记录你的应用程序控制管理过程

此计划主题介绍要为你的设计文档记录的 AppLocker 策略维护信息。

记录你的发现

若要完成此 AppLocker 计划文档,你应先完成以下步骤:

  1. 确定你的应用程序控制目标

  2. 创建部署到每个业务组的应用列表

  3. 选择要创建的规则类型

  4. 确定组策略结构和规则强制

  5. 规划 AppLocker 策略管理

要为 AppLocker 策略管理确定的三个关键领域是:

  1. 支持策略

    记录将用于处理来自尝试运行阻止应用的用户呼叫的过程,并确保支持人员知道建议的疑难解答步骤和策略的升级点。

  2. 事件处理

    记录事件是否会收集在中心位置、该存储将如何存档,以及事件是否会进行处理以供分析。

  3. 策略维护

    详细介绍如何将规则添加到策略、应在哪个组策略对象 (GPO) 中定义这些规则以及如何在停用、更新或添加应用时修改规则。

下表包含在确定如何维护和管理 AppLocker 策略时所收集的已添加示例数据。

业务组 组织单位 实现 AppLocker? 应用 安装路径 使用默认规则或定义新的规则条件 允许或拒绝 GPO 名称 支持策略

银行出纳员

Teller-East 和 Teller-West

Teller 软件

C:\Program Files\Woodgrove\Teller.exe

对文件进行签名;创建发布者条件

允许

Tellers-AppLockerTellerRules

Web 帮助

Windows 文件

C:\Windows

创建默认规则的路径例外以排除 \Windows\Temp

允许

支持人员

人力资源

所有 HR

检查付款

C:\Program Files\Woodgrove\HR\Checkcut.exe

对文件进行签名;创建发布者条件

允许

HR-AppLockerHRRules

Web 帮助

时间表管理器

C:\Program Files\Woodgrove\HR\Timesheet.exe

不对文件进行签名;创建文件哈希条件

允许

Web 帮助

Internet Explorer 7

C:\Program Files\Internet Explorer\

对文件进行签名;创建发布者条件

拒绝

Web 帮助

Windows 文件

C:\Windows

使用 Windows 路径的默认规则

允许

支持人员

 

以下两个表演示记录维护和管理 AppLocker 策略的注意事项的示例。

事件处理策略

应用使用情况的一个发现方法是将 AppLocker 强制模式设置为“仅审核”。这会将事件写入 AppLocker 日志,这些日志可以像其他 Windows 日志一样进行管理和分析。在标识应用后,你可以开始开发有关 AppLocker 事件的处理和访问的策略。

下表是应考虑和记录的内容的示例。

业务组 AppLocker 事件集合位置 存档策略 已分析? 安全策略

银行出纳员

转发至:srvBT093 上的 AppLocker 事件存储库

标准

标准

人力资源

不得转发。srvHR004

60 个月

是,每月向经理作简报

标准

 

策略维护策略

在标识应用程序并为应用程序控件创建策略后,你可以开始记录你打算如何更新这些策略。

下表是应考虑和记录的内容的示例。

业务组 规则更新策略 应用程序解除授权策略 应用程序版本策略 应用程序部署策略

银行出纳员

计划:每月通过营业部会审

紧急情况:通过支持人员提出请求

通过营业部会审

需要 30 天通知

常规策略:将以前的版本保留 12 个月

列出适用于每个应用程序的策略

通过营业部协调

需要 30 天通知

人力资源

计划:每月通过 HR 会审

紧急情况:通过支持人员提出请求

通过 HR 会审

需要 30 天通知

常规策略:将以前的版本保留 60 个月

列出适用于每个应用程序的策略

通过 HR 协调

需要 30 天通知

 

后续步骤

在你为每个业务组的应用程序确定应用程序控制管理策略后,以下任务将保留: