记录你的应用列表
此计划主题介绍你在为 AppLocker 策略创建应用列表时应记录的应用信息。
记录你的发现
应用
记录应用名称,无论发布者名称是否指示它已签名,也无论它是任务关键型、业务工作效率型、可选应用还是个人应用。以后,当你管理你的规则时,AppLocker 将以以下示例中所示的格式显示此信息:MICROSOFT OFFICE INFOPATH signed by O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US。
安装路径
记录应用的安装路径。例如,Microsoft Office 2016 将文件安装到 %programfiles%\Microsoft Office\Office16\,它在大部分设备上是 C:\Program Files\Microsoft Office\Office16\。
下表提供如何在设计应用程序控制策略的早期阶段为每个业务组列出应用程序的示例。最后,随着更多的计划信息添加到列表,该信息可用于生成 AppLocker 规则。
| 业务组 | 组织单位 | 实现 AppLocker? | 应用 | 安装路径 |
|---|---|---|---|---|
银行出纳员 |
Teller-East 和 Teller-West |
是 |
Teller 软件 |
C:\Program Files\Woodgrove\Teller.exe |
Windows 文件 |
C:\Windows |
|||
人力资源 |
所有 HR |
是 |
检查付款 |
C:\Program Files\Woodgrove\HR\Checkcut.exe |
时间表管理器 |
C:\Program Files\Woodgrove\HR\Timesheet.exe |
|||
Internet Explorer 7 |
C:\Program Files\Internet Explorer\ |
|||
Windows 文件 |
C:\Windows |
注意
AppLocker 仅支持通用 Windows 应用的发布者规则。因此,收集通用 Windows 应用的安装路径信息不是必需的。
事件处理
在创建应用列表时,你需要考虑如何管理通过用户访问生成的事件,或者你需要拒绝运行这些应用以尽可能提高用户的工作效率。下表是应考虑和记录的内容的示例:
是否将为 AppLocker 事件实现事件转发?
AppLocker 事件集合的位置是什么?
是否应实现事件存档策略?
是否将分析事件,频率是多少?
是否应为事件集合准备安全策略?
策略维护
在创建应用列表时,你需要考虑如何管理和维护你最终将创建的策略。下表是应考虑和记录的内容的示例:
将如何为紧急应用访问和永久访问更新规则?
将如何删除应用?
将维护多少相同的较早版本的应用?
将如何引入新的应用?
后续步骤
在创建应用程序列表后,下一步是标识规则集合,后者将成为应用程序控制策略。此信息可添加到以下列下的表中:
使用默认规则或定义新的规则条件
允许或拒绝
GPO 名称
若要标识规则集合,请参阅以下主题: