记录你的应用程序控制管理过程
此计划主题介绍要为你的设计文档记录的 AppLocker 策略维护信息。
记录你的发现
若要完成此 AppLocker 计划文档,你应先完成以下步骤:
要为 AppLocker 策略管理确定的三个关键领域是:
支持策略
记录将用于处理来自尝试运行阻止应用的用户呼叫的过程,并确保支持人员知道建议的疑难解答步骤和策略的升级点。
事件处理
记录事件是否会收集在中心位置、该存储将如何存档,以及事件是否会进行处理以供分析。
策略维护
详细介绍如何将规则添加到策略、应在哪个组策略对象 (GPO) 中定义这些规则以及如何在停用、更新或添加应用时修改规则。
下表包含在确定如何维护和管理 AppLocker 策略时所收集的已添加示例数据。
业务组 | 组织单位 | 实现 AppLocker? | 应用 | 安装路径 | 使用默认规则或定义新的规则条件 | 允许或拒绝 | GPO 名称 | 支持策略 |
---|---|---|---|---|---|---|---|---|
银行出纳员 |
Teller-East 和 Teller-West |
是 |
Teller 软件 |
C:\Program Files\Woodgrove\Teller.exe |
对文件进行签名;创建发布者条件 |
允许 |
Tellers-AppLockerTellerRules |
Web 帮助 |
Windows 文件 |
C:\Windows |
创建默认规则的路径例外以排除 \Windows\Temp |
允许 |
支持人员 |
||||
人力资源 |
所有 HR |
是 |
检查付款 |
C:\Program Files\Woodgrove\HR\Checkcut.exe |
对文件进行签名;创建发布者条件 |
允许 |
HR-AppLockerHRRules |
Web 帮助 |
时间表管理器 |
C:\Program Files\Woodgrove\HR\Timesheet.exe |
不对文件进行签名;创建文件哈希条件 |
允许 |
Web 帮助 |
||||
Internet Explorer 7 |
C:\Program Files\Internet Explorer\ |
对文件进行签名;创建发布者条件 |
拒绝 |
Web 帮助 |
||||
Windows 文件 |
C:\Windows |
使用 Windows 路径的默认规则 |
允许 |
支持人员 |
以下两个表演示记录维护和管理 AppLocker 策略的注意事项的示例。
事件处理策略
应用使用情况的一个发现方法是将 AppLocker 强制模式设置为“仅审核”。这会将事件写入 AppLocker 日志,这些日志可以像其他 Windows 日志一样进行管理和分析。在标识应用后,你可以开始开发有关 AppLocker 事件的处理和访问的策略。
下表是应考虑和记录的内容的示例。
业务组 | AppLocker 事件集合位置 | 存档策略 | 已分析? | 安全策略 |
---|---|---|---|---|
银行出纳员 |
转发至:srvBT093 上的 AppLocker 事件存储库 |
标准 |
无 |
标准 |
人力资源 |
不得转发。srvHR004 |
60 个月 |
是,每月向经理作简报 |
标准 |
策略维护策略
在标识应用程序并为应用程序控件创建策略后,你可以开始记录你打算如何更新这些策略。
下表是应考虑和记录的内容的示例。
业务组 | 规则更新策略 | 应用程序解除授权策略 | 应用程序版本策略 | 应用程序部署策略 |
---|---|---|---|---|
银行出纳员 |
计划:每月通过营业部会审 紧急情况:通过支持人员提出请求 |
通过营业部会审 需要 30 天通知 |
常规策略:将以前的版本保留 12 个月 列出适用于每个应用程序的策略 |
通过营业部协调 需要 30 天通知 |
人力资源 |
计划:每月通过 HR 会审 紧急情况:通过支持人员提出请求 |
通过 HR 会审 需要 30 天通知 |
常规策略:将以前的版本保留 60 个月 列出适用于每个应用程序的策略 |
通过 HR 协调 需要 30 天通知 |
后续步骤
在你为每个业务组的应用程序确定应用程序控制管理策略后,以下任务将保留: