本主题讨论在部署之前测试 AppLocker 策略所需的步骤。

应当测试每组规则以确保规则按预期执行。如果使用组策略来管理 AppLocker 策略,请针对其中创建了 AppLocker 规则的每个组策略对象 (GPO) 完成以下步骤。由于 AppLocker 规则继承自链接的 GPO,因此你应部署所有规则以供在所有测试 GPO 中同时测试。

步骤 1:启用“仅审核”强制设置

使用“仅审核”强制设置,可以确保为组织正确配置已创建的 AppLocker 规则。在“AppLocker 属性”****对话框的“强制”选项卡上,可启用此设置。有关执行此操作的过程,请参阅配置适用于“仅审核”的 AppLocker 策略

步骤 2:将应用程序标识服务配置为自动启动

由于 AppLocker 使用应用程序标识服务来验证文件的属性,因此在应用 AppLocker 规则的任一 GPO 中,你都必须将它配置为自动启动。有关执行此操作的过程,请参阅配置应用程序标识服务。对于不受 GPO 管理的 AppLocker 策略,你必须确保该服务运行在每台电脑上,以便应用这些策略。

步骤 3:测试策略

测试 AppLocker 策略以确定是否需要修改规则集合。由于已经创建了 AppLocker 规则,启用了应用程序标识服务,并启用了“仅审核”****强制设置,因此 AppLocker 策略应存在于所有配置为接收 AppLocker 策略的客户端电脑中。

Test-AppLockerPolicy Windows PowerShell cmdlet 可用于确定规则集合中的任何规则是否会在参考电脑上受阻。有关执行此操作的过程,请参阅使用 Test-AppLockerPolicy 测试 AppLocker 策略

步骤 4:分析 AppLocker 事件

你可以手动分析 AppLocker 事件,也可以使用 Get-AppLockerFileInformation Windows PowerShell cmdlet 来自动执行分析。

手动分析 AppLocker 事件

你可以在事件查看器或文本编辑器中查看事件,然后对这些事件进行排序来执行分析,如查找应用程序使用事件中的模式、访问频率或访问的用户组。如果你未配置事件订阅,则必须查看你的组织中抽样计算机上的日志。有关使用事件查看器的详细信息,请参阅使用 AppLocker 监视应用程序使用情况

使用 Get-AppLockerFileInformation 分析 AppLocker 事件

使用 Get-AppLockerFileInformation Windows PowerShell cmdlet 可以从远程计算机分析 AppLocker 事件。如果应用被阻止,但本应该允许,你可以使用 AppLocker cmdlet 来帮助解决此问题。

对于事件订阅和本地事件,可以使用 Get-AppLockerFileInformation cmdlet 来确定哪些文件已被阻止或将要被阻止(如果使用的是“仅审核”强制模式)以及每个文件发生过多少次此类事件。有关执行此操作的过程,请参阅使用 AppLocker 监视应用使用情况

在使用 Get-AppLockerFileInformation 确定文件将被阻止运行的次数后,你应当查看规则列表以确定是否应为阻止的文件创建新规则,或确定现有规则的定义是否过于严格。确保查看哪个 GPO 当前正阻止文件运行。要确定这种情况,可以使用组策略结果向导来查看规则名称。

步骤 5:修改 AppLocker 策略

在你已确定哪些规则需要编辑或添加到策略之后,可以使用组策略管理控制台来修改相关 GPO 中的 AppLocker 规则。对于不受 GPO 管理的 AppLocker 策略,可以使用本地安全策略管理单元 (secpol.msc)。有关如何修改 AppLocker 策略的信息,请参阅编辑 AppLocker 策略

步骤 6:重复执行策略测试、分析和策略修改

重复执行上述步骤 3 到步骤 5,直到所有规则在应用强制执行之前按预期执行。

其他资源

  • 有关执行其他 AppLocker 策略任务的步骤,请参阅管理 AppLocker