部署 AppLocker 策略的要求
此部署主题面向 IT 专业人员列出了你在部署 AppLocker 策略之前需要考虑的要求。
在你部署 AppLocker 策略之前必须满足或解决以下要求:
部署计划
支持的操作系统
策略分发机制
事件集合和分析系统
部署计划
AppLocker 策略部署计划是组织中哪些应用程序是必需的、哪些应用是可选的以及哪些应用是被禁止的这一调查的结果。若要发展此计划,请参阅 AppLocker 设计指南。下表是要在支持的操作系统上成功部署 AppLocker 策略需要收集的数据和需要做的各项决定(如使用 AppLocker 的要求所示)的一个示例。
| 业务组 | 组织单位 | 实现 AppLocker? | 应用 | 安装路径 | 使用默认规则或定义新的规则条件 | 允许或拒绝 | GPO 名称 | 支持策略 |
|---|---|---|---|---|---|---|---|---|
银行出纳员 |
Teller-East 和 Teller-West |
是 |
Teller 软件 |
C:\Program Files\Woodgrove\Teller.exe |
对文件进行签名;创建发布者条件 |
允许 |
出纳员 |
Web 帮助 |
Windows 文件 |
C:\Windows |
创建默认规则的路径例外以排除 \Windows\Temp |
允许 |
帮助台 |
||||
时间表管理器 |
C:\Program Files\Woodgrove\HR\Timesheet.exe |
不对文件进行签名;创建文件哈希条件 |
允许 |
Web 帮助 |
||||
人力资源 |
所有 HR |
是 |
检查付款 |
C:\Program Files\Woodgrove\HR\Checkcut.exe |
对文件进行签名;创建发布者条件 |
允许 |
HR |
Web 帮助 |
Internet Explorer 7 |
C:\Program Files\Internet Explorer\ |
对文件进行签名;创建发布者条件 |
拒绝 |
帮助台 |
||||
Windows 文件 |
C:\Windows |
使用 Windows 路径的默认规则 |
允许 |
帮助台 |
事件处理策略
| 业务组 | AppLocker 事件集合位置 | 存档策略 | 已分析? | 安全策略 |
|---|---|---|---|---|
银行出纳员 |
已转发到:srvBT093 |
标准 |
无 |
标准 |
人力资源 |
不转发 |
60 个月 |
是;每月向经理作简报 |
标准 |
策略维护策略
| 业务组 | 规则更新策略 | 应用解除授权策略 | 应用版本策略 | 应用部署策略 |
|---|---|---|---|---|
银行出纳员 |
计划:每月通过营业部会审 紧急情况:通过帮助台请求 |
通过营业部会审;需要 30 天通知 |
常规策略:将以前的版本保留 12 个月 列出适用于每个应用程序的策略 |
通过营业部协调;需要 30 天通知 |
人力资源 |
计划:通过 HR 会审 紧急情况:通过帮助台请求 |
通过 HR 会审;需要 30 天通知 |
常规策略:将以前的版本保留 60 个月 列出适用于每个应用程序的策略 |
通过 HR 协调;需要 30 天通知 |
支持的操作系统
AppLocker 仅在某些操作系统上受支持。并非所有操作系统都提供某些功能。有关详细信息,请参阅使用 AppLocker 的要求。
策略分发机制
需要一种方法来将 AppLocker 策略分发给目标明确的所有业务组。AppLocker 使用组策略管理体系结构来有效地分发应用程序控制策略。还可以在个别计算机上使用本地安全策略管理单元配置 AppLocker 策略。
事件集合和分析系统
事件处理对于了解应用程序使用情况非常重要。必须具有一个用于收集和分析 AppLocker 事件的合适进程,以便可适当地限制和了解应用程序的使用情况。有关监视 AppLocker 事件的过程,请参阅: