了解 AppLocker 原則的設計決策
本文說明當您使用AppLocker規劃應用程控原則部署時,AppLocker 的設計問題、可能的答案和其他考慮。
當您開始設計和規劃程式時,應該考慮設計選擇的效果。 產生的決策會影響您的原則部署配置和後續的應用程控原則維護。
如果下列各項都成立,您應該考慮使用AppLocker作為組織應用程控原則的一部分:
- 您正在組織中執行支援的 Windows 版本。 如需特定操作系統版本需求,請參閱 使用AppLocker的需求。
- 您需要改善對組織應用程式存取的控制。
- 您組織中的應用程式數目是已知且可管理的。
- 您有資源可根據組織的需求來測試原則。
- 您有資源可讓技術支援中心參與,或建置使用者應用程式存取問題的自助程式。
以下是當您針對目標環境) 適當地部署應用程控原則 (時應考慮的一些問題。
您需要在組織中控制哪些應用程式?
您可能需要控制有限的應用程式數目,因為它們會存取敏感數據,或者您只想要允許針對商務用途核准的應用程式。 可能有某些商務群組需要嚴格控制,而其他業務群組則會提升獨立的應用程式使用方式。
| 可能的答案 | 設計考量 |
|---|---|
| 控制所有應用程式 | AppLocker 原則會依據檔案類型建立允許的應用程式清單來控制應用程式。 也可能會發生例外狀況。 AppLocker 原則只能套用至安裝在執行其中一個支援 Windows 版本之電腦上的應用程式。 |
| 控制特定應用程式 | 當您建立 AppLocker 規則時,會建立允許的應用程式清單。 除了例外狀況清單) 上的應用程式之外,該清單上的所有應用程式都可執行 (。 不在清單上的應用程式會遭到封鎖而無法執行。 AppLocker 原則只能套用至安裝在執行任何支援 Windows 版本之電腦上的應用程式。 |
| 只控制傳統 Windows 應用程式、僅限已封裝的應用程式或兩者 | AppLocker 原則會藉由依檔案類型建立允許的應用程式清單來控制應用程式。 因為已封裝的應用程式是在發行者條件下分類,所以傳統 Windows 應用程式和已封裝的應用程式可以一起控制。 您目前針對傳統 Windows 應用程式擁有的規則可以保留,而且您可以為已封裝的應用程式建立新的規則。 如需傳統 Windows 應用程式和已封裝應用程式的比較,請參閱本文中的 比較傳統 Windows 應用程式和已封裝應用程式的 AppLocker 原則設計決策 。 |
| 依商務群組和使用者控制應用程式 | AppLocker 原則可以透過 群組原則 物件 (GPO 套用至組織單位 (OU) 內的計算機物件) 。 個別 AppLocker 規則可以套用至個別使用者或使用者群組。 |
| 依電腦而不是使用者控制應用程式 | AppLocker 是以計算機為基礎的原則實作。 如果您的網域或網站組織結構不是以邏輯用戶結構為基礎,例如 OU,您可能會想要在開始 AppLocker 規劃之前設定該結構。 否則,您必須識別使用者、其計算機及其應用程式存取需求。 |
| 瞭解應用程式使用量,但尚無須控制任何應用程式 | AppLocker 原則可以設定為稽核應用程式使用量,以協助您追蹤組織中使用的應用程式。 然後,您可以使用 AppLocker 事件記錄檔來建立 AppLocker 原則。 |
注意
AppLocker 規則允許或封鎖應用程式或二進位檔啟動。 AppLocker 不會控制應用程式啟動後的行為。 如需詳細資訊,請參閱 AppLocker的安全性考慮。
比較傳統 Windows 應用程式和已封裝應用程式的 AppLocker 原則設計決策
已封裝應用程式的 AppLocker 原則只能套用至執行 Windows 作業系統且支援 Microsoft 市集應用程式的電腦上安裝的應用程式。 不過,除了支援已封裝應用程式的計算機之外,傳統 Windows 應用程式還可以在 Windows Server 2008 R2 和 Windows 7 中控制。 傳統 Windows 應用程式和已封裝應用程式的規則可以一起強制執行。 您應該考慮的封裝應用程式差異如下:
- 標準使用者可以安裝已封裝的應用程式,而許多傳統 Windows 應用程式則需要系統管理認證才能安裝。 因此,在大部分使用者都是標準使用者的環境中,您可能不需要許多exe規則,但您可能會想要更明確的已封裝應用程式原則。
- 如果傳統 Windows 應用程式是以系統管理認證執行,則可以撰寫它們來變更系統狀態。 大部分已封裝的應用程式無法變更系統狀態,因為它們以有限的許可權執行。 當您設計 AppLocker 原則時,請務必瞭解您允許的應用程式是否可以進行全系統的變更。
- 您可以透過市集取得已封裝的應用程式,也可以使用 Windows PowerShell Cmdlet 側載。 如果您使用 Windows PowerShell Cmdlet,則需要特殊的企業授權才能取得已封裝的應用程式。 傳統 Windows 應用程式可以透過傳統方式取得,例如透過軟體廠商或零售散發。
AppLocker 會使用不同的規則集合來控制已封裝的應用程式和傳統 Windows 應用程式。 您可以選擇控制已封裝的應用程式、傳統 Windows 應用程式或兩者。
如需詳細資訊,請參閱 AppLocker中的已封裝應用程式和已封裝的應用程式安裝程序規則。
使用 AppLocker 控制腳本
AppLocker 腳本強制執行牽涉到啟發式腳本主機之間的交握,例如 PowerShell 和 AppLocker。 不過,腳本主機會處理實際的強制執行行為。 大部分的腳本主機都會先詢問 AppLocker,是否應根據目前作用中的 AppLocker 原則來允許腳本執行。 然後,腳本主機會封鎖、允許或變更腳本的執行 方式 ,以最能保護用戶和裝置。
AppLocker 會針對所有腳本強制事件使用 AppLocker - MSI 和腳本 事件記錄檔。 每當腳本主機詢問 AppLocker 是否應允許文稿時,就會記錄事件,並以回應 AppLocker 傳回給腳本主機。
注意
當執行原則不允許的腳本時,AppLocker 會引發事件,指出腳本已「封鎖」。不過,實際的腳本強制執行行為是由腳本主機處理,實際上可能不會完全封鎖檔案執行。
AppLocker 腳本強制執行只能控制 VBScript、JScript、.bat 檔案、.cmd檔案和 Windows PowerShell 腳本。 它不會控制在主機進程內執行的所有解譯程序代碼,例如 Perl 腳本和巨集。 解譯的程式代碼是在主機進程內執行的可執行程序代碼形式。 例如,Windows 批處理檔 (*.bat) 在 Windows 命令主機 (cmd.exe) 的內容中執行。 若要使用AppLocker來控制解譯的程式代碼,主機進程必須在執行解譯的程式代碼之前呼叫AppLocker,然後從AppLocker強制執行該決定。 並非所有主機進程都會呼叫 AppLocker。 因此,AppLocker 無法控制每種解譯的程序代碼,例如Microsoft Office 巨集。
重要
如果您必須允許這些主機進程執行,您應該設定這些主機進程的適當安全性設定。 例如,在 Microsoft Office 中設定安全性設定,以確保只會載入已簽署和信任的巨集。
您目前如何控制組織中的應用程式使用量?
大部分的組織都會隨著時間發展其應用程控原則和方法。 AppLocker 最適合在具有妥善管理應用程式部署和核准程序的組織中使用。
| 可能的答案 | 設計考量 |
|---|---|
| 安全策略 (本機設定或透過 群組原則) | 使用 AppLocker 需要更努力地規劃建立正確的原則,但此原則建立會產生更簡單的散發方法。 |
| 非Microsoft應用程控軟體 | 使用 AppLocker 需要完整的應用程控原則評估和實作。 |
| 依群組或 OU 的受控使用量 | 使用 AppLocker 需要完整的應用程控原則評估和實作。 |
| 授權管理員或其他角色型存取技術 | 使用 AppLocker 需要完整的應用程控原則評估和實作。 |
| Other | 使用 AppLocker 需要完整的應用程控原則評估和實作。 |
組織中是否有需要自定義應用程控原則的特定群組?
大部分的商務群組或部門都有與數據存取和用來存取該數據的應用程式相關的特定安全性需求。 在為整個組織部署應用程控原則之前,您應該考慮每個群組的專案範圍和群組的優先順序。
| 可能的答案 | 設計考量 |
|---|---|
| 是 | 針對每個群組,您必須建立包含其應用程控需求的清單。 雖然這項考慮可能會增加規劃時間,但通常會導致更有效率的部署。 如果您的 GPO 結構不符合組織群組,您可以將 AppLocker 規則套用至特定使用者群組。 |
| 否 | AppLocker 原則可以全域套用至已安裝的應用程式。 根據您需要控制的應用程式數目,管理所有規則和例外狀況可能會是一項挑戰。 |
您的 IT 部門是否有資源可分析應用程式使用量,以及設計和管理原則?
您可以用來執行研究和分析的時間和資源,可能會影響計劃和程式的詳細數據,以繼續進行原則管理和維護。
| 可能的答案 | 設計考量 |
|---|---|
| 是 | 請投入時間來分析組織的應用程控需求,並規劃使用盡可能建構之規則的完整部署。 |
| 否 | 使用一些規則,考慮針對特定群組進行焦點和階段式部署。 當您將控制項套用至特定群組中的應用程式時,請從該部署中學習以規劃下一個部署。 |
您的組織是否有技術支援中心?
當您防止使用者存取應用程式時,至少一開始會導致終端用戶支援增加。 您必須解決組織中的各種支持問題,以便遵循安全策略,而不會妨礙商務工作流程。
| 可能的答案 | 設計考量 |
|---|---|
| 是 | 在規劃階段初期與支援部門連絡,因為您的使用者可能會遭到封鎖而無法使用其應用程式,或者他們可能會尋求使用特定應用程式的例外狀況。 |
| 否 | 在部署之前,請投入時間開發在線支援程式和檔。 |
您知道哪些應用程式需要限制性原則嗎?
任何成功的應用程控原則實作都是以您對組織或商務群組內應用程式使用方式的知識和了解為基礎。 此外,應用程控設計取決於數據的安全性需求,以及存取該數據的應用程式。
| 可能的答案 | 設計考量 |
|---|---|
| 是 | 您應該判斷商務群組的應用程控優先順序,然後嘗試為其應用程控原則設計最簡單的配置。 |
| 否 | 您必須執行稽核和需求收集專案,以探索應用程式使用量。 AppLocker 提供在 僅 稽核模式中部署原則的方法,以及用來檢視事件記錄檔的工具。 |
如何在組織中部署或核准 (升級或新) 的應用程式?
實作成功的應用程控原則是以您對組織或商務群組內應用程式使用方式的知識和了解為基礎。 此外,應用程控設計取決於數據的安全性需求,以及存取該數據的應用程式。 了解升級和部署原則有助於塑造應用程控原則的建構。
| 可能的答案 | 設計考量 |
|---|---|
| 意外 | 您需要從每個群組收集需求。 有些群組可能會想要不受限制的存取或安裝,而其他群組可能想要嚴格的控制。 |
| 嚴格寫入的原則或要遵循的指導方針 | 您必須開發可反映這些原則的 AppLocker 規則,然後測試和維護規則。 |
| 沒有就地處理程式 | 您必須判斷您是否有資源可開發應用程控原則,以及哪些群組。 |
實作應用程控原則時,貴組織的優先順序為何?
有些組織會從應用程控原則獲益,如生產力或一致性增加所示,而有些組織則會妨礙執行其職責。 為每個群組設定這些層面的優先順序,讓您評估AppLocker的有效性。
| 可能的答案 | 設計考量 |
|---|---|
| 生產力:組織可確保工具能夠運作,而且可以安裝必要的應用程式。 | 為了達到創新和生產力目標,某些群組需要能夠安裝及執行來自不同來源的各種軟體,包括他們開發的軟體。 因此,如果創新和生產力是高優先順序,透過允許的清單管理應用程控原則可能會很耗時,而且會阻礙進度。 |
| 管理:組織會察覺並控制其支援的應用程式。 | 在某些商務群組中,可以從控制中心點管理應用程式使用量。 AppLocker 原則可以內建在 GPO 中以達到該目的。 |
| 安全性:組織必須確保只使用已核准的應用程式,以部分保護數據。 | AppLocker 可藉由允許一組已定義的使用者存取數據的應用程式來協助保護數據。 如果安全性是最高優先順序,您的應用程控原則可能會更嚴格。 |
組織中目前如何存取應用程式?
AppLocker 適用於具有妥善管理應用程式管理且具有直接應用程控原則目標的組織。 例如,AppLocker 可讓無用戶能夠存取連線到組織網路的計算機,例如學校或文檔庫的環境受益。
| 可能的答案 | 設計考量 |
|---|---|
| 用戶在沒有系統管理許可權的情況下執行。 | 應用程式是使用安裝部署技術來安裝。 |
| AppLocker 可協助降低通常使用一組有限應用程式的商務群組總擁有成本,例如人力資源和財務部門。 同時,這些部門會存取高敏感性資訊,其中大部分都包含機密和專屬資訊。 藉由使用 AppLocker 為允許執行的特定應用程式建立規則,您可以協助限制未經授權的應用程式存取此資訊。 注意: AppLocker 也可以有效地協助在使用者以系統管理員身分執行的組織中建立標準化桌面。 不過,請務必注意,具有系統管理認證的使用者可以將新規則新增至本機 AppLocker 原則。 |
用戶必須能夠視需要安裝應用程式。 |
| 使用者目前具有系統管理員存取權,因此很難變更此許可權。 | 強制執行 AppLocker 規則不適用於必須能夠視需要安裝應用程式,且未經 IT 部門核准的商務群組。 如果您組織中的一或多個 OU 有此需求,您可以選擇不使用 AppLocker 在這些 OU 中強制執行應用程式規則,或透過 AppLocker 實作 僅 稽核強制執行設定。 |
結構是否 Active Directory 網域服務 以組織的階層為基礎?
根據已內建於 Active Directory 網域服務 (AD DS) 的組織結構來設計應用程控原則,比將現有的結構轉換成組織結構更容易。 由於應用程控原則的有效性取決於更新原則的能力,因此請考慮在部署開始之前需要完成哪些組織工作。
| 可能的答案 | 設計考量 |
|---|---|
| 是 | 您可以根據 AD DS 結構,透過 群組原則 來開發和實作 AppLocker 規則。 |
| 否 | IT 部門必須建立配置,以識別如何將應用程控原則套用至正確的使用者或計算機。 |
記錄您的結果
此程式的下一個步驟是記錄並分析您對上述問題的解答。 如果 AppLocker 是您目標的正確解決方案,您可以設定應用程控原則目標並規劃 AppLocker 規則。 此程式會在建立規劃檔時產生希望。