Развертывание политик AppLocker с помощью параметра применения правил

В этой статье для ИТ-специалистов описаны действия по развертыванию политик AppLocker с помощью метода принудительного применения параметров.

Фон и предварительные требования

В этих процедурах предполагается, что политики AppLocker развертываются с режимом принудительного применения, установленным только аудит, и вы собираете данные через журналы событий AppLocker и другие каналы, чтобы определить, какое влияние эти политики оказывают на вашу среду и соблюдение политики к структуре управления приложениями.

Сведения о параметре принудительного применения политики AppLocker см. в статье Общие сведения о параметрах принудительного применения AppLocker.

Сведения о планировании развертывания политики AppLocker см. в руководстве по проектированию AppLocker.

Шаг 1. Получение политики AppLocker

Обновление политики AppLocker, которая в настоящее время применяется в рабочей среде, может привести к непредвиденным результатам. С помощью групповая политика можно экспортировать политику из объекта групповая политика , а затем обновить правило или правила с помощью AppLocker на эталонном или тестовом компьютере. Процедура выполнения этих задач см. в разделах Экспорт политики AppLocker из объекта групповой политики и Импорт политики AppLocker в объект групповой политики. Для локальных политик AppLocker можно обновить правило или правила с помощью оснастки "Локальная политика безопасности" (secpol.msc) на справочном или тестовом компьютере AppLocker. Процедуры для выполнения этой задачи см. в разделах Экспорт политики AppLocker в XML-файл и Импорт политики AppLocker с другого компьютера.

Шаг 2. Изменение параметра принудительного применения

Применение правил применяется ко всем правилам в коллекции правил, а не к отдельным правилам. AppLocker делит правила на коллекции: исполняемые файлы, файлы установщика Windows, упакованные приложения, скрипты и DLL-файлы. Сведения о настройке режима принудительного применения см. в статье Общие сведения о параметрах принудительного применения AppLocker. Процедура изменения параметра режима принудительного применения см. в разделе Настройка политики AppLocker только для аудита.

Шаг 3. Обновление политики

Политику AppLocker можно изменить, добавив, изменив или удалив правила. Однако невозможно указать версию для политики AppLocker путем импорта дополнительных правил. Чтобы обеспечить управление версиями при изменении политики AppLocker, используйте программное обеспечение для управления групповая политика, которое позволяет создавать версии объектов групповой политики. Примером такого программного обеспечения является функция расширенного управления групповая политика из пакета оптимизации компьютеров Майкрософт.

Предостережение

Не следует изменять коллекцию правил AppLocker, пока она применяется в групповая политика. Так как AppLocker определяет, какие файлы разрешено запускать, внесение изменений в динамическую политику может привести к непредвиденному поведению.

Процедура обновления объекта групповой политики см. в статье Импорт политики AppLocker в объект групповой политики.

Процедуры распространения политик для локальных компьютеров с помощью оснастки "Локальная политика безопасности" (secpol.msc) см. в разделах Экспорт политики AppLocker в XML-файл и Импорт политики AppLocker с другого компьютера.

Шаг 4. Мониторинг влияния политики

При развертывании политики важно отслеживать фактическую реализацию этой политики, отслеживая действия по запросу доступа к приложениям в вашей организации поддержки и просматривая журналы событий AppLocker. Чтобы отслеживать влияние политики, см. раздел Мониторинг использования приложений с помощью AppLocker.

Другие ресурсы