使用 AppLocker 监视应用使用情况

面向 IT 专业人员的本主题介绍应用 AppLocker 策略时如何监视应用使用情况。

在设置规则和部署 AppLocker 策略后,最好确定策略实现是否符合你的期望。

探索 AppLocker 策略的影响

你可以评估 AppLocker 策略当前针对文档和审核目的的实现情况,或者在策略修改之前的实现情况。更新 AppLocker 策略部署规划文档将帮助你跟踪评估结果。有关创建此文档的信息,请参阅创建你的 AppLocker 规划文档。你可以执行以下一项或多项步骤,了解哪些应用程序控制当前通过 AppLocker 规则强制执行。

  • 在事件查看器中分析 AppLocker 日志

    当 AppLocker 策略强制设置为“强制执行规则”时,将针对规则集合强制执行规则,并审核所有事件。当 AppLocker 策略强制设置为“仅审核”****时,规则将不会强制执行,但仍会接受评估,以生成写入 AppLocker 日志的审核事件数据。

    有关访问该日志的过程,请参阅在事件查看器中查看 AppLocker 日志。

  • 启用“仅审核”AppLocker 强制设置

    通过使用“仅审核”强制设置,你可以确保为组织正确配置 AppLocker 规则。当 AppLocker 策略强制设置为“仅审核”****时,将仅评估规则,但该评估生成的所有事件都将写入 AppLocker 日志。

    有关执行此操作的过程,请参阅为 AppLocker 策略配置“仅审核”

  • 通过 Get-AppLockerFileInformation 查看 AppLocker 事件

    对于事件订阅和本地事件,你可以使用 Get-AppLockerFileInformation Windows PowerShell cmdlet 确定已阻止或将要阻止哪些文件(如果你使用的是仅审核强制模式)以及针对每个文件的该事件发生的次数。

    有关执行此操作的过程,请参阅通过 Get-AppLockerFileInformation 查看 AppLocker 事件。

  • 通过 Test-AppLockerPolicy 查看 AppLocker 事件

    你可以使用 Test-AppLockerPolicy Windows PowerShell cmdlet 确定引用设备或在其中维护策略的设备是否会阻止规则集合中的任何规则。

    有关执行此操作的过程,请参阅使用 Test-AppLockerPolicy 测试 AppLocker 策略

通过 Get-AppLockerFileInformation 查看 AppLocker 事件

对于事件订阅和本地事件,你可以使用 Get-AppLockerFileInformation Windows PowerShell cmdlet 确定已阻止或将要阻止(如果应用了“仅审核”强制设置)哪些文件以及针对每个文件的该事件发生的次数。

必须至少具有本地 Administrators 组中的成员身份或同等身份才能完成此过程。

注意  

如果 AppLocker 日志不在本地设备上,你将需要查看日志的权限。如果输出保存到某个文件,你将需要读取该文件的权限。

 

Mt431800.wedge(zh-cn,VS.85).gif通过 Get-AppLockerFileInformation 查看 AppLocker 事件

  1. 在命令提示符下键入 PowerShell,然后按 ENTER。

  2. 运行以下命令,查看如果已强制执行规则后,将阻止某个文件运行的次数:

    Get-AppLockerFileInformation –EventLog –EventType Audited –Statistics

  3. 运行以下命令,查看已允许或阻止某个文件运行的次数:

    Get-AppLockerFileInformation –EventLog –EventType Allowed –Statistics

在事件查看器中查看 AppLocker 日志

当 AppLocker 策略强制设置为“强制执行规则”时,将针对规则集合强制执行规则,并审核所有事件。当 AppLocker 策略强制设置为“仅审核”****时,将仅评估规则,但该评估生成的所有事件都将写入 AppLocker 日志。

必须至少具有本地 Administrators 组中的成员身份或同等身份才能完成此过程。

Mt431800.wedge(zh-cn,VS.85).gif使用事件查看器在 AppLocker 日志中查看事件

  1. 打开“事件查看器”。若要执行此操作,请单击“开始”菜单、键入 eventvwr.msc,然后按 ENTER。

  2. 在“应用程序和服务日志\Microsoft\Windows”下的控制台树中,双击“AppLocker”****。

AppLocker 事件可在“EXE 和 DLL”日志、“MSI 和脚本”****日志中列出,也可在“封装应用部署”或“封装应用执行”****日志中列出。事件信息包括强制设置、文件名、日期和时间以及用户名。日志可导出为其他文件格式以供进一步分析。

相关主题

AppLocker