規劃 AppLocker 原則管理
本文說明建立管理及維護AppLocker原則之程式所需的決策。
群組原則管理
開始部署程式之前,請考慮在一段時間內管理AppLocker規則。 開發管理 AppLocker 規則的程式有助於確保 AppLocker 能夠繼續有效地控制應用程式在組織中執行的方式。
應用程式和使用者支持原則
開發管理 AppLocker 規則的程式有助於確保 AppLocker 能夠繼續有效地控制應用程式在組織中執行的方式。 考慮包括:
- 針對封鎖的應用程式提供何種類型的用戶支援?
- 新規則如何新增至原則?
- 如何更新現有規則?
- 是否轉送事件以供檢閱?
技術支援中心支援
如果您的組織已建立技術支援中心支援部門,請在部署AppLocker原則時考慮下列幾點:
- 支持部門需要哪些檔來部署新原則?
- 每個商務群組中哪些重要程式會受到應用程控原則影響,以及它們會如何影響支援部門的工作負載?
- 支持部門中的聯繫人是誰?
- 如何為使用者解決應用程控問題?
終端用戶支援
因為 AppLocker 會封鎖未經核准的應用程式執行,所以組織務必仔細規劃如何提供用戶支援。 考慮包括:
- 您要使用內部網路網站作為遇到封鎖應用程式之使用者的支援第一線嗎?
- 您要如何支持原則的例外狀況?
使用內部網路網站
AppLocker 可以設定為顯示預設區塊訊息,但使用自定義 URL。 您可以使用此 URL 將使用者重新導向至支援網站,其中包含使用者收到錯誤的原因和允許哪些應用程式的相關信息。 如果您在封鎖應用程式時未顯示訊息的自定義 URL,則會使用預設 URL。
下圖顯示封鎖應用程式的錯誤訊息範例。 您可以使用 [設定支援 Web 連結 ] 原則設定來自定義 [ 詳細資訊 ] 連結。
如需顯示訊息自定義 URL 的步驟,請 參閱當使用者嘗試執行封鎖的應用程式時顯示自定義 URL 訊息。
AppLocker 事件管理
每次進程嘗試執行時,AppLocker 都會在 AppLocker 事件記錄檔中建立事件。 事件包含嘗試執行的檔案、起始該檔案的使用者,以及封鎖或允許檔案的 AppLocker 規則 GUID 的相關信息。 AppLocker 事件記錄檔位於下列路徑: Applications and Services Logs\Microsoft\Windows\AppLocker。 AppLocker 記錄包含三個記錄:
- EXE 和 DLL。 包含受可執行檔和 DLL 規則集合 (.exe、.com、.dll 和 .ocx) 影響的所有檔案事件。
- MSI 和腳本。 包含 Windows Installer 和腳本規則集合 (.msi、.msp、.ps1、.bat、.cmd、.vbs 和 .js) 所影響之所有檔案的事件。
- 已封裝的 app-Deployment 或 Packaged app-Execution,包含受封裝應用程式和封裝應用程式安裝程式規則集合 (.appx) 影響之所有通用 Windows 應用程式的事件。
在中央位置收集這些事件可協助您維護AppLocker原則,並針對規則設定問題進行疑難解答。
原則維護
當應用程式部署、更新或淘汰時,您必須將原則規則保持在最新狀態。
您可以藉由新增、變更或移除規則來編輯AppLocker原則。 不過,您無法藉由匯入更多規則來指定原則的版本。 若要在修改 AppLocker 原則時確保版本控制,請使用 群組原則 管理軟體,讓您建立 群組原則 Objects (GPO) 的版本。 這類軟體的範例是Microsoft桌面優化套件中的進階 群組原則 管理功能。 如需詳細資訊,請參閱進階 群組原則 管理概觀。
重要
在 群組原則 中強制執行 AppLocker 規則集合時,您不應該編輯它。 因為 AppLocker 會控制允許執行哪些檔案,所以變更即時原則可能會產生非預期的行為。
新版支援的應用程式
在組織中部署新版本的應用程式時,您必須決定是否要繼續支援舊版的應用程式。 若要新增新版本,您可能只需要為與應用程式相關聯的每個檔案建立新規則。 如果您使用發行者條件,但未指定版本,則現有的規則可能就足以允許更新的檔案執行。 不過,您必須檢查是否有變更或新增檔案的檔名。 如果是,則您必須修改現有的規則或建立新的規則。 您可能需要針對數位簽名變更的檔案更新發行者型規則。
若要判斷檔案是否在應用程式更新期間變更,請檢閱更新套件所提供的發行者版本詳細數據。 您也可以檢閱發行者的網頁以擷取此資訊。 您也可以檢查每個檔案以判斷版本。
對於檔案哈希條件允許或拒絕的檔案,您必須擷取新的檔案哈希,並確保您的規則包含該新哈希。
對於具有路徑條件的檔案,您應該確認安裝路徑相同。 如果路徑已變更,您必須先新增新路徑的規則,再安裝新版本的應用程式。
最近部署的應用程式
若要支援新的應用程式,您必須將一或多個規則新增至現有的 AppLocker 原則。
不再支援應用程式
如果您的組織不再支援具有相關聯 AppLocker 規則的應用程式,您可以刪除規則來封鎖應用程式。
應用程式遭到封鎖,但應允許
檔案可能因為三個原因而遭封鎖:
- 最常見的原因是沒有規則可讓應用程式執行。
- 針對太嚴格的檔案,可能會建立現有的規則。
- 無法覆寫的拒絕規則會明確封鎖檔案。
編輯規則集合之前,請先判斷哪個規則會阻止檔案執行。 您可以使用 Test-AppLockerPolicy Windows PowerShell Cmdlet 來針對問題進行疑難解答。 如需針對 AppLocker 原則進行疑難解答的詳細資訊,請參閱 測試和更新 AppLocker 原則。
記錄您的結果
若要完成此 AppLocker 規劃檔,您應該先完成下列步驟:
要判斷 AppLocker 原則管理的三個主要區域如下:
支援原則
記錄處理嘗試執行封鎖應用程式之用戶來電的程式,並確保支持人員知道您原則的建議疑難解答步驟和呈報點。
事件處理
記錄事件的收集位置、封存事件的頻率,以及事件的處理方式以進行分析。
原則維護
詳細說明您的原則維護和生命周期計劃。
下表包含在判斷如何維護和管理 AppLocker 原則時所收集的新增範例數據。
| 商務群組 | 組織單位 | 實作 AppLocker? | 應用程式 | 安裝路徑 | 使用預設規則或定義新的規則條件 | 允許或拒絕 | GPO 名稱 | 支援原則 |
|---|---|---|---|---|---|---|---|---|
| 銀行出納員 | Teller-East 和 Teller-West | 是 | Teller Software | C:\Program Files\Woodgrove\Teller.exe | 檔案已簽署;建立發行者條件 | 允許 | Tellers-AppLockerTellerRules | Web 說明 |
| Windows 檔案 | C:\Windows | 建立預設規則的路徑例外狀況以排除 \Windows\Temp | 允許 | 服務台 | ||||
| 人力資源 | HR-All | 是 | 檢查支付 | C:\Program Files\Woodgrove\HR\Checkcut.exe | 檔案已簽署;建立發行者條件 | 允許 | HR-AppLockerHRRules | Web 說明 |
| 工作表召集人 | C:\Program Files\Woodgrove\HR\Timesheet.exe | 檔案未簽署;建立檔案哈希條件 | 允許 | Web 說明 | ||||
| Internet Explorer 7 | C:\Program Files\Internet Explorer | 檔案已簽署;建立發行者條件 | 拒絕 | Web 說明 | ||||
| Windows 檔案 | C:\Windows | 使用 Windows 路徑的預設規則 | 允許 | 服務台 |
下列兩個數據表說明記錄維護和管理 AppLocker 原則之考慮的範例。
事件處理原則
應用程式使用方式的其中一個發現方法是將AppLocker強制模式設定為 僅稽核。 此強制模式會將事件寫入 AppLocker 記錄,這些記錄可以像其他 Windows 記錄一樣管理和分析。 識別應用程式之後,您可以開始開發有關處理和存取AppLocker事件的原則。
下表是要考慮和記錄的範例。
| 商務群組 | AppLocker 事件收集位置 | 封存原則 | 分析? | 安全策略 |
|---|---|---|---|---|
| 銀行出納員 | 轉送至:srvBT093 上的 AppLocker 事件存放庫 | Standard | 無 | Standard |
| 人力資源 | 請勿轉寄。 srvHR004 | 60 個月 | 是,每月向經理回報摘要 | Standard |
原則維護原則
開始記錄您想要如何更新應用程控原則。
下表是要考慮和記錄的範例。
| 商務群組 | 規則更新原則 | 應用程式解除委任原則 | 應用程式版本原則 | 應用程式部署原則 |
|---|---|---|---|---|
| 銀行出納員 | 已規劃:每月到商務辦公室分級 緊急:透過技術支援中心要求 |
透過商務辦公室分級 需要 30 天通知 |
一般原則:保留過去版本 12 個月 列出每個應用程式的原則 |
透過商務辦公室協調 需要 30 天通知 |
| 人力資源 | 已規劃:每月到 HR 分級 緊急:透過技術支援中心要求 |
透過 HR 分級 需要 30 天通知 |
一般原則:保留過去版本 60 個月 列出每個應用程式的原則 |
透過 HR 協調 需要 30 天通知 |