收集應用程式使用量需求
本文說明從每個商務群組收集應用程式使用量需求的程式,以便使用AppLocker實作應用程控原則。
判斷應用程式使用量
針對每個商務群組,判斷下列資訊:
- 使用的應用程式完整清單,包括不同版本的應用程式。
- 應用程式的完整安裝路徑。
- 每個應用程式的發行者和已簽署狀態。
- 商務群組為每個應用程式設定的需求類型,例如業務關鍵、業務生產力、選擇性或個人。 在這項工作期間,識別 IT 部門支援或不支援哪些應用程式,或由您控制外部的其他人支援,也可能很有説明。
如何執行應用程式使用量評估
您可能已經有方法可瞭解每個商務群組的應用程式使用量。 您必須使用此資訊來協助建立 AppLocker 規則集合。 AppLocker 包含 [自動產生規則精靈] 和 [僅稽核 強制執行] 設定,可協助您規劃和建立規則集合。
應用程式清查方法
使用 [自動產生規則精靈] 可快速為您指定的應用程式建立規則。 精靈是專為建置規則集合而設計的。 您可以使用本機安全策略嵌入式管理單元來檢視和編輯規則。 從參照計算機建立規則,以及在測試環境中建立和評估AppLocker原則時,這個方法非常有用。 不過,它確實需要可在參照計算機上或透過網路驅動器機存取檔案。 這項需求可能表示在設定參照計算機及判斷該計算機的維護原則時,會進行更多工作。
使用僅稽核強制方法可讓您檢視記錄,因為它會收集接收 群組原則 Object (GPO) 之計算機上每個進程的相關信息。 因此,您可以評估強制執行對商務群組中計算機的可能影響。 AppLocker 包含 Windows PowerShell Cmdlet,可用來分析事件記錄檔中的事件,以及用來建立規則的 Cmdlet。 不過,當您使用 群組原則 部署到幾部計算機時,收集中央位置事件的方法對於管理能力很重要。 由於 AppLocker 會記錄使用者或其他行程在電腦上啟動之檔案的相關信息,因此您一開始可能會遺失建立一些規則。 因此,您應該繼續評估,直到您可以確認允許執行的所有必要應用程式都已成功存取為止。
提示
如果您針對已啟用任何 AppLocker 原則的自訂應用程式執行應用程式驗證程式,可能會導致應用程式無法執行。 您應該停用應用程式驗證器或 AppLocker。
您可以使用兩種方法在裝置上建立已封裝應用程式的清查:Get-AppxPackage Windows PowerShell Cmdlet 或 AppLocker 控制台。
下列文章說明如何執行每個方法:
完成清查的必要條件
針對應用程控原則,識別該群組內的商務群組和每個組織單位 (OU) 。 此外,您應該識別 AppLocker 是否為這些原則最適合的解決方案。 如需這些步驟的相關信息,請參閱下列文章:
後續步驟
識別並開發應用程式清單。 記錄應用程式的名稱、其發行者,以及應用程式的重要性。 記錄應用程式的安裝路徑。 如需詳細資訊,請 參閱記載您的應用程式清單。
建立應用程式清單之後,下一個步驟是識別要建立的規則,讓這些應用程式可以執行。 這項資訊可以新增至標示的數據行下的數據表:
- 使用預設規則或定義新的規則條件
- 允許或拒絕
- GPO 名稱
如需指引,請參閱下列文章: