, чтобы разрешить запускать системные файлы Windows, необходимо удалить правила по умолчанию после их замены на настраиваемые правила.
Шаг 2. Создание правил по умолчанию на компьютере-образце
AppLocker содержит правила по умолчанию для каждой коллекции правил. Эти правила помогают гарантировать, что файлы, которые необходимы для правильной работы Windows, будут разрешены в коллекции правил AppLocker. Вы должны запускать эти правила по умолчанию для каждой коллекции правил. Сведения о правилах по умолчанию и рекомендации по их использованию см. в разделе Общие сведения о правилах AppLocker по умолчанию. Процедуру создания правил по умолчанию см. в разделе Создайте правила AppLocker по умолчанию.
Важно!
Правила по умолчанию можно использовать в качестве шаблона при создании собственных правил. Это позволяет запускать файлы в каталоге Windows. Однако эти правила предназначены только для работы в качестве начальной политики при первом тестировании правил AppLocker.
Шаг 3. Изменение правил и коллекции правил на компьютере-образце
Если в текущий момент в вашей рабочей среде работают политики AppLocker, экспортируйте эти политики из соответствующих объектов групповой политики и сохраните их на компьютере-образце. Соответствующую процедуру см. в разделе Экспорт политики AppLocker объекта групповой политики. Если никакие политики AppLocker не были развернуты, создайте правила и разработайте политики с помощью следующих процедур.
Шаг 4. Тестирование и обновление политики AppLocker на компьютере-образце
Необходимо протестировать каждый набор правил, чтобы убедиться, что они работают должным образом. С помощью командлета Windows PowerShell Test-AppLockerPolicy можно определить, будут ли какие-либо правила из вашей коллекции правил заблокированы на компьютере-образце. Выполните эти действия на каждом компьютере-образце, который используется для определения политики AppLocker. Убедитесь, что компьютер-образец присоединен к домену, и что он получает политику AppLocker из соответствующего объекта групповой политики. Поскольку правила AppLocker наследуются от связанных объектов групповой политики, следует развернуть все правила, чтобы одновременно протестировать все ваши тестовые объекты групповой политики. Для выполнения этого шага используйте следующие процедуры.
Предупреждение
Если в коллекции правил установлен параметр применения Принудительное применение правил или коллекция правил не настроена, политика будет реализована при обновлении объекта групповой политики на следующем шаге. Если в коллекции правил установлен параметр применения Только аудит, то события доступа к приложению записываются в журнал AppLocker, и политика не будет действовать.
Шаг 5. Экспорт и импорт политики в рабочей среде
После успешного тестирования политики AppLocker можно импортировать ее в объект групповой Политики (или импортировать на отдельные компьютеры, которые не управляются групповой политикой) и проверить ее предполагаемую эффективность. Для этого выполните следующие процедуры.
Если в параметре применения политики AppLocker установлено значение Только аудит, и вы удовлетворены тем, как эта политика реализует ваши намерения, можно изменить это значение на Принудительное применение правил. Сведения о том, как изменить параметр применения, см. в разделе Настройка политики для применения правила AppLocker.
Шаг 6. Мониторинг действия политики в рабочей среде
Если после развертывания политики требуются дополнительные уточнения или обновления, используйте следующие подходящие процедуры для мониторинга и обновления политики.