选择要创建的规则类型
本主题列出了可在使用 AppLocker 选择应用程序控制策略规则时使用的资源。
当为你的每个组确定了要创建的规则的类型后,还应当为每个组确定要使用的强制设置。不同的规则类型更适用于某些应用,具体取决于这些应用程序在特定业务组中的部署方式。
以下主题提供有关可帮助你确定哪些规则适用于你的应用程序的 AppLocker 规则的其他信息:
选择规则集合
你创建的规则将位于以下规则集合之一:
可执行文件:.exe 和 .com
Windows Installer 文件:.msi、.msp 和 .mst
脚本:.ps1、.bat、.cmd、 vbs 和 .js
封装应用和封装应用安装程序:.appx
DLL:.dll 和 .ocx
默认情况下,规则将允许文件基于用户或用户组特权运行。如果你使用 DLL 规则,则需要为所有允许的应用所使用的每个 DLL 都创建一个 DLL 允许规则。默认情况下不启用 DLL 规则集合。
在 Woodgrove Bank 示例中,银行出纳员业务组的业务线应用位于 C:\Program Files\Woodgrove\Teller.exe,并且此应用需要包含在规则中。此外,由于此规则是允许的应用程序列表的一部分,因此还必须包含 C:\Windows 下的所有 Windows 文件。
确定规则条件
规则条件是 AppLocker 规则所依据的标准,并且只能是下表中的规则条件之一。
| 规则条件 | 使用方案 | 资源 |
|---|---|---|
发布者 |
若要使用发布者条件,文件必须由软件发布者进行数字签名,或使用内部证书进行如此操作。当新版本的文件发布时,特定于版本级别的规则可能需要更新。 |
有关此规则条件的详细信息,请参阅了解 AppLocker 中的发布者规则条件。 |
路径 |
可以向任何文件分配此规则条件,然而,由于路径规则指定文件系统中的位置,因此任何子目录也将受该规则的影响(除非明确免除)。 |
有关此规则条件的详细信息,请参阅了解 AppLocker 中的路径规则条件。 |
文件哈希 |
任何文件均可分配此规则条件,然而,该规则必须在每次发布新版本的文件时进行更新,因为哈希值在某种程度上基于该版本。 |
有关此规则条件的详细信息,请参阅了解 AppLocker 中的文件哈希规则条件。 |
在 Woodgrove Bank 示例中,会对银行出纳员业务组的业务线应用进行签名,该应用程序位于 C:\Program Files\Woodgrove\Teller.exe。因此,可以用发布者条件定义该规则。如果该规则的定义是针对特定版本及更高版本(例如,Teller.exe 版本 8.0 及更高版本),则可以对此应用进行任何更新,而且在应用的名称和签名的属性保持不变的情况下不会中断对用户的访问。
确定如何允许系统文件运行
由于 AppLocker 规则生成了允许的应用列表,因此必须创建一个或多个规则来允许运行所有 Windows 文件。通过为每个规则集合生成默认的规则,AppLocker 提供了一种可确保系统文件在你的规则集合中得到适当考虑的方法。在创建自己的规则时,可将这些默认规则用作模板。但是,这些规则的作用只是在你首次测试 AppLocker 规则时充当简易版策略,以便允许 Windows 文件夹中的系统文件运行。创建了默认规则后,在其出现在规则集合中时,将会在其名称中以“(默认规则)”形式表示。
还可以基于路径条件为系统文件创建规则。在上述示例中,对于 Bank Tellers 组,所有 Windows 文件均位于 C:\Windows 下,并且都可以使用路径规则条件类型进行定义。每当应用更新以及文件更改时,这将允许访问这些文件。如果你需要使用其他应用程序安全,可能需要修改来自内置的默认规则集合中已创建的规则。例如,允许所有用户运行 Windows 文件夹中的 .exe 文件的默认规则基于允许 Windows 文件夹内所有文件运行的路径条件。Windows 文件夹包含用户组向其提供以下权限的 Temp 子文件夹:
遍历文件夹/执行文件
创建文件/写入数据
创建文件夹/附加数据
这些权限设置应用于此文件夹以实现应用程序兼容性。但是,由于任何用户都可以在此位置创建文件,允许应用从该位置运行可能会与你组织的安全策略发生冲突。
后续步骤
在选择了要创建的规则类型后,按记录你的 AppLocker 规则中的说明记录你的发现。
在针对要创建的 AppLocker 规则记录了发现后,将需要考虑如何强制执行这些规则。有关如何执行此操作的信息,请参阅确定组策略结构和规则强制。