Изменение политики AppLocker

В этой статье для ИТ-специалистов описаны действия, необходимые для изменения политики AppLocker.

Политику AppLocker можно изменить, добавив, изменив или удалив правила. Однако вы не можете создать новую версию политики путем импорта дополнительных правил. Чтобы изменить политику AppLocker, которая находится в рабочей среде, следует использовать программное обеспечение для управления групповая политика, которое позволяет групповая политика объекты (GPO). Если вы хотите объединить несколько политик AppLocker в одну, можно либо вручную объединить политики, либо использовать командлеты Windows PowerShell для AppLocker. Вы не можете автоматически объединять политики с помощью оснастки AppLocker. Необходимо создать одну коллекцию правил из двух или нескольких политик. Политика AppLocker сохраняется в формате XML, а экспортированную политику можно изменить с помощью любого текстового редактора или редактора XML. Сведения о слиянии политик см. в статье Слияние политик AppLocker вручную или Слияние политик AppLocker с помощью Set-ApplockerPolicy.

Для изменения политики AppLocker можно использовать три метода:

Изменение политики AppLocker с помощью мобильных Управление устройствами (MDM)

Чтобы изменить политику AppLocker, развернутую с помощью поставщика службы конфигурации (CSP), обновите содержимое в строковом значении узла политики CSP.

Дополнительные сведения см. в разделе Поставщик служб CSP AppLocker.

Изменение политики AppLocker с помощью групповая политика

Ниже приведены действия по изменению политики AppLocker, распространяемой групповая политика.

Шаг 1. Экспорт политики AppLocker из объекта групповой политики с помощью программного обеспечения управления групповая политика

AppLocker предоставляет функцию экспорта и импорта политик AppLocker в виде XML-файла. Эта функция позволяет изменять политику AppLocker за пределами рабочей среды. Так как обновление политики AppLocker в развернутом объекте групповой политики может иметь непредвиденные последствия, необходимо сначала экспортировать политику AppLocker в XML-файл. Сведения о процедуре экспорта этой политики см. в статье Экспорт политики AppLocker из объекта групповой политики.

Шаг 2. Импорт политики AppLocker в эталонный компьютер AppLocker или компьютер, используемый для обслуживания политики

После экспорта политики AppLocker в XML-файл следует импортировать XML-файл на эталонный компьютер, чтобы можно было изменить политику. Сведения о процедуре импорта политики AppLocker см. в статье Импорт политики AppLocker с другого компьютера.

Важно.

Импорт политики на другой компьютер перезапишет существующую политику на этом компьютере.

Шаг 3. Изменение и тестирование правила с помощью AppLocker

AppLocker предоставляет способы изменения, удаления или добавления правил в политику путем изменения правил в коллекции.

Шаг 4. Использование AppLocker и групповая политика для импорта политики AppLocker обратно в объект групповой политики

Процедуры для экспорта обновленной политики с компьютера-образца обратно в объект групповой политики см. в статьях Экспорт политики AppLocker в XML-файл и Импорт политики AppLocker в объект групповой политики.

Важно.

Не изменяйте коллекцию правил AppLocker, пока она применяется в групповая политика. Так как AppLocker определяет, какие файлы разрешено запускать, внесение изменений в динамическую политику может привести к непредвиденному поведению. Дополнительные сведения о политиках тестирования см. в статье Тестирование и обновление политики AppLocker.

Примечание.

Если вы выполняете эти действия с помощью Microsoft Advanced групповая политика Management (AGPM), перед экспортом политики проверка из объекта групповой политики.

Изменение политики AppLocker с помощью оснастки "Локальная политика безопасности"

Действия по редактированию политики AppLocker, распределенной с помощью оснастки "Локальная политика безопасности" (secpol.msc), включают следующие задачи.

Шаг 1. Импорт политики AppLocker

На компьютере, где поддерживаются политики, откройте оснастку AppLocker из оснастки "Локальная политика безопасности" (secpol.msc). Если вы экспортировали политику AppLocker с другого компьютера, используйте AppLocker, чтобы импортировать ее на компьютер.

После экспорта политики AppLocker в XML-файл следует импортировать XML-файл на эталонный компьютер, чтобы можно было изменить политику. Сведения о процедуре импорта политики AppLocker см. в статье Импорт политики AppLocker с другого компьютера.

Важно.

Импорт политики на другой компьютер перезапишет существующую политику на этом компьютере.

Шаг 2. Определение и изменение правила для изменения, удаления или добавления

AppLocker предоставляет способы изменения, удаления или добавления правил в политику путем изменения правил в коллекции.

Шаг 3. Проверка эффекта политики

Инструкции по тестированию политики AppLocker см. в разделе Тестирование и обновление политики AppLocker.

Шаг 4. Экспорт политики в XML-файл и распространение ее на все целевые компьютеры

Процедуры для экспорта обновленной политики с компьютера-образца на целевые компьютеры см. в статьях Экспорт политики AppLocker в XML-файл и Импорт политики AppLocker с другого компьютера.

Другие ресурсы