配置 AppLocker 引用设备
面向 IT 专业人员的本主题介绍了在引用计算机上创建 AppLocker 策略平台结构的步骤。
AppLocker 引用设备用于开发和部署 AppLocker 策略,并应模拟组织单位 (OU) 或业务组中的目录结构和相应的应用程序,以用于生产环境。在引用设备上,你可以:
维护每个业务组的应用程序列表。
创建单独规则以开发 AppLocker 策略,或自动生成规则以创建策略。
创建允许 Windows 系统文件正确运行的默认规则。
运行测试和分析事件日志,以确定计划部署的策略的效果。
引用设备无需加入域,但它必须能够导入和导出 XML 格式的 AppLocker 策略。引用计算机必须运行一个受支持的 Windows 版本,如在使用 AppLocker 的要求中所列。
警告
在创建 AppLocker 规则时不得使用操作系统快照。如果你拍摄操作系统快照、安装应用、创建 AppLocker 规则,然后还原为全新的快照并为其他应用重复该过程,有可能会创建重复的规则 GUID。如果存在副本 GUID,AppLocker 策略将不会按预期工作。
配置引用设备
如果该设备上尚未安装操作系统,请在其上安装一个受支持的 Windows 版本。
注意
如果你在其他设备上安装了组策略管理控制台 (GPMC) 以测试 AppLocker 策略的实现,可以将策略导出到该设备。
配置管理员帐户。
若要更新本地策略,你必须是本地 Administrators 组成员。若要更新域策略,你必须是 Domain Admins 组的成员,或者已委派了使用组策略来更新组策略对象 (GPO) 的权限。
使用相同的目录结构安装所有在目标业务组或 OU 中运行的应用。
引用设备应配置为模拟生产环境的结构。这依赖于在相同目录中具有相同的应用以准确创建规则。
另请参阅
配置参考计算机后,你可以创建 AppLocker 规则集合。你可以生成、导入或自动生成规则。有关执行此操作的过程,请参阅使用 AppLocker 规则。