选择要创建的规则类型
本文列出了使用 AppLocker 创建应用程序控制策略规则时要使用的资源。
确定要为每个组创建的规则类型时,还应确定要用于每个组的强制设置。 不同的规则类型更适用于某些应用,具体取决于应用程序在特定业务组中的部署方式。
以下文章提供了有关 AppLocker 规则的其他信息,这些规则可帮助你决定对应用程序使用哪些规则:
- 了解 AppLocker 规则行为
- 了解 AppLocker 规则例外
- 了解 AppLocker 规则集合
- 了解 AppLocker 对规则的允许和拒绝操作
- 了解 AppLocker 规则条件类型
- 了解 AppLocker 默认规则
选择规则集合
使用的规则集合取决于要控制的文件类型,包括:
- 可执行文件:.exe 和.com
- Windows Installer 文件:.msi、.msp 和 .mst
- 脚本:.ps1、.bat、.cmd、.vbs 和 .js
- 打包的应用和打包的应用安装程序:.appx
- DLL:.dll 和 .ocx
默认情况下,规则允许基于用户或组权限运行文件。 如果使用 DLL 规则,则必须为所有允许的应用使用的每个 DLL 创建 DLL 允许规则。 默认情况下不启用 DLL 规则集合。
在 Woodgrove Bank 示例中,银行出纳业务组的业务线应用是 C:\Program Files\Woodgrove\Teller.exe,此应用需要包含在规则中。 此外,由于此规则是允许的应用程序列表的一部分,因此还必须包括 C:\Windows 下的所有 Windows 文件。
确定规则条件
规则条件是 AppLocker 规则所基于的条件,只能是下表中的规则条件之一。
规则条件 | 使用方案 | 资源 |
---|---|---|
发布者 | 若要使用发布者条件,软件发布者必须对其文件进行数字签名,或者必须使用组织证书进行签名。 在发布文件的新版本时,可能需要更新指定到版本级别的规则。 | 有关此规则条件的详细信息,请参阅 了解 AppLocker 中的发布者规则条件。 |
路径 | 可以为任何文件分配此规则条件。 但是,由于路径规则指定文件系统中的位置,因此除非明确免除) ,否则该规则将应用于任何子目录 (。 | 有关此规则条件的详细信息,请参阅 了解 AppLocker 中的路径规则条件。 |
文件哈希 | 可以为任何文件分配此规则条件。 但是,每次发布新版本的文件时,都必须更新规则,因为哈希值会更改。 | 有关此规则条件的详细信息,请参阅 了解 AppLocker 中的文件哈希规则条件。 |
在 Woodgrove Bank 示例中,银行出纳业务组的业务线应用已签名,位于 C:\Program Files\Woodgrove\Teller.exe。 因此,可以使用发布者条件定义规则。
确定如何允许系统文件运行
由于 AppLocker 规则生成允许的应用列表,因此必须创建规则以允许所有 Windows 文件运行。 可以为每个规则集合生成 AppLocker 的默认规则,以确保系统应用运行。 创建自己的规则时 (,可以使用 AppLocker 默认规则 中列出的这些默认规则) 作为模板。 但是,这些规则仅用于在首次测试 AppLocker 规则时充当初学者策略,以便 Windows 文件夹中的系统文件运行。 创建默认规则时,其名称以规则集合中的“ (默认规则) ”开头。
还可以根据路径条件为系统文件创建规则。 在前面的示例中,对于银行出纳组,所有 Windows 文件都位于 C:\Windows 下,可以使用路径规则条件类型进行定义。 此规则允许在应用更新和文件更改时访问这些文件。 如果需要更多应用程序安全性,可能需要修改从内置默认规则集合创建的规则。 例如,允许所有用户运行 Windows 文件夹中 .exe 文件的默认规则基于允许 Windows 文件夹中所有文件运行的路径条件。 Windows 文件夹包含“用户”组向其授予以下权限的临时子文件夹:
- 遍历文件夹/执行文件
- 创建文件/写入数据
- 创建文件夹/追加数据
为了应用程序兼容性,这些权限设置将应用于此文件夹。 但是,由于任何用户可以在此位置创建文件,因此允许从此位置运行应用可能会与组织的安全策略冲突。
后续步骤
选择要创建的规则类型后,如 记录 AppLocker 规则中所述记录你的发现结果。
记录要创建的 AppLocker 规则的发现结果后,需要考虑如何强制执行这些规则。 有关如何执行此强制操作的信息,请参阅确定组策略结构和规则强制实施。