Поделиться через


Поддержка политик AppLocker

В этой статье описывается, как поддерживать правила в политиках AppLocker.

Распространенные сценарии обслуживания AppLocker:

  • Будет развернуто новое приложение, и необходимо обновить политику AppLocker.
  • Развертывается новая версия приложения, и необходимо либо обновить политику AppLocker, либо создать новое правило для обновления политики.
  • Приложение больше не поддерживается вашей организацией, поэтому необходимо предотвратить его использование.
  • Приложение, как представляется, заблокировано, но должно быть разрешено.
  • Приложение, как представляется, разрешено, но должно быть заблокировано.
  • Один пользователь или небольшое подмножество пользователей должны использовать определенное приложение, которое заблокировано.

Для поддержки политик AppLocker можно использовать три метода:

Поддержка политик AppLocker с помощью мобильных Управление устройствами (MDM)

С помощью поставщика службы конфигурации AppLocker можно выбрать, какие приложения разрешены или заблокированы для запуска. С помощью CSP можно настроить ограничения приложений на основе группирования (например, EXE, MSI, DLL, приложения Store и т. д.), а затем выбрать способ применения различных политик для разных приложений.

Дополнительные сведения см. в разделе Поставщик служб CSP AppLocker.

Поддержка политик AppLocker с помощью групповая политика

Для каждого сценария действия по поддержанию политики AppLocker, распространяемой групповая политика включают следующие задачи.

По мере развертывания новых приложений и обновления или прекращения использования существующих приложений может потребоваться обновить правила в объекте групповая политика ( GPO), чтобы обеспечить актуальность политики.

Политику AppLocker можно изменить, добавив, изменив или удалив правила. Однако невозможно указать версию для политики AppLocker путем импорта дополнительных правил. Чтобы обеспечить управление версиями при изменении политики AppLocker, используйте программное обеспечение для управления групповая политика, которое позволяет создавать версии объектов групповой политики.

Важно.

Не изменяйте коллекцию правил AppLocker, пока она применяется в групповая политика. Так как AppLocker определяет, какие файлы разрешено запускать, внесение изменений в динамическую политику может привести к непредвиденному поведению.

Шаг 1. Понимание текущего поведения политики из объекта групповой политики

Перед изменением политики оцените, как политика реализуется в настоящее время. Например, при развертывании новой версии приложения можно использовать Test-AppLockerPolicy для проверки эффективности текущей политики для этого приложения.

Шаг 2. Экспорт политики AppLocker из объекта групповой политики

Обновление политики AppLocker, которая в настоящее время применяется в рабочей среде, может привести к непредвиденным результатам. Поэтому экспортируйте политику из объекта групповой политики и обновите правило или правила с помощью AppLocker на эталонном или тестовом компьютере. Сведения о подготовке политики AppLocker к изменению см. в статье Экспорт политики AppLocker из объекта групповой политики.

Шаг 3. Обновление политики AppLocker путем изменения соответствующего правила AppLocker

После экспорта политики AppLocker из объекта групповой политики на эталонный или тестовый компьютер AppLocker или доступа к политике на локальном компьютере правила можно изменить по мере необходимости.

Чтобы изменить правила AppLocker, ознакомьтесь со следующими статьями:

Шаг 4. Тестирование политики AppLocker

Необходимо протестировать каждую коллекцию правил, чтобы убедиться, что правила выполняются должным образом. (Так как правила AppLocker наследуются от связанных объектов групповой политики, следует развернуть все правила для одновременного тестирования во всех тестовых объектах групповой политики.) Инструкции по выполнению этого тестирования см. в статье Тестирование и обновление политики AppLocker.

Шаг 5. Импорт политики AppLocker в объект групповой политики

После тестирования импортируйте политику AppLocker обратно в объект групповой политики для реализации. Сведения об обновлении объекта групповой политики с помощью измененной политики AppLocker см. в статье Импорт политики AppLocker в объект групповой политики.

Шаг 6. Мониторинг результирующего поведения политики

После развертывания политики оцените ее эффективность.

Обслуживание политик AppLocker с помощью оснастки "Локальная политика безопасности"

Для каждого сценария действия по поддержанию политики AppLocker с помощью локальной групповая политика Редактор или оснастки "Локальная политика безопасности" включают следующие задачи.

Шаг 1. Понимание текущего поведения политики

Перед изменением политики оцените, как политика реализуется в настоящее время.

Шаг 2. Обновление политики AppLocker путем изменения соответствующего правила AppLocker

Правила группируются в коллекцию, к которой может применяться параметр принудительного применения политики. По умолчанию правила AppLocker не разрешают пользователям открывать или выполнять любые файлы, которые явно не разрешены.

Чтобы изменить правила AppLocker, см. соответствующую статью, указанную в разделе Администрирование AppLocker.

Шаг 3. Тестирование политики AppLocker

Необходимо протестировать каждую коллекцию правил, чтобы убедиться, что правила выполняются должным образом. Инструкции по выполнению этого тестирования см. в статье Тестирование и обновление политики AppLocker.

Шаг 4. Развертывание политики с измененным правилом

Вы можете экспортировать и импортировать политики AppLocker, чтобы развернуть политику на других компьютерах под управлением Windows 8 или более поздней версии. Сведения о выполнении этой задачи см. в разделах Экспорт политики AppLocker в XML-файл и Импорт политики AppLocker с другого компьютера.

Шаг 5. Мониторинг результирующего поведения политики

После развертывания политики оцените ее эффективность.

Другие ресурсы