创建部署到每个业务组的应用列表
本主题介绍了从每个业务组收集应用使用情况要求以使用 AppLocker 实现应用程序控制策略的过程。
确定应用使用情况
对于每个业务组,请确定以下事项:
使用的应用完整列表,包括不同版本的应用
应用的完整安装路径
每个应用的发布者和签名状态
业务组为每个应用设置的要求类型,例如业务关键型、业务工作效率型、可选应用或个人应用。在尝试标识 IT 部门支持或不支持的应用、或不受你控制的其他用户支持的应用过程中,它也能起到帮助作用。
需要管理凭据才能安装或运行的文件或应用列表。如果文件需要管理凭据才能安装或运行,则未能提供管理凭据的用户将无法运行该文件,即使 AppLocker 策略显式允许该文件也是如此。即使在强制执行 AppLocker 策略的情况下,只有 Administrators 组的成员才能安装或运行需要管理凭据的文件。
如何执行应用使用情况评估
尽管你可能已拥有了解每个业务组的应用使用情况的方法,但你仍需要使用此信息来帮助创建 AppLocker 规则集合。AppLocker 包括“自动生成规则”向导和“仅审核”强制配置,以协助你计划和创建规则集合。
应用程序清单方法
使用“自动生成规则”向导快速创建所指定应用程序的规则。该向导专用于生成规则集合。你可以使用本地安全策略管理单元查看和编辑规则。在从参考计算机中创建规则,或在测试环境中创建和评估 AppLocker 策略时,此方法将非常有用。但是,它要求可以在参考计算机上或者通过网络驱动器访问文件。这可能意味着在设置参考计算机和确定该计算机的维护策略时需要其他操作。
使用“仅审核”强制方法允许你查看日志,因为它收集有关接收组策略对象 (GPO) 的计算机的每个过程的信息。因此,你可以在业务组中查看强制在计算机上的情况。AppLocker 包括可用于分析事件日志和创建规则的 cmdlet 的事件的 Windows PowerShell cmdlet。但是,使用组策略部署若干台计算机时,在中心位置收集事件的方法对于管理而言非常重要。因为 AppLocker 会记录有关用户或其他过程在计算机上启动文件的信息,所以你可能会在一开始错过创建某些规则。因此,你应该继续评估,直到你能确认可成功访问允许运行的所有所需应用程序为止。
提示
如果你针对已启用任何 AppLocker 策略的自定义应用程序运行了应用程序验证程序,这可能会阻止该应用程序运行。你应该禁用应用程序验证程序或 AppLocker。
你可以使用以下两种方法在设备上创建通用 Windows 应用清单:Get-AppxPackage Windows PowerShell cmdlet 或 AppLocker 控制台。
AppLocker 分步指南中的以下主题介绍了如何执行每种方法:
完成清单的先决条件
在组中标识你将应用应用程序控制策略的业务组和每个组织单位 (OU)。此外,你应该确定 AppLocker 是否是最适用于这些策略的解决方案。有关这些步骤的信息,请参阅以下主题:
后续步骤
标识和开发应用列表。记录应用名称,无论发布者名称是否指示其已签名,也无论它是任务关键型、业务工作效率型、可选应用还是个人应用。记录应用的安装路径。有关如何执行此操作的信息,请参阅记录你的应用列表。
创建应用列表后,下一步是标识将成为策略的规则集合。此信息可添加到标有以下内容的列下的表:
使用默认规则或定义新的规则条件
允许或拒绝
GPO 名称
若要执行此操作,请参阅以下主题: