通过

创建 AppLocker 计划文档

  • 项目

面向 IT 专业人员的本计划主题概述了研究所需的和包括在 AppLocker 计划文档中的信息。

AppLocker 部署设计

设计过程和计划文档可帮助你在组织中调查应用程序使用情况和记录发现,以便你可以使用 AppLocker 有效地部署和维护应用程序控制策略。

你应该完成设计和计划过程中的以下步骤:

  1. 确定你的应用程序控制目标

  2. 创建部署到每个业务组的应用列表

  3. 选择要创建的规则类型

  4. 确定组策略结构和规则强制

  5. 规划 AppLocker 策略管理

AppLocker 计划文档内容

计划文档应包含:

  • 将加入应用程序控制策略项目的业务组列表、它们的要求、它们的业务过程介绍以及联系信息。

  • 用于计划和部署的应用程序控制策略项目目标日期。

  • 每个业务组(或组织单位)使用的完整应用列表,包括版本信息和安装路径。

  • 应用到管理每个应用程序的规则的条件(或是否使用 AppLocker 提供的默认设置)。

  • 使用组策略部署 AppLocker 策略的策略。

  • 处理 AppLocker 生成的应用程序使用事件的策略。

  • 维护和管理部署后的 AppLocker 策略的策略。

AppLocker 计划文档的示例模板

你可以使用以下形式构建你自己的 AppLocker 计划文档。

业务组

操作系统环境:(Windows 和非 Windows)

联系人

业务联系人:

技术联系人:

其他部门

在此业务组中:

此项目影响方:

安全策略

内部:

法规/合规性:

业务目标

主要:

次要:

项目目标日期

设计签核日期:

策略部署日期:

 

规则

业务组 组织单位 实现 AppLocker? 应用 安装路径 使用默认规则或定义新的规则条件 允许或拒绝 GPO 名称 支持策略

 

 

事件处理

业务组 AppLocker 事件集合位置 存档策略 已分析? 安全策略

 

 

策略维护

业务组 规则更新策略 应用解除授权策略 应用版本策略 应用部署策略

 

计划:

紧急情况:

 

AppLocker 计划文档示例

规则

业务组 组织单位 实现 AppLocker? 应用程序 安装路径 使用默认规则或定义新的规则条件 允许或拒绝 GPO 名称 支持策略

银行出纳员

Teller-East 和 Teller-West

Teller 软件

C:\Program Files\Woodgrove\Teller.exe

对文件进行签名;创建发布者条件

允许

Tellers-AppLockerTellerRules

Web 帮助

Windows 文件

C:\Windows

创建默认规则的路径例外以排除 \Windows\Temp

允许

支持人员

人力资源

所有 HR

检查付款

C:\Program Files\Woodgrove\HR\Checkcut.exe

对文件进行签名;创建发布者条件

允许

HR-AppLockerHRRules

Web 帮助

时间表管理器

C:\Program Files\Woodgrove\HR\Timesheet.exe

不对文件进行签名;创建文件哈希条件

允许

Web 帮助

Internet Explorer 7

C:\Program Files\Internet Explorer\

对文件进行签名;创建发布者条件

拒绝

Web 帮助

Windows 文件

C:\Windows

使用 Windows 路径的默认规则

允许

支持人员

 

事件处理

业务组 AppLocker 事件集合位置 存档策略 已分析? 安全策略

银行出纳员

转发至:srvBT093 上的 AppLocker 事件存储库

标准

标准

人力资源

不得转发。srvHR004

60 个月

是,每月向经理作简报

标准

 

策略维护

业务组 规则更新策略 应用解除授权策略 应用版本策略 应用部署策略

银行出纳员

计划:每月通过营业部会审

紧急情况:通过支持人员提出请求

通过营业部会审

需要 30 天通知

常规策略:将以前的版本保留 12 个月

列出适用于每个应用程序的策略

通过营业部协调

需要 30 天通知

人力资源

计划:每月通过 HR 会审

紧急情况:通过支持人员提出请求

通过 HR 会审

需要 30 天通知

常规策略:将以前的版本保留 60 个月

列出适用于每个应用程序的策略

通过 HR 协调

需要 30 天通知

 

其他资源