使用引用设备创建和维护 AppLocker 策略
本主题面向 IT 专业人员介绍了使用引用计算机创建和维护 AppLocker 策略的步骤。
背景和先决条件
AppLocker 引用设备是可用于配置策略并随后维护 AppLocker 策略的基线设备。有关配置引用设备的过程,请参阅配置 AppLocker 引用设备。
用于创建和维护 AppLocker 策略的 AppLocker 引用设备应针对每个组织单位 (OU) 包含相应的应用来模仿你的生产环境。
要点
引用设备必须运行一个受支持的 Windows 版本。有关 AppLocker 的操作系统要求的信息,请参阅使用 AppLocker 的要求。
你可以使用“仅审核”强制设置或 Windows PowerShell cmdlet 在引用设备上执行 AppLocker 策略测试。你还可以将引用设备用作测试配置的一部分,其中包含使用软件限制策略创建的策略。
步骤 1:在引用设备上自动生成规则
借助 AppLocker,可以为文件夹内的所有文件自动生成规则。AppLocker 扫描指定的文件夹并创建你为该文件夹中的每个文件选择的条件类型。有关执行此操作的过程,请参阅运行自动生成规则向导。
注意
如果你运行此向导来为组策略对象 (GPO) 创建你的第一个规则,当你完成该向导后,系统将提示你创建默认规则,即允许运行关键的系统文件。你可以随时编辑默认规则。如果你的组织已决定编辑默认规则或创建自定义规则以允许 Windows 系统文件运行,请确保在删除默认规则之前将它们替换为自定义规则。
步骤 2:在引用设备上创建默认规则
AppLocker 包含针对每个规则集合的默认规则。这些规则旨在帮助确保 AppLocker 规则集合允许 Windows 正常运行所必需的文件。必须运行针对每个规则集合的默认规则。有关默认规则及其使用注意事项的信息,请参阅了解 AppLocker 默认规则。有关创建默认规则的过程,请参阅创建 AppLocker 默认规则。
要点
在创建自己的规则时,可将这些默认规则用作模板。这允许 Windows 目录中的文件运行。但是,这些规则的作用旨在当你首次测试 AppLocker 规则时充当简易版策略。
步骤 3:在引用设备上修改规则和规则集合
如果 AppLocker 策略当前正在你的生产环境中运行,请将策略从相应的 GPO 中导出并将它们保存到引用设备中。有关执行操作的过程,请参阅从 GPO 导出 AppLocker 策略。如果尚未部署任何 AppLocker 策略,请使用以下过程创建规则并开发策略:
步骤 4:在引用设备上测试并更新 AppLocker 策略
应当测试每组规则以确保它们按预期执行。Test-AppLockerPolicy Windows PowerShell cmdlet 可用于确定规则集合中的任何规则是否会在引用设备上受阻。在每台用于定义 AppLocker 策略的引用设备上执行这些步骤。确保引用设备已连接到域,并且正在从合适的 GPO 中接收 AppLocker 策略。由于 AppLocker 规则继承自链接的 GPO,因此应当部署所有规则来同时测试所有测试 GPO。使用以下过程完成此步骤:
小心
如果你已将规则集合上的强制设置设为“强制执行规则”或你尚未配置规则集合,该策略将在下一步更新 GPO 时实现。如果你已将规则集合上的强制设置设为“仅审核”****,应用程序访问事件将写入 AppLocker 日志中,并且该策略将不会生效。
步骤 5:将策略导出和导入生产
在 AppLocker 策略成功通过测试后,可将其导入到 GPO 中(或导入到不受组策略管理的单个计算机中)并针对其预期效果进行检查。为此,请执行以下过程:
如果 AppLocker 策略强制设置为“仅审核”,并且你对该策略将要实现你的意图感到满意,则可以将它更改为“强制执行规则”****。有关如何更改强制设置的信息,请参阅为强制执行规则配置 AppLocker 策略。
步骤 6:监视策略在生产中的效果
如果在部署策略后需要其他改进或更新,请相应使用以下过程来监视和更新策略: