将 AppLocker 策略部署到生产环境中
适用对象:Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8
本主题面向 IT 专业人员,介绍在部署 AppLocker 应用程序控制设置之前应该完成的任务。
成功测试和修改每个组策略对象 (GPO) 的 AppLocker 策略之后,就可以将强制设置部署到生产环境中。 对于大多数组织,这意味着要将 AppLocker 强制设置从“仅审核”切换到“强制规则”。 但是,请务必遵循之前制定的部署计划。 有关详细信息,请参阅 AppLocker 策略设计指南。 你可以根据组织中不同业务组的需要,为链接的 GPO 部署不同的强制设置。
了解设计决策
在部署 AppLocker 策略之前,应该确定:
对于每个业务组,将控制哪些应用程序以及如何进行控制。 有关详细信息,请参阅 创建应用程序部署到每个业务组的列表。
如何处理应用程序访问请求。 有关制定支持策略时所要考虑的问题的信息,请参阅规划 AppLocker 策略管理。
如何管理事件(包括转发事件)。 有关 AppLocker 中事件管理的信息,请参阅使用 AppLocker 监视应用程序使用情况。
你的 GPO 结构,包括如何包含软件限制策略 (SRP) 和 AppLocker 策略生成的策略。 有关详细信息,请参阅 确定组策略的结构和规则强制。
有关 AppLocker 部署如何依赖于设计决策的信息,请参阅了解 AppLocker 策略设计决策。
AppLocker 部署方法
如果已配置引用计算机,则可以在此计算机上创建和更新 AppLocker 策略,测试这些策略,然后将策略导出到相应的 GPO 以便分发。 另一种方法是创建策略并将强制设置设为“仅审核”,然后观察生成的事件。
-
本主题介绍使用 AppLocker 引用计算机并通过组策略或其他方法准备要部署的应用程序控制策略的步骤。
-
本主题介绍通过将强制设置更改为“仅审核”或“强制规则”来部署 AppLocker 策略的步骤。