共用方式為

測試和更新 AppLocker 原則

本文討論在部署之前測試 AppLocker 原則所需的步驟。

您應該測試每組規則,以確保規則如預期般執行。 如果您使用 群組原則 來管理 AppLocker 原則,請針對包含 AppLocker 規則的每個 群組原則 物件 (GPO) 完成下列步驟。 因為 AppLocker 規則繼承自連結的 GPO,所以您應該部署所有規則,以便在所有測試 GPO 中同時測試。

步驟 1:啟用僅稽核強制執行設定

使用 [僅稽核 強制模式] 設定來確認您的 AppLocker 規則已針對您的組織正確設定,而不會封鎖任何程序代碼。 您可以在 [AppLocker 屬性] 對話框的 [強制] 索引標籤上啟用此設定。 如需執行此設定程式的相關信息,請 參閱設定僅供稽核的 AppLocker 原則。

步驟 2:將應用程式識別服務設定為自動啟動

因為 AppLocker 會使用應用程式識別服務來驗證檔案的屬性,所以您必須將它設定為在任何套用 AppLocker 規則的 GPO 中自動啟動。 如需詳細資訊, 請參閱設定應用程式識別服務。 如果您未使用 GPO 部署 AppLocker 原則,您必須確定服務在每部電腦上執行,才能套用原則。

步驟 3:測試原則

測試 AppLocker 原則,以判斷是否需要修改您的規則集合。 只有在設定為接收 AppLocker 原則的所有用戶端電腦上,您的 AppLocker 原則才應處於稽核模式中。

Test-AppLockerPolicy Windows PowerShell Cmdlet 可用來判斷參考計算機上執行的任何程式碼是否遭到規則集合中的規則封鎖。 如需執行這項測試之程式的相關信息,請參閱 使用 Test-AppLockerPolicy 測試 AppLocker 原則

步驟 4:分析 AppLocker 事件

您可以手動分析 AppLocker 事件,或使用 Get-AppLockerFileInformation Windows PowerShell Cmdlet 將分析自動化。

手動分析 AppLocker 事件

使用 事件檢視器 或文本編輯器來檢視和排序 AppLocker 事件以進行分析。 您可以尋找應用程式使用狀況事件、存取頻率或使用者群組存取中的模式。 如果您未設定事件訂閱,您可以檢閱組織中計算機取樣上的記錄。 如需使用 事件檢視器 的詳細資訊,請參閱使用 AppLocker 監視應用程式使用量

使用 Get-AppLockerFileInformation 分析 AppLocker 事件

您可以使用 Get-AppLockerFileInformation Windows PowerShell Cmdlet 來分析來自遠端電腦的 AppLocker 事件。 如果應用程式遭到封鎖且應該允許,您可以使用AppLocker Cmdlet來協助疑難解答問題。

針對事件訂閱和本機事件,您可以使用 Get-AppLockerFileInformation Cmdlet 來判斷您的原則不允許哪些檔案,以及每個檔案的事件發生次數。 如需執行此監視程式的相關信息,請參 閱使用AppLocker監視應用程式使用量

接下來,您應該檢閱規則清單,以判斷是否應該為封鎖的檔案建立新規則,或是否太嚴格地定義現有的規則。 請確定您檢查哪些 GPO 目前阻止檔案執行。 若要判斷此封鎖程式 GPO,您可以使用 [群組原則 結果精靈] 來檢視規則名稱。

步驟 5:修改 AppLocker 原則

一旦您知道要編輯或新增至原則的規則之後,請使用 群組原則 管理控制台來修改相關 GPO 中的 AppLocker 規則。 如果您未透過 GPO 管理 AppLocker 原則,您可以使用本機安全策略嵌入式管理單元 (secpol.msc) 。 如需如何修改 AppLocker 原則的資訊,請參閱 編輯 AppLocker 原則

步驟 6:重複原則測試、分析和原則修改

重複上述步驟 3-5,直到所有規則如預期般執行,再套用強制執行。

其他資源

  • 如需執行其他 AppLocker 原則工作的步驟,請參閱 管理 AppLocker