使用 AppLocker 监视应用使用情况

本文面向 IT 专业人员介绍如何在应用 AppLocker 策略时监视应用使用情况。

部署 AppLocker 策略后,监视其对设备的影响,以确保结果与预期结果一起。

发现 AppLocker 策略的效果

在修改策略之前,可以评估当前如何实现 AppLocker 策略以用于文档或审核目的。 更新 AppLocker 策略部署规划文档有助于跟踪发现结果。 可以执行以下步骤中的一个或多个步骤,了解当前通过 AppLocker 规则强制实施的应用程序控制。

  • 在 事件查看器 中分析 AppLocker 日志

    当 AppLocker 策略强制设置为 “强制实施规则”时,将阻止策略不允许的任何文件。 在这种情况下,规则集合的 AppLocker 事件日志中会引发事件。 当 AppLocker 策略强制设置为 “仅审核”时,规则不会强制执行,但仍会进行评估以生成写入 AppLocker 日志的审核事件数据。

    有关访问日志的过程的详细信息,请参阅在 事件查看器 中查看 AppLocker 日志

  • 启用“仅审核 AppLocker”强制设置

    通过使用 “仅审核” 强制设置,可以确保为组织正确配置 AppLocker 规则。 当 AppLocker 策略强制设置为“ 仅审核”时,仅评估规则,但从该评估生成的所有事件都会写入 AppLocker 日志。

    有关执行此配置的过程的详细信息,请参阅 配置仅用于审核的 AppLocker 策略

  • 使用 Get-AppLockerFileInformation 查看 AppLocker 事件

    对于事件订阅和本地事件,可以使用 Get-AppLockerFileInformation Windows PowerShell cmdlet 来确定哪些文件被阻止或将被阻止 (如果使用仅审核强制模式) ,以及每个文件发生阻止事件的次数。

    有关执行此验证的过程的详细信息,请参阅 使用 Get-AppLockerFileInformation 查看 AppLocker 事件

  • 使用 Test-AppLockerPolicy 查看 AppLocker 事件

    可以使用 Test-AppLockerPolicy Windows PowerShell cmdlet 来确定规则集合中的任何规则是否影响引用设备或维护策略的设备上运行的文件。

    有关执行此测试的过程的详细信息,请参阅 使用 Test-AppLockerPolicy 测试 AppLocker 策略

使用 Get-AppLockerFileInformation 查看 AppLocker 事件

对于事件订阅和本地事件,可以使用 Get-AppLockerFileInformation Windows PowerShell cmdlet 来确定在 () 应用“仅审核”强制设置时,哪些文件被阻止或将被阻止,以及每个文件发生阻止事件的次数。

本地 管理员 组中的成员身份或等效成员身份是完成此过程所需的最低要求。

注意

如果 AppLocker 日志不在本地设备上,则需要具有查看日志的权限。 如果输出保存到文件,则需要读取该文件的权限。

使用 Get-AppLockerFileInformation 查看 AppLocker 事件

  1. 在命令提示符下,键入 PowerShell,然后选择 ENTER。

  2. 运行以下命令,查看 AppLocker 策略不允许文件的次数:

    Get-AppLockerFileInformation -EventLog -EventType Audited -Statistics

  3. 运行以下命令,查看允许运行或阻止文件运行的次数:

    Get-AppLockerFileInformation -EventLog -EventType Allowed -Statistics

在 事件查看器 中查看 AppLocker 日志

当 AppLocker 策略强制设置为 “强制实施规则”时,将阻止策略不允许的任何文件。 在这种情况下,规则集合的 AppLocker 事件日志中会引发事件。 当 AppLocker 策略强制设置为 “仅审核”时,规则不会强制执行,但仍会进行评估以生成写入 AppLocker 日志的审核事件数据。

本地 管理员 组中的成员身份或等效成员身份是完成此过程所需的最低要求。

使用 事件查看器 查看 AppLocker 日志中的事件

  1. 若要打开事件查看器,请转到“开始”菜单,键入 eventvwr.msc,然后选择 ENTER。
  2. 在“ 应用程序和服务日志\Microsoft\Windows”下的控制台树中,双击“ AppLocker”。

APPLocker 事件在 EXE 和 DLL 日志、 MSI 和脚本 日志或 打包的应用部署打包的应用执行 日志中列出。 事件信息包括强制设置、文件名、日期和时间以及用户名。 可以将日志导出为其他文件格式,以便进一步分析。